Featured

Avviso agli utenti – Comunicazione di una violazione dei dati personali ai sensi dell'art. 34 del Regolamento (UE) 2016/679 (GDPR)

Cosa è accaduto
Nel corso delle attività di monitoraggio dei sistemi informatici è stato rilevato un incidente di sicurezza che ha interessato 15 siti web gestiti dalla nostra organizzazione.
Nel database associato al presente sito erano presenti dati personali conferiti mediante form di registrazione.
Pur non avendone evidenza, la tipologia di incidente potrebbe aver esposto ad una potenziale violazione della riservatezza dei dati personali contenuti nel database.
Quali dati sono stati coinvolti
Sulla base delle verifiche effettuate, i dati personali potenzialmente interessati dalla violazione sono:
- nome;
- cognome;
- indirizzo e-mail;
- numero di telefono.
Allo stato delle verifiche non risultano coinvolti dati di cui all’art.10 del Regolamento UE 2016/679 (GDPR), mentre risultano coinvolti dati appartenenti a categorie particolari ai sensi dell'art. 9 del GDPR esclusivamente per n. 4 utenti, a cui viene indirizzata la comunicazione individuale. Si precisa che tali informazioni sono state volontariamente conferite pur se non previste dai relativi form di registrazione.
Quali sono i possibili rischi
L'accesso non autorizzato a tali dati potrebbe esporre gli interessati a tentativi di:
- phishing mediante e-mail;
- smishing tramite SMS o applicazioni di messaggistica;
- vishing mediante telefonate fraudolente;
- utilizzo improprio dei dati personali per attività di impersonificazione o altre condotte illecite.
Al momento non risultano evidenze di utilizzi fraudolenti dei dati personali riconducibili all'incidente.
Misure adottate
Non appena rilevato l'incidente sono state immediatamente avviate le procedure di gestione previste per gli eventi di sicurezza.
In particolare, sono state adottate le seguenti misure:
- contenimento dell'incidente;
- rimozione della vulnerabilità sfruttata;
- rafforzamento delle misure di sicurezza tecniche e organizzative;
- analisi tecnica dell'accaduto e monitoraggio dei sistemi;
- adempimento degli obblighi previsti dalla normativa in materia di protezione dei dati personali.
Cosa possono fare gli utenti
A titolo precauzionale, invitiamo tutti gli utenti registrati sui siti interessati a:
- prestare particolare attenzione a e-mail, SMS o telefonate che richiedano dati personali, password o altre credenziali;
- verificare sempre l'identità del mittente prima di rispondere a comunicazioni inattese;
- non aprire allegati o collegamenti contenuti in messaggi sospetti;
- utilizzare password robuste e differenti per i diversi servizi online;
- attivare, ove disponibile, l'autenticazione a più fattori (MFA);
- segnalare eventuali comunicazioni sospette che facciano riferimento ai nostri servizi.
Informazioni e assistenza
Per qualsiasi richiesta di informazioni relativa all'incidente o per esercitare i diritti previsti dagli artt. 15 e seguenti del GDPR è possibile contattare:
Titolare : ENEA, Agenzia Nazionale per le nuove tecnologie, l’energia e lo sviluppo economico sostenibile.
E-mail: info.violazione@enea.it
Responsabile della Protezione dei Dati (DPO): dpo@enea.it
Qualora le ulteriori attività di analisi evidenzino nuovi elementi rilevanti, il presente avviso sarà tempestivamente aggiornato.
Spiacenti per quanto accaduto, confermiamo il nostro impegno nell'adottare tutte le misure necessarie per rafforzare la sicurezza dei sistemi e tutelare i dati personali degli utenti.
Il presente avviso è pubblicato ai sensi dell'art. 34, paragrafo 3, lettera c), del Regolamento (UE) 2016/679 (GDPR) e sostituisce la comunicazione individuale agli interessati, tenuto conto dell'elevato numero di soggetti potenzialmente interessati e dello sforzo sproporzionato che una comunicazione individuale comporterebbe.