No, gli hacker non hanno bucato SPID: come stanno le cose

Sta facendo discutere il presunto data breach subìto da InfoCert o, come dichiara l’azienda, da un suo fornitore. Su alcune testate si legge che gli hacker avrebbero violato SPID, il Sistema Pubblico di Identità Digitale utilizzato in Italia per attestare la propria identità online su un vastissimo numero di servizi e piattaforme. In realtà le cose non stanno affatto in questi termini.

SPID è un sistema che consente ai cittadini italiani di accedere in modo semplice e sicuro ai servizi online della Pubblica Amministrazione e dei soggetti privati aderenti. È un’identità digitale unica che può essere utilizzata servendosi di una sola coppia di username e password personali, protette usando l’autenticazione a due o più fattori.

Alla base del funzionamento di SPID vi è il ruolo di intermediario e certificatore ricoperto dall’Identity Provider, ossia dell’impresa accreditata da AgID (Agenzia per l’Italia Digitale) per accertare l’identità del richiedente e autorizzare le successive richieste di accesso (alla pressione dei pulsanti Accedi con SPID).

Nessun hacker ha violato SPID: ecco perché

InfoCert è uno degli Identity Provider accreditati da AgID, ad oggi complessivamente 13. Non esiste un database centralizzato con i dati degli italiani che si servono di SPID. Ogni Identity Provider, infatti, gestisce autonomamente le informazioni degli utenti e le loro credenziali di accesso, seguendo precise regole tecniche e applicando una serie di salvaguardie.

Nel caso in questione, che ha visto protagonista InfoCert, gli hacker non hanno sottratto alcun dato relativo a SPID. Come spiegato nel nostro approfondimento citato in apertura, i criminali informatici sembrano essersi impossessati di dati personali estratti dal sistema di ticketing (assistenza clienti) apparentemente usato da InfoCert.

Un noto forum utilizzato dagli hacker per descrivere la loro azione e vendere illecitamente i dati sottratti, contiene un piccolo estratto delle informazioni razziate. I dati esfiltrati dagli hacker non sono direttamente riconducibili a SPID, bensì raccolgono una serie di riferimenti ai clienti InfoCert che, nel tempo, hanno richiesto supporto tecnico e commerciale.

Nessun attacco alla piattaforma SPID nel suo complesso, quindi. Resta però la pubblicazione illecita di dati personali degli utenti (compresi numeri di telefono e indirizzi email) a valle di un’aggressione informatica subìta da un fornitore di InfoCert.

All’interno delle informazioni trafugate appaiono riferimenti a clienti privati e aziendali InfoCert che usano caselle PEC, firme digitali, marche temporali ma anche account SPID. Non ci sono però né username né password di accesso. L’ipotesi è che se non si fossero mai utilizzate le funzionalità di supporto tecnico InfoCert, nessun dato personale risulterà nelle mani dei criminali informatici.

Nuova presa di posizione da parte di InfoCert

In una nota ufficiale del 30 dicembre 2024, InfoCert ribadisce che la sicurezza e il funzionamento dei servizi SPID, firma digitale e PEC, oltre che di tutti gli altri servizi InfoCert, “non sono mai state compromesse dall’illecita sottrazione di dati che ha interessato i sistemi di un fornitore esterno, che gestisce una piattaforma di assistenza clienti utilizzata dal nostro Customer Care“.

L’azienda, uno dei leader europei nell’erogazione di servizi fiduciari, conferma che “i dati interessati sono limitati a quelli necessari per evadere le richieste di assistenza inviate dai clienti mediante il sistema di ticketing“. E aggiunge infine: “Possiamo confermare che, ad oggi, contrariamente a quanto riportato da alcune fonti non ufficiali online, non è stata in alcun modo compromessa l’operatività, la sicurezza e l’integrità dei servizi di InfoCert. (…) Continueremo ovviamente a monitorare la situazione con la massima attenzione e a fornire aggiornamenti tempestivi ai nostri clienti“.

Credit immagine in apertura: AgID