Comune di Pisa e ransomware: un silenzio surreale

    Uno strano silenzio ufficiale circonda la notizia dell’attacco ransomware al Comune di Pisa. Qualcosa inizia a trapelare, ovviamente, ma si attendono conferme ufficiali da parte dell’Amministrazione.

    L’attacco ransomware da parte della gang cybercriminale Nova, che ha rivendicato sul loro DSL l’attacco e conseguente esfiltrazione di GB di dati (ne abbiamo parlato qui e qui) contenenti informazioni personali e sensibili di dipendenti e cittadini del capoluogo toscano, non ha ancora sortito alcuna comunicazione ufficiale da parte dell’Amministrazione Pisana.

    Sul sito web del Comune di Pisa non vi è traccia dell’accaduto, se non nell’ODG degli ultimi Consigli Comunali, pubblicati come previsto per legge all’Albo Pretorio, in cui il Consigliere Francesco “Ciccio” Auletta interpella l’Amministrazione sulla “grave violazione della sicurezza informatica del Comune di Pisa con esfiltrazione di dati personali e sensibili di cittadini e dipendenti“, atto depositato il 19 maggio 2025 e a oggi in attesa di risposta:

    Il consigliere capogruppo ne da pubblicità, sempre il 19 maggio, anche sul suo profilo Facebook pubblico, con tanto di copia dell’interpellanza depositata:

    OGGETTO: Grave violazione della sicurezza informatica del Comune di Pisa con esfiltrazione di dati personali e sensibili di cittadini e dipendenti

    PREMESSO CHE:

    - In data 10 maggio 2025, il gruppo cybercriminale Nova (precedentemente noto come RALord) ha pubblicato sul proprio sito nel dark web la rivendicazione di un attacco informatico ai danni del Comune di Pisa;
    - La data di attivazione della crittografia appare essere il pomeriggio del 10 maggio 2025, precisamente alle ore 14:25, come evidenziato dalla presenza di file con estensione .NOVARANSOM nei sistemi compromessi;
    - Gli aggressori hanno fornito un URL di richiesta tramite un portale del dark web, suggerendo trattative o richieste in corso relative al riscatto;
    - I criminali informatici hanno fissato una deadline di 14 giorni a partire dal 10 maggio per la negoziazione del riscatto, oltre la quale tutto il materiale esfiltrato sarà divulgato online;
    - Il campione di dati già pubblicato online è pari a 1,6 GB compressi e, secondo quanto dichiarato dai criminali, rappresenta solo una piccola parte dei 2TB totali sottratti dai server comunali;

    CONSIDERATO CHE:

    - L'analisi dei sample già pubblicati dimostra l'effettiva presenza di documentazione relativa al personale dipendente (incluse valutazioni interne, giustificativi di assenza, turni ferie), esportazioni di conversazioni email interne all'ente generate tramite applicativo Zimbra, nonché fatture da e verso cooperative sociali convenzionate con il Comune;
    - I criminali affermano di aver sottratto documenti interni, database di pagamenti, codici sorgenti, file di configurazione, informazioni personali, copie documentali di carte d'identità, fatture ed email;
    - Questo tipo di incidente sottolinea i gravi rischi per la sicurezza informatica a cui sono esposte le organizzazioni del settore pubblico;

    RILEVATO CHE:

    - A distanza di 9 giorni dall'attacco, l'Amministrazione non ha ancora emesso alcun comunicato ufficiale né ha informato il Consiglio Comunale dell'accaduto, impedendo ai Consiglieri di esercitare le proprie funzioni di indirizzo e controllo;
    - Non è stato attivato alcun canale di comunicazione per informare i cittadini i cui dati personali potrebbero essere stati compromessi, violando gli obblighi di notifica previsti dal GDPR (Regolamento UE 2016/679);
    - Non è chiaro quali protocolli di incident response siano stati attivati e quali misure di contenimento e mitigazione del danno siano state implementate;

    SI INTERROGA IL SINDACO E LA GIUNTA PER SAPERE:

    1. Qual è l'esatta cronologia e la dinamica dell'attacco ransomware, con particolare riferimento ai vettori di ingresso sfruttati dagli attaccanti, all'estensione della compromissione dei sistemi informatici comunali e alle eventuali vulnerabilità non patched che hanno facilitato l'intrusione;
    2. Quale quantità e tipologia specifica di dati personali e sensibili (ai sensi dell'art. 9 GDPR) sono stati esfiltrati, con particolare riferimento ai data breach riguardanti cittadini, inclusi minori, e quali rischi concreti comporta questa esposizione per i soggetti coinvolti;
    3. Se l'Amministrazione ha notificato tempestivamente l'incidente al Garante Privacy entro le 72 ore previste dall'art. 33 GDPR e ha informato i cittadini interessati dalla violazione come richiesto dall'art. 34 GDPR ove ne ricorrano i presupposti;
    4. Se è stato attivato il Computer Security Incident Response Team (CSIRT) nazionale e l'Agenzia per la Cybersicurezza Nazionale (ACN), quali evidenze forensi sono state preservate e quali contromisure sono state implementate per contenere l'incidente;
    5. Se è stato effettuato o si intende effettuare il pagamento del riscatto richiesto dal gruppo cybercriminale Nova, con quale copertura finanziaria e con quale base giuridica, considerato che tale pratica potrebbe configurare il reato di finanziamento di attività criminali;
    6. Quali misure di remediation e bonifica sono state implementate per ripristinare l'integrità dei sistemi informativi compromessi e quali garanzie esistono che non permangano backdoor o accessi non autorizzati all'interno della rete comunale;
    7. Con quale criterio non si è ritenuto di informare tempestivamente i Consiglieri Comunali dell'accaduto, e perché non è stata convocata con urgenza la Commissione competente per discutere delle implicazioni di sicurezza e privacy dell'incidente;
    8. Quali misure preventive erano state adottate prima dell'incidente per la protezione dei dati personali, se era stato effettuato un penetration testing recente sui sistemi informatici comunali e con quali risultati;
    9. Quali misure strutturali di potenziamento della cybersecurity saranno implementate per prevenire futuri incidenti informatici?

    Si richiede risposta immediata e dettagliata in Consiglio Comunale.

    Francesco Auletta - Consigliere Comunale Diritti in comune: Una città in comune  - Rifondazione Comunista

    In attesa di avere qualche risposta ufficiale, inclusa l’interrogazione parlamentare depositata in Senato di cui avevo già parlato, abbiamo provato a fare qualche telefonata ad amici pisani, che hanno confermato come, oltre qualche pettegolezzo da bar, non vi sia stata alcuna comunicazione ufficiale.

    Eppure le notizie date dalla stampa, come Wired, riporterebbero che l’analisi dei 100 GB di dati esfiltrati ne confermerebbe la provenienza dai sistemi informatici dell’amministrazione pisana: stupisce quindi non poco questo anomalo silenzio, che contrasta anche con la necessità di fornire agli “interessati” del data breach (cittadini, dipendenti, fornitori…) adeguata e tempestiva comunicazione, anche a mezzo stampa se necessario.

    In ogni caso, chiunque tema per la presenza dei propri dati personali tra il “bottino” dell’attacco, con tutte le eventuali conseguenze del caso, può esercitare i suoi diritti contattando il Data Protection Officer del Comune di Pisa che è l’avv.to Veronica Malfatti, via mail a questi recapiti:

    PEC: comune.pisa@postacert.toscana.it
    e-mail: privacy@comune.pisa.it
    e-mail: v.malfatti@comune.pisa.it

    Vediamo cosa succederà, che onestamente non nascondo una certa curiosità sulla vicenda.

    Questo articolo è stato visto 68 volte (Oggi 1 visite)

    Hai trovato utile questo articolo?

    Potrebbero interessarti anche:

    1. Ransomware: pubblicati online 100GByte di dati esfiltrati dal Comune di Pisa
    2. Comune di Pisa colpito da ransomware gang Nova
    3. Ransomware Vice Society VS Comune di Palermo

    Wannabe hacker, currently dad and cybersec op for fun and profit

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

    Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.