In una nota, il Gestore dei servizi per l’energia spiega cosa è successo nella notte tra il 28 e il 29 agosto e illustra le possibili azioni che possono intraprendere i clienti
Può sussistere il rischio che le password personali utilizzate per l’accesso ai sistemi Gse siano tra i possibili dati sottratti, dall’attacco hacker verificatosi nella notte tra il 28 e il 29 agosto scorsi ai danni del Gestore dei servizi per l’energia che in una nota assicura: non appena verranno riattivati i sistemi, il Gse provvederà con apposita comunicazione a far effettuare il cambio password obbligatorio per accedere ai propri servizi.
Fino a diversa comunicazione invita però a prestare la massima attenzione alle e-mail che in questi giorni sembrano da ricondursi al Gse e che potrebbero invece costituire tentativi di phishing. Infine, non si esclude la pubblicazione impropria di dati personali: in quest’ultimo caso il gestore ricorda ai soggetti interessati che, in caso, potranno esercitare il diritto alla cancellazione ai sensi dell’art. 17 del Gdpr, ferme restando le eventuali ulteriori azioni di tutela a cura del Gse.
Si è trattato di un attacco hacker che ha penetrato le difese del Gse, attraverso un ransomware di nuovissima generazione, spiega il Gestore. In sintesi, è stato accertato che gli autori dell’attacco hanno colpito rete, client, infrastruttura degli applicativi, file server, sistemi di posta elettronica.
Il Gse ha, quindi, provveduto tempestivamente a isolare le proprie infrastrutture, disattivando tutti i servizi telematici, le postazioni di lavoro e la posta elettronica.
Sono in corso, da parte di fornitori particolarmente qualificati a livello internazionale, tutte le attività di analisi e le verifiche del caso – sottolinea ancora nella nota – per il ripristino della piena operatività dei servizi informativi quanto prima possibile.
È stata poi presentata denuncia dell’attacco alla Polizia postale nella stessa data del 29 agosto ed è stata effettuata la notifica preliminare anche al Garante per la protezione dei dati personali nella giornata del 30 agosto, in conformità a quanto previsto dall’art. 33 del Gdpr.
Le necessarie azioni di disattivazione delle macchine e di spegnimento cautelativo di ogni sistema – prosegue la nota -, non rendono ancor oggi possibile comprendere con ragionevole certezza l’esatta portata e l’estensione dell’evento sui dati personali di cui il Gse è titolare, sia per quanto attiene gli operatori, per le attività previste dal quadro normativo di riferimento, sia per quanto attiene i dati delle risorse umane che prestano servizio nella società.
Non è da escludere che il grave attacco subito possa aver coinvolto dati personali e particolari nella titolarità del Gse a qualsivoglia titolo.
