I criminali affermano di aver sottratto documenti interni, database di pagamenti, codici sorgenti, file di configurazione, informazioni personali, copie documentali di carte d’identità, fatture ed email.
Una città in comune ha reso pubblico che c’è stato un attacco hacker ai danni del Comune. Il consigliere Ciccio Auletta ha fatto sapere di aver depositato una interpellanza a risposta immediata al Sindaco e alla Giunta Comunale.
“In data 10 maggio 2025, il gruppo cybercriminale Nova (precedentemente noto come RALord) ha pubblicato sul proprio sito nel dark web la rivendicazione di un attacco informatico ai danni del Comune di Pisa. Gli aggressori hanno fornito un URL di richiesta tramite un portale del dark web, suggerendo trattative o richieste in corso relative al riscatto. I criminali informatici hanno fissato una deadline di 14 giorni a partire dal 10 maggio per la negoziazione del riscatto, oltre la quale tutto il materiale esfiltrato sarà divulgato online. Il campione di dati già pubblicato online è pari a 1,6 GB compressi e, secondo quanto dichiarato dai criminali, rappresenta solo una piccola parte dei 2TB totali sottratti dai server comunali”.
I cybercriminali Nova hanno già pubblicato dei sample che dimostrano l’effettiva presenza di documentazione relativa al personale dipendente (incluse valutazioni interne, giustificativi di assenza, turni ferie), esportazioni di conversazioni email interne all’ente generate tramite applicativo Zimbra, nonché fatture da e verso cooperative sociali convenzionate con il Comune.
“I criminali affermano di aver sottratto documenti interni, database di pagamenti, codici sorgenti, file di configurazione, informazioni personali, copie documentali di carte d’identità, fatture ed email. Questo tipo di incidente sottolinea i gravi rischi per la sicurezza informatica a cui sono esposte le organizzazioni del settore pubblico. A distanza di 9 giorni dall’attacco, l’Amministrazione non ha ancora emesso alcun comunicato ufficiale né ha informato il Consiglio Comunale dell’accaduto, impedendo ai Consiglieri di esercitare le proprie funzioni di indirizzo e controllo”.
Da qui le 9 domande che Auletta pone al Sindaco e alla giunta:
1. Qual è l’esatta cronologia e la dinamica dell’attacco ransomware, con particolare riferimento ai vettori di ingresso sfruttati dagli attaccanti, all’estensione della compromissione dei sistemi informatici comunali e alle eventuali vulnerabilità non patched che hanno facilitato l’intrusione;
2. Quale quantità e tipologia specifica di dati personali e sensibili (ai sensi dell’art. 9 GDPR) sono stati esfiltrati, con particolare riferimento ai data breach riguardanti cittadini, inclusi minori, e quali rischi concreti comporta questa esposizione per i soggetti coinvolti;
3. Se l’Amministrazione ha notificato tempestivamente l’incidente al Garante Privacy entro le 72 ore previste dall’art. 33 GDPR e ha informato i cittadini interessati dalla violazione come richiesto dall’art. 34 GDPR ove ne ricorrano i presupposti;
4. Se è stato attivato il Computer Security Incident Response Team (CSIRT) nazionale e l’Agenzia per la Cybersicurezza Nazionale (ACN), quali evidenze forensi sono state preservate e quali contromisure sono state implementate per contenere l’incidente;
5. Se è stato effettuato o si intende effettuare il pagamento del riscatto richiesto dal gruppo cybercriminale Nova, con quale copertura finanziaria e con quale base giuridica, considerato che tale pratica potrebbe configurare il reato di finanziamento di attività criminali;
6. Quali misure di remediation e bonifica sono state implementate per ripristinare l’integrità dei sistemi informativi compromessi e quali garanzie esistono che non permangano backdoor o accessi non autorizzati all’interno della rete comunale;
7. Con quale criterio non si è ritenuto di informare tempestivamente i Consiglieri Comunali dell’accaduto, e perché non è stata convocata con urgenza la Commissione competente per discutere delle implicazioni di sicurezza e privacy dell’incidente;
8. Quali misure preventive erano state adottate prima dell’incidente per la protezione dei dati personali, se era stato effettuato un penetration testing recente sui sistemi informatici comunali e con quali risultati;
9. Quali misure strutturali di potenziamento della cybersecurity saranno implementate per prevenire futuri incidenti informatici?
