Attacco informatico al Comune di Pisa, rubati dati sensibili

Da 9 giorni il Comune di Pisa è sotto attacco da parte di un gruppo cybercriminale che ha rubato dati di cittadini, dipendenti ed amministratori, lo svela il gruppo consiliare "Una Città in Comune" che accusa l'Amministrazione di non aver informato nessun organo istituzionale

Questo il comunicato integrale

Attacco informatico al Comune di Pisa con dati di cittadini e dipendenti ribatu e a rischio divulgazione. 
  
Ancora una volta è la nostra coalizione a rendere pubblico e porre all'attenzione della cittadinanza quello che inspiegabilmente il Comune vorrebbe tenere sotto silenzio. Abbiamo infatti appena depositato la seguente INTERPELLANZA in cui si chiedono importanti chiarimenti e spiegazioni su quanto accaduto. 
  
  
OGGETTO: Grave violazione della sicurezza informatica del Comune di Pisa con esfiltrazione di dati personali e sensibili di cittadini e dipendenti 
  
PREMESSO CHE: 
  
- In data 10 maggio 2025, il gruppo cybercriminale Nova (precedentemente noto come RALord) ha pubblicato sul proprio sito nel dark web la rivendicazione di un attacco informatico ai danni del Comune di Pisa; 
  
- La data di attivazione della crittografia appare essere il pomeriggio del 10 maggio 2025, precisamente alle ore 14:25, come evidenziato dalla presenza di file con estensione .NOVARANSOM nei sistemi compromessi; 
  
- Gli aggressori hanno fornito un URL di richiesta tramite un portale del dark web, suggerendo trattative o richieste in corso relative al riscatto; 
  
- I criminali informatici hanno fissato una deadline di 14 giorni a partire dal 10 maggio per la negoziazione del riscatto, oltre la quale tutto il materiale esfiltrato sarà divulgato online; 
  
- Il campione di dati già pubblicato online è pari a 1,6 GB compressi e, secondo quanto dichiarato dai criminali, rappresenta solo una piccola parte dei 2TB totali sottratti dai server comunali; 
  
CONSIDERATO CHE: 
  
- L'analisi dei sample già pubblicati dimostra l'effettiva presenza di documentazione relativa al personale dipendente (incluse valutazioni interne, giustificativi di assenza, turni ferie), esportazioni di conversazioni email interne all'ente generate tramite applicativo Zimbra, nonché fatture da e verso cooperative sociali convenzionate con il Comune; 
  
- I criminali affermano di aver sottratto documenti interni, database di pagamenti, codici sorgenti, file di configurazione, informazioni personali, copie documentali di carte d'identità, fatture ed email; 
  
- Questo tipo di incidente sottolinea i gravi rischi per la sicurezza informatica a cui sono esposte le organizzazioni del settore pubblico; 
  
RILEVATO CHE: 
  
- A distanza di 9 giorni dall'attacco, l'Amministrazione non ha ancora emesso alcun comunicato ufficiale né ha informato il Consiglio Comunale dell'accaduto, impedendo ai Consiglieri di esercitare le proprie funzioni di indirizzo e controllo; 
  
- Non è stato attivato alcun canale di comunicazione per informare i cittadini i cui dati personali potrebbero essere stati compromessi, violando gli obblighi di notifica previsti dal GDPR (Regolamento UE 2016/679); 
  
- Non è chiaro quali protocolli di incident response siano stati attivati e quali misure di contenimento e mitigazione del danno siano state implementate; 
  
SI INTERROGA IL SINDACO E LA GIUNTA PER SAPERE: 
  
1. Qual è l'esatta cronologia e la dinamica dell'attacco ransomware, con particolare riferimento ai vettori di ingresso sfruttati dagli attaccanti, all'estensione della compromissione dei sistemi informatici comunali e alle eventuali vulnerabilità non patched che hanno facilitato l'intrusione; 
  
2. Quale quantità e tipologia specifica di dati personali e sensibili (ai sensi dell'art. 9 GDPR) sono stati esfiltrati, con particolare riferimento ai data breach riguardanti cittadini, inclusi minori, e quali rischi concreti comporta questa esposizione per i soggetti coinvolti; 
  
3. Se l'Amministrazione ha notificato tempestivamente l'incidente al Garante Privacy entro le 72 ore previste dall'art. 33 GDPR e ha informato i cittadini interessati dalla violazione come richiesto dall'art. 34 GDPR ove ne ricorrano i presupposti; 
  
4. Se è stato attivato il Computer Security Incident Response Team (CSIRT) nazionale e l'Agenzia per la Cybersicurezza Nazionale (ACN), quali evidenze forensi sono state preservate e quali contromisure sono state implementate per contenere l'incidente; 
  
5. Se è stato effettuato o si intende effettuare il pagamento del riscatto richiesto dal gruppo cybercriminale Nova, con quale copertura finanziaria e con quale base giuridica, considerato che tale pratica potrebbe configurare il reato di finanziamento di attività criminali; 
  
6. Quali misure di remediation e bonifica sono state implementate per ripristinare l'integrità dei sistemi informativi compromessi e quali garanzie esistono che non permangano backdoor o accessi non autorizzati all'interno della rete comunale; 
  
7. Con quale criterio non si è ritenuto di informare tempestivamente i Consiglieri Comunali dell'accaduto, e perché non è stata convocata con urgenza la Commissione competente per discutere delle implicazioni di sicurezza e privacy dell'incidente; 
  
8. Quali misure preventive erano state adottate prima dell'incidente per la protezione dei dati personali, se era stato effettuato un penetration testing recente sui sistemi informatici comunali e con quali risultati; 
  
9. Quali misure strutturali di potenziamento della cybersecurity saranno implementate per prevenire futuri incidenti informatici? 
  
Francesco Auletta - Consigliere Comunale Diritti in comune: Una città in comune - Rifondazione Comunista