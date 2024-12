Sta facendo discutere il presunto data breach subìto da InfoCert o, come dichiara l’azienda, da un suo fornitore. Su alcune testate si legge che gli hacker avrebbero violato SPID, il Sistema Pubblico di Identità Digitale utilizzato in Italia per attestare la propria identità online su un vastissimo numero di servizi e piattaforme. In realtà le cose non stanno affatto in questi termini.

SPID è un sistema che consente ai cittadini italiani di accedere in modo semplice e sicuro ai servizi online della Pubblica Amministrazione e dei soggetti privati aderenti. È un’identità digitale unica che può essere utilizzata servendosi di una sola coppia di username e password personali, protette usando l’autenticazione a due o più fattori.

Alla base del funzionamento di SPID vi è il ruolo di intermediario e certificatore ricoperto dall’Identity Provider, ossia dell’impresa accreditata da AgID (Agenzia per l’Italia Digitale) per accertare l’identità del richiedente e autorizzare le successive richieste di accesso (alla pressione dei pulsanti Accedi con SPID).

Nessun hacker ha violato SPID: ecco perché

InfoCert è uno degli Identity Provider accreditati da AgID, ad oggi complessivamente 13. Non esiste un database centralizzato con i dati degli italiani che si servono di SPID. Ogni Identity Provider, infatti, gestisce autonomamente le informazioni degli utenti e le loro credenziali di accesso, seguendo precise regole tecniche e applicando una serie di salvaguardie.

Nel caso in questione, che ha visto protagonista InfoCert, gli hacker non hanno sottratto alcun dato relativo a SPID. Come spiegato nel nostro approfondimento citato in apertura, i criminali informatici sembrano essersi impossessati di dati personali estratti dal sistema di ticketing (assistenza clienti) apparentemente usato da InfoCert.

Un noto forum utilizzato dagli hacker per descrivere la loro azione e vendere illecitamente i dati sottratti, contiene un piccolo estratto delle informazioni razziate. I dati esfiltrati dagli hacker non sono direttamente riconducibili a SPID, bensì raccolgono una serie di riferimenti ai clienti InfoCert che, nel tempo, hanno richiesto supporto tecnico e commerciale.

Nessun attacco alla piattaforma SPID nel suo complesso, quindi. Resta però la pubblicazione illecita di dati personali degli utenti (compresi numeri di telefono e indirizzi email) a valle di un’aggressione informatica subìta da un fornitore di InfoCert.

All’interno delle informazioni trafugate appaiono riferimenti a clienti privati e aziendali InfoCert che usano caselle PEC, firme digitali, marche temporali ma anche account SPID. Non ci sono però né username né password di accesso. L’ipotesi è che se non si fossero mai utilizzate le funzionalità di supporto tecnico InfoCert, nessun dato personale risulterà nelle mani dei criminali informatici.

