Come già comunicato, il 18 gennaio di quest’anno i sistemi informatici della Croce Rossa Italiana hanno subito un attacco hacker. Nonostante inizialmente, dalle indagini effettuate, non vi fossero certezze rispetto ad un effettivo furto o utilizzo delle informazioni cui è stato ottenuto illecito accesso, oggi rendiamo noto che è pervenuta una segnalazione in merito alla pubblicazione illecita di circa 29 gigabyte dei dati di cui al suddetto attacco, resi altresì scaricabili nel web attraverso un link presente su un sito di file-hosting neozelandese. In data 12 giugno 2024, il portale, contattato dall’Associazione ai fini della rimozione del link, ne ha confermato l’avvenuto oscuramento, mentre le autorità coinvolte hanno comunicato il pieno supporto nel monitoraggio di eventuali analoghi episodi all’interno della rete.
“La Croce Rossa Italiana è rammaricata per la diffusione impropria di tali dati. Fin dai primi momenti l’Associazione ha attivato tutte le procedure necessarie a verificare l’accaduto e a integrare i propri protocolli, al fine di garantirne la sicurezza e la protezione. Siamo dispiaciuti per quanto accaduto e allo stesso tempo consapevoli di aver subìto una violazione del nostro sistema informatico nonostante le precauzioni del caso. Stiamo interagendo con gli Enti e le Autorità preposte e, allo stesso tempo, interfacciandoci con i nostri stakeholder per informarli della diffusione di tali dati”, commenta la Croce Rossa Italiana.
L’Associazione ha già provveduto ad effettuare, sulla base dei nuovi elementi acquisiti, una seconda integrazione alla notifica presentata in data 23 gennaio 2024 al Garante per la Protezione dei Dati Personali, in ottemperanza alle disposizioni di cui all’art. 33 del GDPR, soggetta ad una prima integrazione in data 23 febbraio 2024.
I documenti di cui i responsabili dell’attacco hanno preso visione attraverso la violazione delle misure di sicurezza informatiche potrebbero aver consentito l’accesso a dati personali trattati dall’Associazione nello svolgimento delle proprie attività istituzionali; inoltre, dalle dettagliate verifiche ancora in corso, i dati diffusi attraverso il suddetto link, oggi non più disponibile all’utenza, sembrerebbero essere riconducibili per la maggior parte alle informazioni raccolte dall’Associazione nell’ambito del proprio operato umanitario.
L’Associazione, nella piena partecipazione al contrasto di ogni eventuale conseguenza derivante dalla violazione, sta intraprendendo una attentissima attività di verifica e controllo sulla totalità dei documenti pubblicati per avere contezza delle tipologie di dati diffusi al fine anche di provvedere idonea comunicazione di aggiornamento agli interessati.
Preme inoltre informare che l’Associazione ha adottato nuove misure tecniche ed organizzative per prevenire, in futuro, ogni eventuale tentativo di violazione o accesso illecito.
Porgendo le nostre più sentite scuse, Vi ricordiamo di contattare sempre il presidio privacy
dell’Associazione all’indirizzo privacy@cri.it per ogni opportuna segnalazione.
