COMUNICAZIONE N.4 DEL 23/04/2025 ORE 12:20

Oggetto: chiusura dell’incidente del 27/12/2024

Gentili Clienti, a seguito delle comunicazioni precedenti desideriamo confermare che le verifiche svolte hanno accertato l’integrità dei sistemi Tinexta Infocert. L’evento del 27 dicembre 2024 non ha coinvolto né compromesso i nostri sistemi.
Nonostante questo, Tinexta Infocert si è immediatamente attivata per approfondire l’accaduto e porre in essere tutte le attività per mitigare ogni possibile eventuale effetto negativo.

Le analisi condotte hanno confermato infatti che l’incidente ha interessato esclusivamente i dati personali presenti nel sistema di Customer Care, relativi a clienti che si sono rivolti a noi per richieste di assistenza sui prodotti.

I dati oggetto della violazione risultano limitati a quelli forniti in occasione della richiesta di supporto, e sono relativi a: dati identificativi, dati di contatto, dati fiscali e codici cliente e eventuali ulteriori informazioni comunicate dal Cliente stesso.

Pur non avendo ricevuto, al momento, alcuna notizia di tentativi di utilizzo fraudolento delle suddette informazioni, a scopo cautelativo ribadiamo l’importanza di adottare buone pratiche di sicurezza informatica, tra cui:

1. non rispondere a messaggi sospetti, in particolare se contengono richieste di credenziali o dettagli di pagamento (es quelle bancarie o di accesso ai nostri servizi);
2. non cliccare su link o aprire allegati di email, se non si è certi della loro provenienza, prestando attenzione ai mittenti delle comunicazioni ricevute;
3. non fornire, neanche telefonicamente, codici di sicurezza personali (come quelli per l’accesso ai propri account);
4. modificare regolarmente le proprie password e non condividerle mai con terzi, neanche se dichiarano di agire per conto di Tinexta Infocert.

Tinexta Infocert continua a collaborare attivamente con le Autorità per limitare ogni possibile impatto derivante dall’accaduto e per contrastare eventuali utilizzi illeciti dei dati. Inoltre, abbiamo avviato una revisione delle procedure di individuazione e verifica dei fornitori, con l’obiettivo di rafforzare ulteriormente le misure di prevenzione e controllo.

Restiamo a disposizione per ogni ulteriore chiarimento ai seguenti contatti:

• richieste.privacy@legalmail.it,
• dpo_tinexta@legalmail.it.

COMUNICAZIONE N.3 DEL 07/01/2025 ORE 18:15

Oggetto: comunicazione ai sensi dell’articolo 34 del GDPR

Gentili Clienti, nella vostra veste di interessati al trattamento dei dati personali di InfoCert desideriamo informarvi che, come riportato anche da alcune notizie stampa, siamo stati vittime di un attacco informatico, in cui gli attaccanti hanno colpito i sistemi del nostro fornitore che gestiva il sistema di ticketing, accedendo ad alcuni dati personali raccolti nello svolgimento dell’attività di Customer Care. In un’ottica di massima trasparenza e conoscibilità di tale comunicazione, di seguito pubblichiamo le informazioni e le raccomandazioni per proteggersi da possibili conseguenze.

SICUREZZA DEI SERVIZI

Le indagini che stiamo svolgendo, allo stato, non hanno rilevato alcuna compromissione dei servizi relativi a SPID, PEC e firma digitale, che restano pienamente sicuri e operativi.

Sulla base delle analisi svolte fino ad ora le tipologie di dati personali oggetto dell’esfiltrazione potrebbero consistere nei dati abitualmente comunicati in sede di richiesta di supporto quali, ad esempio, dati identificativi, dati di contatto, dati fiscali e codici cliente.

POSSIBILI CONSEGUENZE DELLA VIOLAZIONE

Le possibili conseguenze nei casi di violazione potrebbero essere tentativi di furti d’identità o di phishing (ossia email che invitano ad aprire link o allegati o fornire dati personali), comunicazioni o telefonate indesiderate o tentativi di truffe.

COME PROTEGGERSI

Per prevenire le potenziali conseguenze, invitiamo a seguire le seguenti raccomandazioni:

1. non rispondere a messaggi sospetti e, in particolar modo, a quelli che chiedono dettagli di pagamento o credenziali di accesso (come quelle bancarie o di accesso ai nostri servizi);
2. non cliccare su link e allegati, a meno che non si sia assolutamente certi della loro provenienza e prestare attenzione ai mittenti delle comunicazioni ricevute;
3. non fornire, neanche telefonicamente, codici di sicurezza (come, ad esempio, quelli richiesti per l’accesso alle proprie pagine personali);

Cogliamo l’occasione per ricordarVi che le migliori pratiche in tema di sicurezza raccomandano di modificare comunque le proprie password, a titolo di cautela, ed ovviamente non comunicare mai a terzi via email, chat o telefono – neanche nel caso si dichiarino personale incaricato da InfoCert – la password o i codici temporanei di autenticazione generati o ricevuti sul proprio cellulare.

LE MISURE ADOTTATE DA INFOCERT

Non appena rilevata la violazione, InfoCert si è immediatamente attivata per analizzare quanto accaduto, accertando la non compromissione dei servizi fiduciari qualificati, adottando tutte le misure possibili per scongiurare le conseguenze negative di tale attacco verso i propri Clienti, anche mediante l’interessamento delle Autorità competenti.

Sono ancora in corso le indagini per chiarire con maggiore precisione le modalità che hanno consentito tale attacco.

Nello scusarci per i disagi arrecati, Vi garantiamo di essere impegnati con la massima serietà per tutelare i Vostri dati personali e a offrire i massimi standard di sicurezza per i nostri servizi.

Come avere altri dettagli

Per avere altre informazioni, potrà contattarci ai seguenti indirizzi:

• richieste.privacy@legalmail.it, oppure
• dpo_tinexta@legalmail.it.

Procederemo ad aggiornare il nostro sito internet, in questa pagina dedicata, al fine di fornire costanti aggiornamenti sull’evento occorso.

COMUNICAZIONE N.2 DEL 30/12/2024 ORE 19:15

SPID, Firma Digitale e PEC InfoCert non compromessi

Confermando che l’integrità e la sicurezza dei servizi InfoCert, in particolare SPID, PEC e Firma Digitale, restano pienamente garantite, ribadiamo che l’illecita sottrazione di dati ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care.
I dati coinvolti sono, ad oggi, limitati alle informazioni connesse alla gestione delle richieste di assistenza clienti avanzate tramite il sistema di ticketing.

Azioni intraprese

In collaborazione con il nostro fornitore:

• Abbiamo immediatamente adottato tutte le misure tecniche per verificare e contenere l’evento.
• Abbiamo predisposto una serie di analisi tecniche approfondite per esaminare l’accaduto.
• Abbiamo avviato la notifica al Garante Privacy, nel pieno rispetto della normative e delle procedure aziendali e stiamo tutelando gli interessi della nostra Clientela e di InfoCert nelle sedi più opportune.

Il nostro impegno

Stiamo monitorando costantemente e con la massima attenzione la situazione e restiamo impegnati nella tutela dei nostri Clienti con assoluta tempestività. Eventuali aggiornamenti saranno prontamente comunicati.

COMUNICAZIONE N.1 DEL 28/12/2024 ORE 19:26

In data 27 dicembre u.s., in occasione delle continue attività di monitoraggio dei nostri sistemi informatici, è stata rilevata la pubblicazione non autorizzata di dati personali relativi a clienti censiti nei sistemi di un fornitore terzo.

Tale pubblicazione è frutto di un’attività illecita in danno di tale fornitore, che non ha però compromesso l’integrità dei sistemi di InfoCert.

Nel confermare che sono in corso tutti gli opportuni accertamenti sul tema, anche al fine di eseguire le necessarie denunce e notifiche alle Autorità competenti, siamo fin da ora in grado di informare che nessuna credenziale di accesso ai servizi InfoCert e/o password di accesso agli stessi è stata compromessa in tale attacco.

Sarà nostra cura fornire ulteriori approfondimenti non appena possibile.

Cordiali saluti
InfoCert S.p.A