g-docweb-display Portlet

Provvedimento del 9 maggio 2024 [10070917]

Stampa

PDF

[doc. web n. 10070917]

Provvedimento del 9 maggio 2024*
*Il provvedimento è stato impugnato - In pendenza del giudizio di opposizione contro il provvedimento, non è applicata la sanzione accessoria della pubblicazione dell'ordinanza ingiunzione

Registro dei provvedimenti
n. 293 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali;

RELATORE l'avv. Guido Scorza;

PREMESSO

A inizio maggio 2019, l’Autorità è venuta a conoscenza di un attacco informatico compiuto dai sedicenti gruppi di hactivisti “LulzSecITA” e “Anonymous Italia” in danno dei portali istituzionali di vari Ordini degli avvocati e della successiva diffusione online di parte dei dati personali esfiltrati da tali portali. Tra questi, in particolare, risultavano oggetto di diffusione, tra gli altri dati, le credenziali di autenticazione utilizzate da migliaia di iscritti all’Ordine degli avvocati di Roma (direttamente identificabili mediante dati anagrafici o di contatto) per l’accesso a caselle PEC con dominio “ordineavvocatiroma.org”, gestito da InfoCert S.p.a. (di seguito “InfoCert”), nonché i messaggi contenuti in alcune di esse.

Nell’ambito della complessa istruttoria avviata in relazione alla predetta violazione dei dati personali dall’Autorità nei confronti di Infocert e di Visura S.p.a. (di seguito “Visura” o la “Società”), che, anche a seguito di fusione per incorporazione di Lextel S.p.a. (di seguito “Lextel”), gestiva i sistemi oggetto di violazione, sono stati svolti numerosi accertamenti ispettivi nei confronti dei soggetti a vario titolo coinvolti, al fine di ricostruire i ruoli assunti nell’ambito dei complessi trattamenti di dati personali posti in essere anche nell’erogazione del servizio PEC di InfoCert.

L’istruttoria, oltre a richiedere numerosi accertamenti ispettivi nei confronti delle predette società, appartenenti entrambe al Gruppo Tinexta, ha comportato articolati approfondimenti di carattere tecnico, ma anche giuridico, al fine di ricostruire i ruoli assunti nel contesto dei complessi trattamenti di dati personali posti in essere nell’erogazione del servizio PEC per conto di InfoCert e nella gestione dei portali istituzionali dei numerosi ordini professionali potenzialmente coinvolti nella violazione, nonché di attribuire le relative responsabilità e qualificare le diverse fattispecie rilevate.

Nel corso dell’istruttoria, anche sulla base delle sollecitazioni dell’Autorità, la Società ha introdotto numerose misure tecniche e organizzative aggiuntive, rispetto al quadro vigente al momento degli accertamenti, oggetto di verifica e valutazione da parte dell’Ufficio, che hanno apportato significativi miglioramenti nell’applicazione del Regolamento, tali da non richiedere l’adozione di provvedimenti correttivi da parte dell’Autorità.

1. Le caratteristiche della violazione dei dati personali

Con nota dell’8 maggio 2019, l’Autorità ha rivolto a InfoCert una richiesta di informazioni in merito alle iniziative assunte per assolvere agli obblighi previsti dagli artt. 33 e 34 del Regolamento in relazione alla predetta violazione. Con nota del 9 maggio 2019, Visura ha notificato all’Autorità, ai sensi dell’art. 33 del Regolamento, le violazioni dei dati personali determinate dall’accesso non autorizzato ai dati trattati dalla stessa e dalla successiva diffusione online di alcuni di essi, fornendo, anche in fasi successive, informazioni relative alla natura delle violazioni dai dati personali, alle circostanze a esse relativi, nonché alle misure messe in atto dopo esserne venuti a conoscenza.

Nel corso dell’attività ispettiva svolta presso Visura, che gestiva per conto della Società i sistemi oggetto della violazione, è emerso che, mediante un attacco informatico di tipo SQL injection avverso un server esposto su rete pubblica (di seguito “web server”), culminato in data 3 maggio 2019, sono stati effettuati, in varie fasi, accessi non autorizzati ai dati memorizzati all’interno di alcuni database presenti su un altro server (di seguito “database server”).

Alcuni dei predetti dati personali oggetto di accesso non autorizzato, riferiti a diverse migliaia di interessati, sono stati successivamente diffusi online da parte del sedicente gruppo di hacktivisti “Anonymous Italia”. In particolare, sono stati oggetto di diffusione i seguenti dati:

− il codice fiscale e l’indirizzo di posta elettronica certificata (di seguito “PEC”) con dominio “ordineavvocatiroma.org” di migliaia di iscritti all’Ordine degli avvocati di Roma, nonché le relative credenziali di autenticazione rilasciate in fase di attivazione di tali caselle PEC;

− i dati anagrafici e di contatto di migliaia di iscritti (avvocati e praticanti) agli Ordini degli avvocati di Caltagirone, Matera, Roma e Piacenza, nonché le credenziali di autenticazione utilizzate per l’accesso alle aree riservate e/o per l’amministrazione dei contenuti dei portali di tali Ordini;

− i dati anagrafici e di contatto di alcuni dipendenti e collaboratori di Visura, nonché le credenziali di autenticazione utilizzate per l’accesso al Sistema di Automazione INTerna (SAINT).
In aggiunta a tali informazioni, utilizzando alcune delle predette credenziali di autenticazione rilasciate in fase di attivazione di tali caselle PEC, sono stati diffusi, altresì, i messaggi contenuti in 12 caselle PEC con dominio “ordineavvocatiroma.org”.

In esito delle analisi condotte da Visura al fine di delineare “in maniera sempre più precisa una serie di informazioni sulle modalità dell'attacco […] subito e sull’entità dei dati esfiltrati”, la Società ha dichiarato che le violazioni dei dati personali occorse riguardano i trattamenti effettuati, a vario titolo, nei seguenti contesti:

− Sistema di Automazione INTerna (SAINT);

− Portale dell’Ordine degli avvocati di Caltagirone;

− Portale dell’Ordine degli avvocati di Matera;

− Portale dell’Ordine degli avvocati di Piacenza;

− Vecchio portale dell’Ordine degli avvocati di Roma (all’interno del quale era presente anche un servizio per richiesta dei parametri di attivazione del servizio PEC rivolto agli iscritti del medesimo Ordine);

− Sistema gestionale dell’albo dell’Ordine degli avvocati di Ancona.

2. Gli elementi emersi nel corso dell’istruttoria dell’Ufficio

Nel corso dell’istruttoria è emerso che la Società agiva quale responsabile del trattamento per conto di InfoCert per l’attività di rivendita del servizio PEC e quale responsabile del trattamento per conto di numerosi ordini professionali per le attività di gestione dei portali istituzionali e degli albi e dei registri.

2.1 La sicurezza del trattamento

2.1.1 Le misure di sicurezza in essere al momento della violazione

2.1.1.1 I sistemi di trattamento oggetto di violazione

Visura ha preliminarmente rappresentato che i sistemi oggetto dell’attacco informatico che ha determinato le violazioni dei dati personali in esame, per le attività di trattamento effettuate sia in qualità di titolare che di responsabile, sono un “Server Windows 2008 sui cui insiste Internet Information Service 7 che ospita il codice delle applicazioni esposte verso la rete internet” (di seguito “web server”) e un “Server Windows 2003 R2 con SP 2 sui cui insiste MSSQL Server 2000 SP4 che ospita i database che servono le applicazioni del server di cui sopra” (di seguito “database server”) (cfr. notifica del 9 maggio 2019, p. 3).

Per quanto attiene alle misure di sicurezza in essere al momento dell’attacco informatico, Visura ha dichiarato che “i citati server erano protetti da alcuni sistemi di sicurezza perimetrale, consistenti in una coppia di firewall e in sistemi di tipo IPS (intrusion prevention system)” (cfr. verbale del 21 maggio 2019, p. 3).

Nel corso dell’attività ispettiva è altresì emerso che “ciascuna delle 5 applicazioni web coinvolte nell’attacco utilizzava una specifica utenza per l’accesso al DBMS” e che la stessa società non aveva definito alcuna “password policy relativa alle utenze tecniche, utilizzate per le connessioni machine to machine, relativamente ai server oggetto di violazione” (v. verbale del 21 maggio 2019, p. 5).

2.1.1.2 Le modalità di conservazione delle password degli utenti

Nel corso dell’istruttoria è stato “analizzato il contenuto dei database presenti nel DBMS, constatando che in ciascuno di essi, nelle tabelle contenenti credenziali di autenticazione per l’accesso alle relative applicazioni web, sia come utenti “ordinari” che come utenti con privilegi amministrativi, i valori delle password erano memorizzati in chiaro. È stato riscontrato altresì che in alcune istanze di database erano presenti, in apposite tabelle, gli indirizzi PEC e le relative credenziali di autenticazione (username e password), rilasciate agli iscritti a diversi ordini professionali” (cfr. verbale del 21 maggio 2019, p. 4, e all. 6 al medesimo verbale).

In particolare, è emerso che all’interno del database server oggetto dell’attacco informatico, tra gli altri dati, erano memorizzate in chiaro un elevato numero di credenziali di autenticazione:

− circa 16.700 username e password utilizzate per l’accesso ad aree riservate o per l’amministrazione dei portali di diversi Ordini professionali (tra i quali gli Ordini degli avvocati di Caltagirone, Caltanissetta, Castrovillari, Enna, Ferrara, Forlì-Cesena, Gela, Isernia, Lamezia Terme, Larino, Locri, Lodi, Matera, Piacenza, Reggio Calabria, Rieti, Roma e Siracusa, degli Ordini dei dottori commercialisti e degli esperti contabili di Brindisi, Latina e Udine, nonché dell’Ordine dei dottori agronomi e dei dottori forestali di Firenze);

− circa 1.300 username e password utilizzate per l’accesso al sistema SAINT e a ulteriori non meglio identificati servizi online di Visura;

− circa 115.000 username e password di prima attivazione delle caselle PEC di InfoCert in uso a iscritti a diversi Ordini professionali (Ordini degli avvocati di Avellino, Bari, Brindisi, Foggia, Frosinone, Genova, L'Aquila, Larino, Lecce, Napoli, Nocera inferiore, Pescara, Rieti, Roma, Savona e Trieste, nonché del Collegio nazionale dei periti agrari e dei periti agrari laureati).
Con particolare riferimento alle modalità con cui le predette password sono state generate o modificate è stato verificato che:

− le password utilizzate per l’accesso ad aree riservate di portali di Ordini professionali risultano essere state, nella quasi totalità dei casi, impostate direttamente dagli utenti;

− le password utilizzate per l’amministrazione dei predetti portali e quelle per l’accesso al sistema SAINT erano, nella maggior parte dei casi, corrispondenti a valori predefiniti e verosimilmente non erano state scelte dagli stessi utenti;

− le password di prima attivazione delle caselle PEC sono state generate in automatico dal sistema all’atto della creazione delle credenziali di autenticazione di ciascun utente che non era obbligato a modificarle al primo utilizzo (v. all. 3 al verbale del 30 luglio 2019).

2.1.1.3 Le modalità di attivazione delle caselle PEC in favore di iscritti a Ordini professionali e di consegna delle credenziali di autenticazione agli stessi

Con riguardo alle modalità di attivazione delle caselle PEC in favore di iscritti a Ordini degli avvocati, Visura ha dichiarato che “a fronte dell’obbligo imposto dalla legge agli avvocati di dotarsi di una casella di posta elettronica certificata, nel 2009 gli Ordini hanno negoziato con la società il rilascio massivo di caselle PEC alla totalità degli iscritti. Gli Ordini hanno pertanto comunicato alla società l’elenco degli iscritti, corredato di alcune informazioni, tra cui l’indirizzo email, che hanno portato alla generazione delle rispettive caselle PEC corredate delle relative credenziali di autenticazione”. In proposito, Visura ha rappresentato che, “in seguito alla generazione di tali caselle, InfoCert ha reso disponibile alla società l’elenco delle caselle corredate delle credenziali di autenticazione, composte da username e password di prima attivazione. A fronte della creazione delle caselle PEC, la società ha inviato all’indirizzo email ordinario di ciascun avvocato, comunicato dagli Ordini, un messaggio con le citate credenziali di autenticazione (username e password in chiaro) e con l’indicazione di provvedere obbligatoriamente alla loro modifica”. In relazione alla modifica della password, Visura ha precisato che “il sistema non imponeva tale modifica né al momento dell’attivazione della casella PEC, né al primo accesso” (v. verbale del 24 maggio 2019, pp. 3-4, e all. 6 al medesimo verbale).
Inoltre, Visura ha rappresentato che, “in seguito ad alcune problematiche segnalate dagli avvocati nella ricezione delle predette email, gli Ordini hanno chiesto alla società di predisporre un’apposita applicazione web per l’attivazione delle caselle PEC che rendesse disponibili ai titolari delle stesse le relative credenziali di autenticazione (username e password di prima attivazione), previo inserimento di alcuni dati di riscontro. Per alcuni Ordini che si avvalevano della società anche per la gestione del portale web, tale funzionalità veniva resa disponibile all’interno del portale stesso, mentre per altri Ordini tale funzionalità veniva fornita mediante una specifica applicazione web” (cfr. verbale del 24 maggio 2019, p. 4). Visura ha precisato che le predette modalità operative sono state adottate “anche per l’attivazione a regime di caselle PEC di nuovi iscritti agli albi e che, in caso di cancellazione dall’albo, la società in ogni caso non provvedeva alla revoca della casella PEC” (cfr. verbale del 24 maggio 2019, p. 6).

Nel corso dell’attività ispettiva è emerso che tramite la predetta applicazione web, denominata “Gestione PEC”, o, in alcuni casi, tramite il portale dell’Ordine era possibile, tra le altre cose, recuperare le credenziali di autenticazione (username e password di prima attivazione) di una casella PEC utilizzando la funzionalità “Richiesta parametri attivazione”, nonché comunicare o modificare il proprio indirizzo PEC ai fini della pubblicazione dello stesso sull’albo dell’Ordine utilizzando la funzionalità “Comunica o aggiorna PEC”.

Le connessioni all’applicazione “Gestione PEC” (all’epoca raggiungibile a indirizzi web del tipo “http://pec.lextel.it/<ORDINE>/”) e al portale dell’Ordine degli avvocati di Larino (all’epoca raggiungibile all’indirizzo web “http://www.ordineavvocatilarino.it/GestionePEC/”) avvenivano su protocollo http (v. verbale del 24 maggio 2019, p. 6, e all. 8 al verbale del 7 giugno 2019).

Per quanto riguarda il servizio PEC in favore degli iscritti all’Ordine degli avvocati di Roma, analoga funzionalità è stata, nel tempo, resa disponibile sia sul vecchio portale dell’Ordine (raggiungibile, fino alla fine di ottobre 2016, all’indirizzo web “http://www.ordineavvocati.roma.it/Pec/” e, successivamente, fino al momento in cui si è verificato l’attacco informatico, all’indirizzo web “https://visura.it/Pec/”), sia su un’ulteriore versione del portale (raggiungibile, fino al mese di settembre 2018, all’indirizzo web “https://www.ordineavvocatiroma.it/pec/”).

Con riferimento alla funzionalità “Richiesta parametri attivazione”, Visura ha dichiarato che, a fronte dell’inserimento di alcuni dati di riscontro, venivano mostrati l’indirizzo della casella PEC, la username e la password da utilizzare per l’attivazione della casella PEC. Visura ha precisato che “tale funzionalità mostrava la password di prima attivazione anche in un momento successivo all’attivazione della casella PEC, indipendentemente dal fatto che l’utilizzatore della casella PEC avesse o meno effettuato il cambio della password” e che i dati di riscontro previsti erano il nome, il cognome, il codice fiscale, nonché la data di iscrizione (per gli Ordini degli avvocati di Bari, Foggia, Genova, L’Aquila, Lecce, Pescara, Savona e Larino), il numero di iscrizione (per il Collegio nazionale dei periti agrari e dei periti agrari laureati e per gli Ordini degli avvocati di Avellino e Rieti) o il numero di tesserino (per gli Ordini degli avvocati di Brindisi, Frosinone, Napoli, Nocera Inferiore, Roma e Trieste) (cfr. verbale del 24 maggio 2019, p. 5, e all. 8 al verbale del 7 giugno 2019).

2.1.1.4. La procedura di reset di una password per l’accesso a una casella PEC attivata in favore di un iscritto a un Ordine professionale

Nell’ambito dell’istruttoria effettuata, InfoCert, titolare del trattamento relativo alla gestione del servizio PEC, ha rappresentato di aver “previsto tre modalità per il reset delle password per l’accesso alle caselle PEC: (1) reset della password effettuato dall’Utilizzatore tramite la funzionalità di “recupero password” disponibile sulla webmail […]; (2) reset della password effettuato dal customer care di InfoCert […]; (3) reset della password effettuato da un intermediario mediante l’utilizzo di una specifica funzionalità presente nell’applicazione “Autogestione””(v. verbale del 31 luglio 2019, p. 3).

Nel corso dell’attività ispettiva svolta presso InfoCert, è stato constatato che, nel caso di un iscritto a un Ordine professionale convenzionato con Visura che non ha configurato le c.d. “informazioni aggiuntive di sicurezza”, la procedura di “recupero password” disponibile sulla webmail mostra “un messaggio con cui informa l’Utilizzatore che è necessario effettuare una forzatura della password, collegandosi ad un link ad un’applicazione web gestita da Visura, raggiungibile tramite protocollo http, che richiede l’inserimento di alcuni dati personali e l’upload di copia di un documento d’identità” (cfr. verbale del 31 luglio 2019, p. 4, e all. 12 al medesimo verbale).

Al riguardo, InfoCert ha rappresentato che “non era a conoscenza della predetta modalità adottata dall’intermediario, essendosi limitata a riportare il link fornito da Visura all’interno della pagina dedicata” (cfr. verbale del 31 luglio 2019, p. 4). Successivamente, InfoCert ha evidenziato di aver “provveduto a sostituire il link con un indirizzo web raggiungibile tramite protocollo https […] e che, anche tentando di accedere con il protocollo http, l’utente viene reindirizzato sul protocollo https” (cfr. verbale del 1° agosto 2019, p. 2).

2.1.2 Le misure adottate a seguito delle violazioni dei dati personali

2.1.2.1 La migrazione dei portali degli Ordini degli avvocati

Con riferimento ai portali degli Ordini degli avvocati coinvolti nelle violazioni dei dati personali, Visura dichiarato che, “al fine di ripristinare i servizi ed i sistemi coinvolti nella violazione, […] ha effettuato alcuni interventi consistenti nella messa in opera di nuovi server, all’interno dei quali è tuttora in corso la migrazione dei contenuti presenti nei vecchi server coinvolti nell’attacco. Inoltre, il web server compromesso è stato bonificato e scollegato dalla rete mentre il database server, non essendo esposto su rete pubblica, non è stato oggetto di azioni correttive” (cfr. verbale del 21 giugno 2019, p. 2).

Al riguardo, Visura ha dichiarato che “i portali web degli Ordini professionali che attualmente sono disponibili online non prevedono un’area ad accesso autenticato, ad eccezione del nuovo portale dell’Ordine di Roma” (cfr. verbale del 7 giugno 2019, p. 5).

2.1.2.2 La sospensione temporanea delle caselle PEC coinvolte nella violazione dei dati personali e la procedura di reset della password di accesso

Per quanto attiene alle misure di sicurezza adottate a seguito della violazione delle credenziali di autenticazione (username e password di prima attivazione), Visura ha dichiarato che “il reset delle password compromesse è stato così effettuato: (i) InfoCert ha provveduto a resettare le password per le caselle PEC coinvolte nella violazione ed a comunicare le stesse a Visura; (ii) gli Ordini professionali hanno fornito a Visura un elenco degli indirizzi email degli iscritti coinvolti nella violazione o, in assenza di tale collaborazione da parte degli Ordini, Visura ha provveduto ad estrarre dagli Albi gli indirizzi email degli iscritti coinvolti nella violazione; (iii) Visura ha provveduto a inviare tramite email la nuova password a ciascun interessato” (cfr. verbale del 24 maggio 2019, p. 3).

Visura ha rappresentato che “l’invio della nuova password è stato effettuato solo per circa 22.400 interessati, in quanto per i restanti Visura non era riuscita a recuperare un indirizzo email a cui inviare la citata comunicazione” e ha evidenziato che “era comunque disponibile un’apposita funzione che consentiva agli interessati di richiedere la c.d. “forzatura della password” previo inserimento di alcuni dati di riscontro e di copia di un documento di identità. Tali richieste non venivano evase automaticamente ma venivano lavorate da un operatore di Visura mediante l’ausilio di un sistema di provisioning che InfoCert S.p.a. rende disponibile alla stessa”. Inoltre, Visura ha evidenziato che “presso le sedi di alcuni Ordini professionali è stato inviato personale di Visura al fine di fornire un servizio di assistenza agli interessati per l’esecuzione delle operazioni di cambio della password o di richiesta di forzatura della password” e che è stato “potenziato il servizio di assistenza telefonica tramite call center, anche prolungando l’orario di disponibilità dello stesso” (cfr. verbale del 24 maggio 2019, pp. 3-4).

Inoltre, Visura ha rappresentato di aver pubblicato su alcuni dei propri siti web un avviso relativo alle modalità per effettuare il reset della password e di aver reso disponibile una “certificazione di disservizio del servizio PEC datata 7 maggio 2019, rilasciata agli avvocati, utile alla rimessione in termini processuali” (cfr. verbale del 24 maggio 2019, p. 2, e all. 5 al medesimo verbale).

2.1.2.3 Le nuove modalità di richiesta dei parametri di attivazione delle caselle PEC

Visura ha rappresentato che, “a seguito dell’attacco informatico, la funzionalità “Richiesta parametri attivazione” che consentiva il recupero automatico delle credenziali di autenticazione (username e password di prima attivazione) per l’accesso alle caselle PEC non è più disponibile per nessun ordine professionale, nemmeno tramite altre applicazioni web”, precisando che, “a seguito della dismissione della citata funzionalità, InfoCert Spa rende disponibili le credenziali di autenticazione (username e password di prima attivazione) per l’accesso alle caselle PEC a Visura che successivamente provvede ad inviarle tramite email ai rispettivi titolari” (cfr. verbale del 7 giugno 2019, p. 4). Nel corso dell’attività ispettiva presso InfoCert è emerso che tale modalità operativa è stata modificata a fronte della revisione da parte di InfoCert del processo di attivazione di caselle PEC tramite intermediario (cfr. all. 4 al verbale del 30 luglio 2019, p. 6).

2.2 La mancata comunicazione della violazione di dati personali

2.2.1. Le violazioni dei dati personali trattati nell’ambito dei portali degli Ordini degli avvocati di Caltagirone, Matera e Piacenza

Con riferimento alle violazioni dei dati personali trattati nell’ambito dei portali degli Ordini degli avvocati di Caltagirone, Matera e Piacenza per conto degli stessi, Visura ha dichiarato di essere stata informata con le note del 6 e 7 maggio 2019 che il CNAIPIC ha trasmesso agli Ordini degli avvocati di Caltagirone, Matera e Piacenza, con le quali è stato comunicato che “nell’ambito dell’attività di monitoraggio questo Centro è venuto a conoscenza che il sito internet riconducibile all’Ordine degli Avvocati […], avrebbe subito l’esfiltrazione di dati sensibili, azione rivendicata dalla crew “LulzsecITA”” e che i dati oggetto di esfiltrazione erano stati diffusi online (cfr. all. 3 al verbale del 21 maggio 2019).

Visura ha inoltre rappresentato che “in data 7 maggio 2019, alle ore 14:33, la società […] inoltrava […] [al proprio responsabile della protezione dei dati] la segnalazione da parte del “Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche”, Organo del Ministero dell’Interno per la sicurezza delle comunicazioni, di un evento, classificato a gravità bassa, coinvolgente dati pubblici sottratti in relazione agli Ordini degli avvocati di Matera e di Caltagirone” (cfr. nota del 9 maggio 2019, p. 1) e che “tra i dati sottratti sono presenti anche le credenziali di accesso degli iscritti all’area riservata dei portali di alcuni Ordini degli Avvocati”, tra i quali anche gli Ordini degli avvocati di Caltagirone, Matera e Piacenza (v. nota del 16 maggio 2019, p. 3).

Nel corso dell’attività ispettiva presso Visura è stata acquisita copia dei database relativi ai portali dei predetti Ordini (cfr. all. 6 al verbale del 21 maggio 2019) e, successivamente, è stato constatato che all’interno degli stessi erano contenuti i seguenti dati personali, oggetto di violazione:

- Ordine degli avvocati di Caltagirone: i dati anagrafici e di contatto di n. 433 avvocati e n. 142 praticanti, nonché le credenziali di autenticazione (username e password) di n. 8 utenti, utilizzate per l’amministrazione dei contenuti del portale;

- Ordine degli avvocati di Matera: i dati anagrafici e di contatto di n. 875 avvocati e n. 36 praticanti; le credenziali di autenticazione (username e password) di n. 3 utenti, utilizzate per l’amministrazione dei contenuti del portale; i dati anagrafici e di contatto, nonché le credenziali di autenticazione (username e password) di n. 360 utenti (avvocati e praticanti), utilizzate per l’accesso all’area riservata del portale;

- Ordine degli avvocati di Piacenza: i dati anagrafici e di contatto di n. 708 avvocati e n. 120 praticanti; i dati anagrafici e di contatto, nonché altre informazioni curriculari di n. 250 interessati che aveva compilato un form per candidarsi a “possibili opportunità di lavoro”; le credenziali di autenticazione (username e password) di n. 2 utenti, utilizzate per l’amministrazione dei contenuti del portale; i dati anagrafici e di contatto, nonché le credenziali di autenticazione (username e password) di n. 230 utenti (avvocati e praticanti), utilizzate per l’accesso all’area riservata del portale.

Tutte le password contenute all’interno dei predetti database erano memorizzate in chiaro.

È stato, inoltre, constatato che i seguenti dati personali, contenuti all’interno del predetto database, sono stati oggetto di diffusione online:

− Ordine degli avvocati di Caltagirone: le credenziali di autenticazione (username e password) di n. 8 utenti, utilizzate per l’amministrazione dei contenuti del portale;

− Ordine degli avvocati di Matera: i dati anagrafici e di contatto di n. 36 praticanti; le credenziali di autenticazione (username e password) di n. 3 utenti, utilizzate per l’amministrazione dei contenuti del portale; i dati anagrafici e di contatto, nonché le credenziali di autenticazione (username e password) di n. 360 utenti (avvocati e praticanti), utilizzate per l’accesso all’area riservata del portale (nel corso dell’istruttoria, è emerso che l’accesso alla predetta area riservata non era più attivo dal 2012);

− Ordine degli avvocati di Piacenza: le credenziali di autenticazione (username e password) di n. 2 utenti, utilizzate per l’amministrazione dei contenuti del portale; i dati anagrafici e di contatto, nonché le credenziali di autenticazione (username e password) di n. 230 utenti (avvocati e praticanti), utilizzate per l’accesso all’area riservata del portale.

Visura ha inoltre fornito “copia delle comunicazioni inviate nella giornata del 23 maggio 2019 ai predetti […] Ordini volta a precisare meglio l’ambito della violazione, con l’indicazione del testo di un possibile messaggio da inoltrare agli utenti del portale coinvolti nella violazione, offrendosi di effettuare l’invio in nome e per conto dei medesimi Ordini. Ciò al fine di esortare la modifica della medesima password spesso riutilizzata dagli utenti per l’accesso a diversi servizi online, riducendo i rischi di ulteriori accessi abusivi” (cfr. verbale del 24 maggio 2019, p. 2).

Nel corso dell’istruttoria è tuttavia emerso che, nel comunicare le violazioni dei dati personali ai titolari del trattamento, Visura:

- con riguardo all’Ordine degli avvocati di Caltagirone, si è limitata a inviare una comunicazione, in data 8 maggio 2019, con cui lo informava genericamente che la violazione dei dati personali occorsa aveva “riguardato il contento del sito internet dell’Ordine”;

- con riguardo all’Ordine degli avvocati di Matera, si è limitata a inviare una comunicazione, in data 10 maggio 2019, relativa esclusivamente alla sospensione temporanea del servizio PEC offerto ai suoi iscritti (circostanza non rilevante ai fini della violazione dei dati personali occorsa);

- con riguardo all’Ordine degli avvocati di Piacenza, in un primo momento, non ha inviato alcuna comunicazione formale in relazione alla violazione dei dati personali occorsa.

Solo con la successiva comunicazione del 23 maggio 2019, Visura ha fornito alcuni elementi che caratterizzano le violazioni dei dati personali trattati nell’ambito dei portali degli Ordini degli avvocati di Caltagirone, Matera e Piacenza, non idonei a consentire ai titolari del trattamento di valutare in modo adeguato i rischi derivanti dalle stesse, con particolare riguardo alle circostanze in cui si sono verificate, alla natura e alla portata delle violazioni in termini di numero di interessati coinvolti e di categorie di dati personali oggetto di violazione, omettendo di indicare che le password utilizzate per l’accesso all’area riservata del portale fossero memorizzate in chiaro (circostanza che, unitamente al fatto che le password fossero scelte dagli utenti, qualificano le violazioni di sicurezza come violazioni dei dati personali che comportano un rischio elevato per gli interessati, condizione per cui è richiesta la comunicazione di cui all’art. 34 del Regolamento).

2.2.2 La violazione dei dati personali trattati nell’ambito del vecchio portale dell’Ordine degli avvocati di Roma

Visura è stata informata della violazione dei dati personali in questione con la nota del 7 maggio 2019 che il CNAIPIC ha trasmesso alla stessa Società, a InfoCert e, per conoscenza, all’Ordine degli Avvocati di Roma, con la quale è stato comunicato che “nell’ambito dell’attività di monitoraggio questo Centro è venuto a conoscenza di un massivo attacco informatico consumato ai danni della posta elettronica certificata in uso all’Ordine degli Avvocati di Roma, esfiltrando dati sensibili contenuti nel database” e che i dati oggetto di esfiltrazione erano stati diffusi online (cfr. all. 3 al verbale del 21 maggio 2019).

Visura ha preliminarmente rappresentato che “alle 15:47 del [… 7 maggio 2019], la funzione di CyberSecurity di InfoCert […] trasmetteva [al proprio responsabile della protezione dei dati] il link al sito dei sedicenti hacker, da cui si evince che la dimensione dell’attacco è di maggiore rilevanza, coinvolgendo anche altri Ordini e le password di default per l’accesso alle caselle di Posta Elettronica Certificata (“PEC”). La violazione ha in particolare riguardato la sottrazione di un file contenente le password di default delle caselle PEC degli utenti, vale a dire le password che vengono automaticamente generata da parte del sistema in occasione della prima attivazione da parte degli utenti. Viene dunque accertato che l’evento in questione non ha avuto ad oggetto la sottrazione di altre password delle caselle PEC dei professionisti, diverse dalle password di default, né ha comportato una sottrazione di dati dai sistemi del Gestore PEC InfoCert” (cfr. nota del 9 maggio 2019, p. 1).

Successivamente, la Società ha rappresentato che “in aggiunta a quanto già in precedenza notificato e comunicato a codesta Autorità, la società Visura ha inoltre rilevato che tra i dati sottratti sono presenti anche le credenziali di accesso degli iscritti all’area riservata dei portali di alcuni Ordini degli Avvocati”, tra i quali anche un sito web che ospitava il vecchio portale dell’Ordine degli Avvocati di Roma, precisando che lo stesso “nel corso del 2018 era stato oggetto di aggiornamento tecnologico e reingegnerizzazione. A settembre 2018, inoltre, il DNS di “www.ordineavvocatiroma.it” è stato puntato verso la nuova versione del portale (residente su altro server non violato e tutt’ora operativo) rendendo obsoleto, non utilizzabile e non più aggiornato il portale oggetto del breach e le informazioni in esso presenti (ivi incluse le credenziali di autenticazione all’area riservata degli utenti)” (cfr. nota del 16 maggio 2019, p. 3). Al riguardo, Visura ha dichiarato che, al momento dell’attacco informatico, il vecchio portale dell’Ordine degli avvocati di Roma, ancorché dismesso, era comunque raggiungibile da rete pubblica “in virtù di una specifica configurazione dei sistemi di front-end, [che] consentiva la raggiungibilità della stessa URL mediante il nome DNS “visura.it”” (cfr. verbale del 22 maggio 2019, p. 4).

Nel corso dell’attività ispettiva presso Visura è stata acquisita copia del database relativo al portale del predetto Ordine (cfr. all. 6 al verbale del 21 maggio 2019) e, successivamente, è stato constatato che all’interno dello stesso erano contenuti, tra gli altri, i seguenti dati personali, trattati da Visura per conto dell’Ordine degli avvocati di Roma, che sono stati oggetto di accessi non autorizzati:

- i dati anagrafici e di contatto, nonché altre informazioni di circa 26.000 avvocati;

- il codice fiscale e il numero di iscrizione all’albo di n. 29.442 avvocati;

- i dati anagrafici e di contatto di n. 8.082 praticanti;

- i dati anagrafici e di contatto, nonché altre informazioni curriculari di n. 19.290 interessati che aveva compilato un form per candidarsi a “possibili opportunità di lavoro”;

- le segnalazioni inviate all’Ordine da circa 280 avvocati, in relazione a inefficienze o eccellenze nell’ambito di uffici giudiziari;

- i dati anagrafici e di contatto di circa 1.200 partecipanti alle udienze papali del 2013 e 2016;

- i dati anagrafici e di contatto di avvocati e praticanti che hanno effettuato n. 88.951 prenotazioni per la partecipazione a eventi organizzati dell’Ordine;

- le credenziali di autenticazione (username e password) in chiaro di n. 38 utenti, utilizzate per l’amministrazione dei contenuti del portale;

- i dati anagrafici e di contatto, nonché altre informazioni curriculari di avvocati che hanno presentato n. 2.613 domande di inserimento nell’elenco degli avvocati abilitati ad essere delegati alle vendite e alla custodia dei beni pignorati;

- i dati anagrafici e di contatto, nonché le credenziali di autenticazione (username e password) in chiaro di n. 12.399 utenti (avvocati e praticanti), utilizzate per l’accesso all’area riservata del portale;

- il codice fiscale, l’indirizzo PEC con dominio “ordineavvocatiroma.org”, nonché le credenziali di autenticazione (username e password di prima attivazione) in chiaro di n. 40.623 utenti (avvocati e praticanti), rilasciate in fase di attivazione di tali caselle PEC (tale ultimo numero è stato calcolato considerando i distinti valori memorizzati nelle tabelle, XX e “XX”, contenenti i dati utilizzati per l’attivazione del servizio PEC in favore degli iscritti all’Ordine degli Avvocati di Roma).

Si evidenzia inoltre che, dall’analisi dei dati contenuti all’interno del database utilizzato dal portale in questione, risulta che:

- l’area riservata del portale, a cui si accedeva tramite le predette credenziali di autenticazione (username e password), sia stata dismessa verosimilmente a fine ottobre 2016;

- la funzionalità di “Richiesta parametri attivazione” del servizio PEC in favore degli iscritti all’Ordine degli avvocati di Roma, per la quale venivano conservati alcuni dati personali (codici fiscali, indirizzi PEC, username e password di prima attivazione), sia stata dismessa nel mese di settembre 2018.

È stato inoltre constatato che i seguenti dati personali, contenuti all’interno del predetto database, sono stati oggetto di diffusione online:

- i dati anagrafici e di contatto, nonché le credenziali di autenticazione (username e password) di n. 12.399 utenti (avvocati e praticanti), utilizzate per l’accesso all’area riservata del portale;

- il codice fiscale, l’indirizzo PEC con dominio “ordineavvocatiroma.org”, nonché le credenziali di autenticazione (username e password di prima attivazione) di n. 26.921 utenti (avvocati e praticanti), rilasciate in fase di attivazione di tali caselle PEC, alcune delle quali sono state utilizzate per effettuare accessi non autorizzati alle caselle e, in alcuni casi (12), diffonderne il contenuto.

Con riferimento alla violazione dei dati personali trattati nell’ambito del portale dell’Ordine degli Avvocati di Roma, Visura ha dichiarato che “per quanto concerne il rilascio delle credenziali di autenticazione nell’ambito del servizio PEC e il conseguente trattamento dei dati personali degli interessati che richiedono l’attivazione di una casella PEC, Visura assume il ruolo di responsabile del trattamento di InfoCert S.p.A. […]. Come tale, Visura raccoglie i dati personali degli interessati necessari affinché InfoCert possa attivare la casella PEC richiesta e procedere, conseguentemente, al rilascio delle relative credenziali di autenticazione” (v. nota del 31 maggio 2019, p. 2).

Con riferimento alla violazione dei dati personali trattati per conto dell’Ordine degli Avvocati di Roma, Visura ha rappresentato che, “a seguito delle segnalazioni del CNAIPIC, è stato avviato un flusso informativo con [gli …] Ordini nell’ambito del quale è stata sospesa l’operatività dei relativi portali web ed è stata iniziata la migrazione verso portali web di nuova realizzazione” (cfr. verbale del 22 maggio 2019, p. 3), fornendo copia delle comunicazioni invita in data 8 e 10 maggio 2019 al Presidente di tale Ordine per informarlo, tra le altre cose, del fatto che “a partire dalle ore 19:00, del giorno 7 maggio 2019, il servizio di accesso ad alcune caselle di posta elettronica certificata Legalmail è stato temporaneamente sospeso”, che “il sinistro occorso in data 7 maggio 2019 non ha interessato i dati accessibili tramite il gestionale Albo Sfera” e che “si è reso necessario, per motivi prudenziali e di contenimento del rischio, bloccare l’accesso alle caselle PEC degli iscritti all’Ordine […] al fine di scongiurare eventuali accessi indebiti da parte di ignoti, diretti ad acquisire e utilizzare in modo illecito le informazioni ivi contenute” (cfr. all. 2 al verbale del 24 maggio 2019, pp. 1-3).

Nel corso dell’istruttoria è emerso, pertanto, che, nel comunicare la violazione dei dati personali all’Ordine degli avvocati di Roma titolare del trattamento, Visura si è limitata, in un primo momento, a inviare alcune comunicazioni, in data 8 e 10 maggio 2019, con cui informava l’Ordine degli avvocati di Roma che il servizio PEC rivolto ai suoi iscritti era stato temporaneamente sospeso al fine di “scongiurare eventuali accessi indebiti da parte di ignoti, diretti ad acquisire e utilizzare in modo illecito le informazioni ivi contenute”, escludendo che la violazione dei dati personali avesse riguardato anche i dati trattati nell’ambito del sistema gestionale dell’albo dell’Ordine.

Solo con la successiva comunicazione del 23 maggio 2019, Visura ha fornito alcuni elementi che caratterizzano la violazione dei dati personali trattati nell’ambito del vecchio portale dell’Ordine degli avvocati di Roma, non idonei a consentire al titolare del trattamento di valutare in modo adeguato i rischi derivanti dalla stessa, con particolare riguardo alle circostanze in cui si è verificata, alla natura e alla portata della violazioni in termini di numero di interessati coinvolti e di categorie di dati personali oggetto di violazione, omettendo di indicare che le password utilizzate per l’accesso all’area riservata del vecchio portale fossero memorizzate in chiaro (circostanza che, unitamente al fatto che le password fossero scelte dagli utenti, qualificano la violazione di sicurezza come una violazione dei dati personali che comporta un rischio elevato per gli interessati, condizione per cui è richiesta la comunicazione di cui all’art. 34 del Regolamento).

2.2.3 La violazione dei dati personali trattati nell’ambito del sistema gestionale dell’albo dell’Ordine degli avvocati di Ancona

Con riferimento alla violazione dei dati personali trattati per la gestione dell’albo agli iscritti all’Ordine degli avvocati di Ancona, Visura ha dichiarato che “la società riveste il ruolo di Responsabile del trattamento” (cfr. verbale del 7 giugno 2019, p. 2) e ha rappresentato di essere venuta a conoscenza della stessa in data 6 giugno 2019, all’esito delle attività di analisi dei log dei sistemi oggetto dell’attacco informatico.

Nel corso dell’attività ispettiva, Visura ha dichiarato che all’interno del database (XX) relativo al sistema gestionale dell’albo dell’Ordine degli avvocati di Ancona, erano presenti i seguenti dati degli iscritti all’Ordine che sono stati oggetto di accessi non autorizzati (cfr. all. 3 al verbale del 7 giugno 2019):

-informazioni trattate ai fini della pubblicazione nell’albo: i dati anagrafici (nome, cognome, data nascita, comune e provincia di nascita, sesso, codice fiscale); la data iscrizione sospensione; la data decorrenza sospensione; la data fine iscrizione; la descrizione delle ragioni della cessazione; la numero di iscrizione all’albo; la data di prima iscrizione; l’iscrizione all’albo dei cassazionisti; la data di iscrizione all’albo dei cassazionisti; la data di iscrizione al registro dei praticanti; la data di iscrizione al registro dei praticanti abilitati; i dati di contatto dello studio legale (indirizzo, località, comune e provincia dello studio legale, numero di telefono e numero di fax dello studio legale); i dati di contatto dell’avvocato (indirizzo di posta elettronica ordinaria e indirizzo di posta elettronica certificata); la data di iscrizione al patrocinio a spese dello Stato;

- informazioni trattate ai fini dell’iscrizione all’albo: informazioni di vario genere relative all’iscritto; la partita IVA; la data di decesso dell’iscritto; i dati di contatto (numero di cellulare 1, numero di cellulare 2); il numero del libretto di pratica; la data di laurea; la data di compiuta pratica; la data giuramento avvocato; la data di fine pratica; la data di inizio pratica parziale; il nome e cognome del dominus; il nome e cognome del presidente e del segretario del Consiglio dell’Ordine.

Visura ha inoltre rappresentato che “il portale dell’Ordine degli Avvocati di Ancona (ordineavvocatiancona.it) è gestito da un fornitore terzo che per l’esposizione dei dati dell’Albo degli iscritti utilizzava l’applicazione [di Visura] oggetto di attacco informatico. L’applicazione aveva la finalità di esporre in forma pubblica l’elenco degli iscritti all’ordine e la relativa scheda di ciascun iscritto. I dati dell’Albo erano gestiti dall’Ordine attraverso un’applicazione gestionale che consentiva le normali operazioni quali l’inserimento, la modifica e l’eliminazione degli iscritti. I dati (ci si riferisce al solo subset utile alla pubblicazione delle schede degli iscritti) venivano giornalmente copiati su una istanza DB XX, il cui accesso avveniva in sola lettura. Questa istanza DB era quella utilizzata dall’applicazione richiamata (linkata) dal Portale dell’Ordine degli Avvocati di Ancona. Tale applicazione era stata tuttavia recentemente dismessa (inizio aprile 2019)” (cfr. nota del 25 giugno 2019, p. 2).

Visura ha rappresentato di aver “provveduto a inviare una comunicazione all’Ordine degli Avvocati di Ancona ai sensi dell’art. 33, paragrafo 2 del Regolamento (UE) 2016/679 in data 13 giugno 2019” (v. nota del 25 giugno 2019, p. 2).

Nel corso dell’istruttoria è emerso che, nel comunicare la violazione dei dati personali all’Ordine degli avvocati di Ancona, Visura si è limitata a fornire alcuni elementi che caratterizzano la stessa, non idonei a consentire al titolare del trattamento di valutare in modo adeguato i rischi derivanti dalla stessa, con particolare riguardo alle circostanze in cui si è verificata, nonché alla portata della violazione in termini di numero di interessati coinvolti e di categorie di dati personali oggetto di violazione, omettendo di indicare che gli stessi includono anche dati di contatto (numeri di cellulare) non pubblicati sull’albo e non fornendo dettagli sulle “informazioni di vario genere relative all’iscritto”.

3. L’avvio del procedimento per l’adozione dei provvedimenti correttivi XX, ai sensi dell’art. 166, comma 5, del Codice

Con nota del 6 settembre 2021, l’Ufficio, sulla base degli elementi acquisiti, dalle verifiche compiute e dei fatti emersi a seguito dell’attività istruttoria, ha notificato a Visura, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento, rilevando, in particolare, talune violazioni del Regolamento, che, all’esito delle valutazioni effettuate dall’Ufficio, consistono nell’aver Visura agito:

a) in qualità di titolare del trattamento, senza mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, avendo la Società:

- utilizzato software di base obsoleti, per i quali non sono più disponibili aggiornamenti di sicurezza, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.1 del presente provvedimento);

- omesso di adottare adeguate misure a presidio della sicurezza applicativa, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.1 del presente provvedimento);

- omesso di utilizzare tecniche crittografiche per la conservazione delle password degli utenti, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.2 del presente provvedimento);

- omesso di definire politiche interne di controllo della qualità delle password utilizzate per utenze tecniche e per utenze in uso a soggetti autorizzati, nonché di adottare misure per la modifica obbligatoria delle stesse al primo utilizzo o, comunque, periodicamente, e meccanismi di blocco automatico delle utenze, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.1 del presente provvedimento);

b) in qualità di responsabile del trattamento per conto di InfoCert, senza mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, avendo la Società:

- omesso di adottare strumenti di crittografia per il trasporto dei dati nell’ambito delle funzionalità di recupero dei parametri di attivazione delle caselle PEC, nonché di reset della password tramite operatore di Visura, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. parr. 2.1.1.3 e 2.1.1.4 del presente provvedimento);

- adottato modalità di rilascio delle credenziali di autenticazione delle caselle PEC senza il superamento di una procedura di autenticazione informatica, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.3 del presente provvedimento);

c) in qualità di responsabile del trattamento per conto degli Ordini degli avvocati di Caltagirone, Matera, Piacenza e Roma:

i. senza mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, avendo la Società:

- omesso di definire politiche interne di controllo della qualità delle password utilizzate per utenze tecniche e per utenze in uso a soggetti autorizzati, nonché di adottare misure per la modifica obbligatorie delle stesse al primo utilizzo o, comunque, periodicamente, e meccanismi di blocco automatico delle utenze, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.1 del presente provvedimento);

- omesso di adottare strumenti di crittografia per il trasporto dei dati nell’ambito delle funzionalità di comunicazione/aggiornamento degli indirizzi PEC all’Ordine, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.3 del presente provvedimento);

ii. omettendo di informare il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuta a conoscenza della violazione di dati personali occorsa, in violazione dell’art. 33, par. 2, del Regolamento;

d) in qualità di responsabile del trattamento per conto dell’Ordine degli avvocati di Ancona:

- omettendo di informare il titolare del trattamento, senza ingiustificato ritardo, dopo essere venuta a conoscenza della violazione di dati personali occorsa, in violazione dell’art. 33, par. 2, del Regolamento;

e) in qualità di responsabile del trattamento per conto di diversi ordini professionali, senza mettere in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, avendo la Società:

- omesso di definire politiche interne di controllo della qualità delle password utilizzate per utenze tecniche e per utenze in uso a soggetti autorizzati, nonché di adottare misure per la modifica obbligatorie delle stesse al primo utilizzo o, comunque, periodicamente, e meccanismi di blocco automatico delle utenze, in violazione del principio di “integrità e riservatezza” di cui all’art. 5, par. 1, lett. f), e dell’art. 32 del Regolamento (v. par. 2.1.1.1 del presente provvedimento);

Con la medesima nota, la Società è stata invitata a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice, nonché art. 18, comma 1, dalla l. 24 novembre 1981, n. 689).

Ai sensi dell’art. 83, par. 2, lett. f) del Regolamento, la Società è stata altresì invitata a far conoscere le iniziative intraprese ovvero che la stessa intendeva intraprendere per conformare i trattamenti in corso alla disciplina in materia di protezione dei dati personali, in relazione, in particolare, ai portali degli Ordini professionali per i quali era presente un’area riservata accessibile previo superamento di una procedura di autenticazione informatica basata su username e password, come nel caso dell’Ordine degli avvocati di Roma, rispetto all’adozione di modalità di conservazione delle password basate sull’utilizzo di idonee tecniche crittografiche conformi allo stato dell’arte.

Con nota del 5 novembre 2021, Visura, che non ha chiesto di essere audita, ha presentato una memoria difensiva; le dichiarazioni fornite dalla Società nell’ambito della suddetta memoria in merito ai distinti profili di interesse, sono riportati nei successivi paragrafi del presente provvedimento, congiuntamente alle valutazioni svolte da parte dell’Autorità.

4. Esito dell’attività istruttoria

In via preliminare, stante quanto sollevato dalla Società in sede di memorie difensive (v. nota del 5 novembre 2021) con riferimento all’asserita tardività della comunicazione di cui all’art. 166, comma 5, del Codice (v. la suddetta nota del 6 settembre 2021 prot. n. 44856) rispetto al termine previsto dal Regolamento del Garante n. 2/2019, occorre formulare alcune precisazioni in ordine ai termini procedurali applicabili alla notificazione delle presunte violazioni commesse dalla Società, come previsti dal Regolamento del Garante n. 2/2019.

Premesso che al procedimento amministrativo in oggetto non si applica il termine di 90 giorni di cui alla l. del 24 novembre 1981, n. 689 ma quello pari a 120 giorni specificatamente individuato, ai sensi dell’art. 154, comma 3 e dell’art. 166, comma 9 del Codice, con il predetto Regolamento del Garante n. 2/2019, si evidenzia che detto termine decorre “dall’accertamento della violazione” (v. Tabella B, parte 2, del Regolamento del Garante n. 2/2019) e che la data dell’accertamento è da individuarsi nel momento in cui tanto la raccolta degli elementi istruttori quanto la valutazione dei medesimi da parte dell’amministrazione procedente siano state portate a compimento (v., in tal senso, Cass. dell’8 agosto 2005, n. 16642; v., anche, Cass. Sez. II civ. del 28 novembre 2012, n. 21114 e Cass. Sez. II civ. del 22 aprile 2016, n. 8204).

Al riguardo, per quanto in particolare concerne l’attività delle Autorità amministrative indipendenti, merita di essere segnalato che la Suprema Corte, nel solco di consolidati indirizzi giurisprudenziali, ha stabilito che “l’attività di accertamento dell'illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il fatto nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell'infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell'infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione (cfr. Cass. n. 13050/2014; Cass. n. 1043/2015 e Cass. n. 770/2017)” (v. Cass. Civ. Sez. II, n. 31635/2018).

Analogamente, con specifico riferimento agli illeciti amministrativi di cui alla normativa in materia di protezione dei dati personali, la Suprema Corte ha poi recentemente ribadito che “essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad essa relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018)” (Cass. civ., sez. 2, n. 18288/2020). Pur riferendosi tale giurisprudenza al termine di 90 giorni previsto dall’art. 14 della l. 689/1981, non può negarsi che i principi ivi individuati trovino applicazione anche in relazione all’art. 166, comma 5, del Codice, dal momento che tale ultima disposizione, a seguito delle modifiche apportate dal d.lgs.101/2018, reca la nuova disciplina relativa ai procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, prima di allora definita esclusivamente tramite il rinvio operato dal Codice stesso alla menzionata l. 689/1981. Ne discende, ad ogni buon conto, che, in linea di principio, quanto più complessa è la fattispecie oggetto del procedimento amministrativo tanto più tempo è richiesto per l’elaborazione e la valutazione degli elementi istruttori acquisiti.

Sul punto si fa peraltro presente che, come rilevato dalla giurisprudenza di legittimità, in caso di più violazioni connesse fra di loro, “la congruità del tempo complessivamente impiegato” dall’amministrazione procedente ai fini dell’accertamento delle predette violazioni è da intendersi come strettamente connessa “alla complessità dell'attività di indagine” posta in essere dalla medesima (Cass. Sez. I civ. del 4 aprile 2018, n. 8326).

Preme, inoltre, considerare che il suindicato termine di 120 giorni “è sospeso dal 1° al 31 agosto di ciascun anno e riprende a decorrere dalla fine del periodo di sospensione” (v. art. 6, comma 1 del Regolamento del Garante n. 2/2019).

Alla luce di quanto sopra chiarito in ordine ai termini procedurali applicabili al caso di specie, come previsti dalla normativa vigente, deve ritenersi che la notificazione delle presunte violazioni commesse dalla Società, effettuata dall’Ufficio con nota del 6 settembre 2021 (prot. n. 44856), non sia stata intempestiva, tanto più se si considerano, da un lato, il contesto emergenziale dovuto alla diffusione del Covid-19 entro il quale è stata condotta l’attività istruttoria e ispettiva in questione e, dall’altro, l’elevato grado di complessità della fattispecie oggetto del presente procedimento amministrativo, che appare peraltro testimoniato anche dallo stesso operato della Società, sia in riferimento all’accertamento della portata della violazione dei dati personali (v. parr. 2.4.2 e 3.6 del presente provvedimento), che all’assolvimento dell’obbligo di comunicazione delle violazioni di dati personali agli interessati ai sensi dell’art. 34 del Regolamento, avvenuto mediante l’invio di una pluralità di comunicazioni (v. parr. 2.2.2 e 3.6 del presente provvedimento).
Ciò anche tenuto conto che la fattispecie oggetto del presente procedimento amministrativo coinvolge, oltre a Visura, anche InfoCert e decine di altri intermediari nei confronti dei quali sono state avviate separate istruttorie, nonché gli ordini professionali interessati, e che gli elementi acquisiti nell’ambito di tali istruttorie (come, ad esempio, la regolazione dei rapporti in essere ai sensi dell’art. 28 del Regolamento) sono risultati imprescindibili anche ai fini della definizione del quadro istruttorio di cui al presente procedimento, strettamente connesso a quello relativo all’altra società del gruppo Tinexta.

Quanto, da ultimo, all’applicabilità al caso di specie dell’art. 22, comma 13, del d.lgs. 101/2018 (che ha modificato il Codice al fine di adeguarlo al nuovo quadro normativo europeo introdotto con il Regolamento), per cui, per i primi otto mesi dalla data di entrata in vigore del d.lgs. 101/2018, l’Autorità era chiamata a tenere conto, ai fini dell'applicazione delle sanzioni amministrative e se compatibile con il Regolamento, “della fase di prima applicazione delle disposizioni sanzionatorie”, si fa presente che, nell’ambito delle proprie memorie difensive, Visura ha rappresentato, in particolare, che “scopo precipuo del suddetto intervento da parte del legislatore è stato quello di fornire un’espressa indicazione all’Autorità circa la necessità di tenere in considerazione, in relazione alle violazioni della disciplina in materia di protezione dei dati personali e ai fini dell’applicazione delle sanzioni amministrative, l’intenso sforzo posto in capo ai soggetti che effettuano trattamenti di dati personali al fine di adottare le opportune azioni richieste per adeguare la propria struttura e i propri trattamenti agli elementi di novità apportati dal Regolamento a fronte del notevole aumento dei poteri sanzionatori dell’Autorità”, desumendone che, “anche ai fini del presente procedimento sanzionatorio, […l’]Autorità […debba tenere] in debita conservazione la circostanza che le violazioni contestate a Visura si inseriscono nel periodo temporale immediatamente successivo alla cogenza della disciplina in materia di protezione dei dati personali come ridisegnata nella sua architettura dal Regolamento e dalla disciplina nazionale volta ad adeguare la normativa interna alle disposizioni del Regolamento stesso. Quanto precede trova peraltro riscontro fattuale in quanto evidenziato da Visura con la presente memoria, laddove si è dato atto degli sforzi e delle azioni di revisione complessiva dei propri trattamenti di dati personali, programmati da Visura già prima del verificarsi dell’attacco informatico de qua, al fine di garantire l’adeguamento degli stessi alla luce delle rilevanti modifiche occorse alla disciplina in materia di protezione dei dati personali.” (cfr. nota del 5 novembre 2021).

A tal riguardo, si evidenzia che, come anche affermato dalla stessa Visura nell’ambito delle proprie memorie difensive, tale disposizione fa riferimento a violazioni della disciplina in materia di protezione dei dati personali concretizzatesi nell’arco temporale ricompreso entro gli otto mesi dalla data di entrata in vigore del menzionato decreto

Ciò vale, tuttavia, solo per violazioni che abbiano esaurito i loro effetti entro il predetto periodo, non anche per quelle violazioni di carattere continuativo i cui effetti si siano protratti anche successivamente. Infatti, come anche riconosciuto in giurisprudenza, nell’illecito permanente il comportamento contra ius, oltre a produrre l’evento, lo alimenta continuamente per tutto il tempo in cui questo perdura, con la conseguenza che l’antigiuridicità viene meno solo con la cessazione del comportamento dell’agente.

Nel caso di specie, le violazioni contestate a Visura riguardano condotte che hanno, in parte, prodotto effetti oltre la menzionata data del 19 maggio 2019 (otto mesi a partire dal 19 settembre 2019, data di entrata in vigore del d.gs. 101/2018), come, in particolare, l’omessa adozione di alcune misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio.

3.1. La sicurezza del trattamento

Alla luce dell’attività istruttoria effettuata, risulta accertato che Visura, sia in qualità di titolare del trattamento (in relazione al sistema SAINT), che di responsabile del trattamento di InfoCert (per la gestione del servizio PEC) e di diversi Ordini professionali (per la gestione dei portali istituzionali e degli albi, nonché dell’applicazione “Gestione PEC”), non ha messo in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, in violazione del principio di “integrità e riservatezza” (art. 5, par. 1, lett. f), del Regolamento) e degli obblighi in materia di sicurezza del trattamento (art. 32 del Regolamento), in relazione ai diversi profili indicati nei seguenti paragrafi.

In merito ai profili di sicurezza del trattamento, Visura, in linea generale, ha rappresentato nella propria memoria difensiva che “[…il] Sistema di Automazione INTerna (“SAINT”) […] come peraltro avvenuto anche per i portali degli Ordini professionali, è stato definitivamente disattivato a seguito della Violazione dei Dati Personali e mai più ripristinato in quanto, conformemente alle linee guida di gruppo, nel periodo tra giugno e luglio del 2021 Visura ha adottato […altra] soluzione di mercato […]. Per quanto riguarda i server su cui insistevano i portali degli Ordini Professionali, gli stessi sono stati inoltre isolati e resi disponibili per l’accesso esclusivamente presso la sede di Visura per consentire le esigenze ispettive di codesta Autorità. Fermo quanto precede, alla fine del maggio 2019, Visura si è immediatamente dotata di un testo di “Linee Guida per la implementazione di un Prodotto/Servizio”, in materia di sicurezza e privacy, adottate per tutte le società del Gruppo Tinexta […] e approvate per loro applicazione in data 28 maggio 2019 […]” (cfr. nota del 5 novembre 2021, pp. 13 e 14).

3.1.1. L’obsolescenza dei software di base installati sui sistemi di trattamento

Nel corso dell’istruttoria è emerso che i sistemi di trattamento che sono stati oggetto dell’attacco informatico che ha determinato le violazioni dei dati personali in esame sono un “Server Windows 2008 sui cui insiste Internet Information Service 7 che ospita il codice delle applicazioni esposte verso la rete internet” e un “Server Windows 2003 R2 con SP 2 sui cui insiste MSSQL Server 2000 SP4 che ospita i database che servono le applicazioni del server di cui sopra”. Tali sistemi erano utilizzati da Visura sia per i trattamenti effettuati in qualità di titolare, che di responsabile per conto di InfoCert e dei diversi Ordini professionali sopra citati.

Infatti, il supporto esteso (che, di massima, comprende la distribuzione dei soli aggiornamenti di sicurezza) dei sistemi operativi installati sul web server e sul database server è terminato, rispettivamente, il 12 luglio 2011 e il 14 luglio 2013 (cfr. pagine web relative al ciclo di vita di Windows Server 2008 e di Windows Server 2003 R2 SP2), mentre il supporto esteso del sistema di gestione di database è terminato il 9 aprile 2013 (cfr. pagina web relativa al ciclo di vita di SQL server 2000 SP4). Pertanto, al momento in cui si è verificato l’attacco informatico, il produttore dei software di base (sistema operativo e applicativi) installati sui server in questione aveva cessato la distribuzione degli aggiornamenti di sicurezza da circa sei anni. Ciò rendeva particolarmente difficile il patching di tali sistemi, richiedendo l’adozione, realisticamente non tempestiva, di eventuali accorgimenti ad hoc in grado di fronteggiare nuove vulnerabilità.

Peraltro, si ritiene che alcune vulnerabilità del sistema di gestione di database “SQL Server 2000 SP4” siano state verosimilmente sfruttate dagli attaccanti per recuperare la struttura (c.d. schema) di gran parte dei database presenti sul database server oggetto dell’attacco informatico.

L’accertato utilizzo, da parte della Società, di software di base obsoleti, per i quali non sono più disponibili aggiornamenti di sicurezza, non è risultato, quindi, conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, nel caso in esame, richiede che il titolare e il responsabile del trattamento debbano mettere in atto misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” (cfr. art. 32, par. 1, lett. b), del Regolamento, già menzionato in precedenza).

In merito a tale profilo, Visura ha rappresentato, in sede di memoria difensiva, di aver adottato adeguate misure correttive, in quanto “[…] i sistemi di trattamento che sono stati oggetto dell’attacco informatico de qua, […] sono stati integralmente dismessi e sostituiti a partire dal 7 maggio 2019. E infatti, tale dismissione ha interessato innanzitutto il sistema SAINT (che avrebbe dovuto implementare le funzionalità di CRM) […] nell’ambito dell’adozione generalizzata di tale sistema da parte di tutte le aziende del Gruppo. Per quanto riguarda l’applicazione per il rilascio delle credenziali PEC, essendo completamente cambiato il processo di provisioning delle caselle PEC definito da InfoCert, la funzionalità di tale sistema non è più stata ripristinata in quanto non più necessaria, […] Infine, riguardo i quattro portali degli Ordini forensi – i quali risultavano tutti basati tutti sul medesimo framework applicativo – Visura ha provveduto ad implementare un nuovo modello architetturale, adeguato ai requisiti di conformità e sicurezza dei trattamenti […] In particolare, i nuovi portali (sottoposti ad aggiornamenti e patch di sicurezza) sono basati su una piattaforma CMS installata su virtual machine e sono ospitati in ambiente operativo OS Linux. I database relativi a tali sistemi sono accessibili su rete segregata” (cfr. nota del 5 novembre 2021, pp. 15 e 16).

3.1.2. La mancata adozione di misure di sicurezza applicativa

Risulta accertato che l’attacco informatico che ha determinato le violazioni dei dati personali in esame è stato reso possibile da talune vulnerabilità presenti all’interno del codice di alcune applicazioni web (sistema SAINT, portali degli Ordini degli avvocati di Caltagirone, Matera e Piacenza, e vecchio portale dell’Ordine degli avvocati di Roma), utilizzate da Visura sia per i trattamenti effettuati in qualità di titolare, che di responsabile per conto di InfoCert e di diversi Ordini professionali.

In particolare, è stato constatato che alcune pagine delle citate applicazioni web, non effettuando la validazione dell’input dell’utente, consentivano di interagire con il database server, semplicemente inserendo all’interno dei parametri inviati al web server appositi comandi SQL (Structured Query Language). Con tale tecnica di hacking, denominata SQL injection, gli attaccanti sono riusciti ad accedere e acquisire, in modo illecito, la struttura (c.d. schema) e i contenuti dei database utilizzati dalle applicazioni web in questione, peraltro senza che tale attacco fosse bloccato, o quantomeno rilevato, dai sistemi di intrusion prevention. Inoltre, un’altra non meglio precisata “vulnerabilità della libreria di upload” ha consentito agli attaccanti di caricare, all’interno del web server, alcuni file contenenti codice malevolo, al fine di ottenere il controllo remoto dello stesso server.

Infine, dall’analisi tecnica effettuata sui dati acquisiti nel corso dell’attività ispettiva, è emerso che già in passato il portale dell’Ordine degli avvocati di Piacenza sarebbe stato oggetto di un attacco di tipo SQL injection verosimilmente avvenuto tra settembre e novembre 2010. Infatti, nel database (“XX”) utilizzato dal predetto portale è stata riscontrata la presenza di una tabella (“XX”) che, seppur non contenente dati personali, era stata alterata impostando il titolo delle news con il valore “Hacked By Swan - Stop War Israel !”.

Non risulta inoltre che Visura abbia effettuato, direttamente o tramite società specializzate, attività di vulnerability assessment sulle applicazioni web in questione prima della loro messa in esercizio, e comunque periodicamente, allo scopo di individuare e correggere tempestivamente eventuali vulnerabilità e di garantire, quindi, un livello di sicurezza costante nel tempo.
Pertanto, l’assenza di adeguate misure a presidio della sicurezza applicativa ha comportato una violazione delle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, del Regolamento che, nel caso in esame, risulta ascrivibile alla Società sia quale titolare che come responsabile del trattamento (spec. le misure per “assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” e per “testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”, art. 32, par. 1, lett. b) e d) del Regolamento).

Rispetto a tale ulteriore profilo, in relazione alle misure correttive poste in essere in seguito alla violazione, Visura, in sede di memoria difensiva, ha rappresentato che “[…] l’applicativo SAINT non era in esercizio (a differenza dei portali degli Ordini) alla data della Violazione dei Dati Personali, trattandosi infatti di una versione beta oggetto di un’attività di test che, purtroppo, era stata operata dagli sviluppatori, per errore, su dati reali e non fittizi […]” e che, per quanto concerne le attività di vulnerability assessment “Alla fine del 2019, la società controllante del Gruppo Visura ha impiegato ingenti risorse economiche […] al fine di sottoporre Visura a un assessment speciale sulla cybersecurity, rilevante anche per i profili di protezione dei dati personali, […per] eseguire un’analisi approfondita in merito alla sicurezza applicativa ed infrastrutturale per garantire la conformità del trattamento dei dati personali eseguito attraverso tutti i sistemi in uso da parte di Visura e attraverso i quali quest’ultima distribuisce i propri servizi, nonché dei processi impiegati nell’erogazione dei servizi stessi. All’esito dell’assessment […] è stato predisposto un piano di remediation che, a propria volta, ha dato origine ad una serie di attività correttive sui sistemi in uso presso Visura […] In aggiunta a quanto precede, […] in data 21 ottobre 2021, Visura ha provveduto a modificare la propria procedura in ambito IT […] In particolare, a seguito di tali modifiche, l’attuale procedura IT di Visura prevede l’esecuzione di attività di c.d. vulnerability assessment e di penetration testing, da svolgersi sull’intero perimetro dei sistemi informatici esposti, con cadenza almeno annuale, da parte di advisor esterni specializzati” (cfr. nota del 5 novembre 2021, pp. 16 e 17).

3.1.3. La conservazione delle password degli utenti senza l’utilizzo di tecniche crittografiche

Nel corso dell’istruttoria è emerso che, al momento in cui si sono verificate le violazioni dei dati personali in esame, un numero elevato di credenziali di autenticazione (username e password), utilizzate per diverse finalità, erano memorizzate in chiaro all’interno del database server oggetto dell’attacco informatico. Tale database era utilizzato da Visura sia per i trattamenti effettuati in qualità di titolare (sistema SAINT), che di responsabile per conto di InfoCert e di diversi Ordini professionali.

La conservazione sicura mediante l’utilizzo di tecniche crittografiche, allo stato dell’arte, è una delle misure comunemente adottate per proteggere le password degli utenti di un servizio online; ciò in ragione degli elevati rischi presentati dal trattamento di tali dati in caso di accesso non autorizzato agli stessi e/o di loro divulgazione. Tali rischi riguardano sia le password generate e assegnate in modo automatico (quali quelle di prima attivazione delle caselle PEC) laddove, come nel caso in esame, le stesse non siano soggette a una modifica obbligatoria al primo utilizzo da parte dell’utente, sia le password liberamente scelte dall’utente (quali quelle di accesso alle aree riservate dei portali degli Ordini e degli altri servizi online gestiti da Visura) in considerazione dell’abitudine di molti utenti a riutilizzare la stessa password, o comunque una password molto simile, per l’accesso ad altri servizi online (c.d. password reuse).

Pertanto, alla luce di quanto accertato all’esito dell’istruttoria, il mancato utilizzo di tecniche crittografiche per la conservazione delle password degli utenti, ascrivibile alla Società sia quale titolare che come responsabile del trattamento, non è risultato conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento che, al suo par. 1, lett. a), individua espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio (v. anche cons. 83 del Regolamento nella parte in cui prevede che “il titolare del trattamento […] dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”).

Sul punto, in sede di memoria difensiva, Visura ha rappresentato le misure correttive adottate, dichiarando che “[…] le modalità operative di attivazione e conservazione delle password relative ai servizi forniti da Visura in uso al momento della Violazione dei Dati Personali (sia per i trattamenti effettuati in qualità di titolare, che di responsabile per conto di InfoCert e degli Ordini professionali), sono state completamente abbandonate. E infatti, sin dai giorni immediatamente successivi all’evento di violazione de qua, Visura ha implementato un nuovo Content Management System utilizzato per la produzione dei portali, il quale ha introdotto dei sistemi di crittografia per le password. [...]L’insieme di tutte le summenzionate azioni ha permesso a Visura di conseguire un rafforzamento complessivo delle modalità di conservazione delle password degli utenti, in linea con elevati standard di mercato, rispetto a quanto in essere al momento della Violazione dei Dati Personali […] (cfr. nota del 5 novembre 2021, p. 18). La Società ha evidenziato, inoltre, che “[…] con riferimento ai portali degli Ordini professionali per i quali è presente un’area riservata accessibile previo superamento di una procedura di autorizzazione informatica basata su username e password, Visura ha posto in essere, immediatamente a seguito dell’incidente informatico de qua, delle specifiche azioni di rimedio finalizzate all’adozione di modalità di conservazione delle password basate sull’utilizzo di idonee tecniche crittografiche conformi allo stato dell’arte” confermando altresì, rispetto a quanto richiesto dall’Autorità con la predetta nota del 6 settembre 2021 “di aver definitivamente abbandonato la precedente modalità operativa, adottando un diverso Content Management System utilizzato per la produzione dei portali. A seguito delle azioni rimediali adottate da Visura, la piattaforma consente di gestire le credenziali di autenticazione, siano esse riferite agli amministratori dei contenuti, siano essere riferite ai professionisti per l’accesso all’area riservata – quando presente – proteggendo le password attraverso il principio crittografico denominato “salt and hash”. […] Per effetto della combinazione di tali tecniche di “salting” e successivo “hashing”, la nuova procedura di archiviazione delle password implementata da Visura consente di assicurare un grado di sicurezza delle credenziali di autenticazione accresciuta rispetto a quella in essere prima della Violazione dei Dati Personali, nonché del tutto conforme ai migliori standard di mercato” (cfr. nota del 5 novembre 2021, p. 31).

3.1.4. La mancata definizione di password policy

È stata accertata la mancata definizione di una politica interna per le password delle utenze tecniche utilizzate per la connessione tra le applicazioni web in questione e i relativi database, in relazione ai trattamenti effettuati in qualità di titolare e di responsabile per conto di InfoCert e di diversi Ordini professionali. Le password di tali utenze non rispettavano, infatti, specifici requisiti di complessità, anche per le utenze con privilegi amministrativi, in uso a diversi soggetti autorizzati e in grado di effettuare operazioni di trattamento sui dati personali degli interessati.
In particolare, è stato constatato che le password utilizzate per le utenze abilitate all’amministrazione dei portali degli Ordini, o di altri servizi online gestiti da Visura, erano, nella maggior parte dei casi, corrispondenti a valori predefiniti (es. coincidenti con la username, “webmaster”, “admin”, “segreteria”, ecc.) o a valori agevolmente riconducibili al soggetto autorizzato. Inoltre, non risulta che le password fossero modificate dai soggetti autorizzati al primo utilizzo o, comunque, periodicamente, né che fossero previsti meccanismi per il blocco automatico delle utenze in caso di ripetuti tentativi di autenticazione con password erronea.

L’assenza di controlli sulla qualità delle password utilizzate per utenze tecniche e per utenze in uso a soggetti autorizzati, di misure per la modifica obbligatorie delle stesse al primo utilizzo o, comunque, periodicamente, nonché di meccanismi di blocco automatico delle utenze non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, lett. b) del Regolamento, sia in relazione ai trattamenti posti in essere in qualità di titolare che di responsabile.

Anche in merito a tale profilo la Società ha rappresentato di aver implementato misure di sicurezza successive alla verifica delle violazioni di dati personali, posto che, alla luce di quanto dichiarato “la nuova versione dei portali degli Ordini, implementata già a partire dal 16 maggio 2019 (a seguito del pronto spegnimento dei portali violati nell’immediatezza della Violazione dei Dati Personali, cui ha fatto seguito una versione intermedia dei portali basata sull’utilizzo di un Content Management System standard […] utilizzato come soluzione “ponte” per evitare il protrarsi del disservizio è stata introdotta una specifica password policy che costringe l’utente, da un punto di vista tecnico e in ossequio al principio di protezione dei dati fin dalla progettazione, a impostare una password che rispetti dei criteri in grado di assicurare un livello minimo di robustezza della stringa scelta […] Detta password policy si applica, peraltro, anche all’utenze abilitate all’amministrazione dei portali degli Ordini e degli altri servizi online gestiti da Visura, ove presenti […], nonché all’accesso da parte degli amministratori di sistema per scopi di manutenzione.” (cfr. nota del 5 novembre 2021, p. 19).

3.1.5. L’utilizzo di protocolli di rete non sicuri

Nel corso dell’istruttoria è stato accertato che le funzionalità di recupero dei parametri di attivazione delle caselle PEC e di comunicazione/aggiornamento degli indirizzi PEC all’Ordine, nonché quella di reset della password tramite operatore di Visura erano rese disponibili agli iscritti agli Ordini professionali sopra individuati mediante il protocollo “http” (hypertext transfer protocol), ossia un protocollo di rete che non garantisce l’integrità e la riservatezza dei dati scambiati tra il browser dell’utente e il server che ospita le applicazioni web in questione, e non consente agli utenti di verificare l’autenticità del sito web che stanno visualizzando.

Al riguardo, tenuto conto della natura dei dati (tra i quali credenziali di autenticazione e documenti di identità) trattati in qualità di responsabile del trattamento per conto sia di InfoCert che degli Ordini professionali che utilizzavano tali applicazioni web e degli elevati rischi derivanti dalla loro possibile acquisizione da parte di terzi, la modalità di accesso alle predette applicazioni web non può essere considerata una misura idonea a garantire un adeguato livello di sicurezza.

Il mancato utilizzo di strumenti di crittografia per il trasporto dei dati non risulta conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32 del Regolamento che, al suo par. 1, lett. a), indica espressamente la cifratura come una delle possibili misure di sicurezza idonee a garantire un livello di sicurezza adeguato al rischio che il titolare, ma anche il responsabile, sono tenuti ad adottare.

Sul punto, la Società ha rappresentato di aver adottato in seguito misure correttive, dichiarando che “nel mese di giugno 2019, Visura ha affidato a una primaria società specializzata, […] un incarico per svolgere attività di vulnerability assessment e penetration testing su tutto il perimetro dei servizi esposti, […] Le risultanze di tale assessment sono state prese in considerazione al fine di porre in essere puntuali azioni rimediali per la mitigazione delle vulnerabilità emerse, […]

L’insieme di tutte le summenzionate azioni di rafforzamento complessivo delle modalità di comunicazione dei dati su rete pubblica e privata, rispetto alla situazione esistente al momento della Violazione dei Dati Personali, ha consentito a Visura di accrescere il livello di sicurezza dei trattamenti svolti in linea con elevati standard di mercato […]”cfr. nota del 5 novembre 2021, pp. 19 e 20).

3.1.6. Il rilascio delle credenziali di autenticazione delle caselle PEC con una procedura di identificazione non idonea

Nel corso dell’istruttoria è emerso che la funzionalità di “Richiesta parametri attivazione”, attraverso la quale un iscritto a un Ordine professionale convenzionato con Visura otteneva il rilascio delle credenziali di autenticazione della propria casella PEC, era accessibile senza il superamento di una procedura di autenticazione informatica, semplicemente fornendo alcuni dati personali a lui riferiti. In particolare, oltre al nome, cognome e codice fiscale dell’iscritto, veniva richiesto un ulteriore dato di riscontro – individuato dall’Ordine professionale di riferimento - al fine di accertare la sua identità del titolare della casella PEC. Tuttavia, il dato di riscontro richiesto da Visura (in alcuni casi, la data di iscrizione all’albo; in altri casi, il numero di tesserino rilasciato dall’Ordine; in altri casi ancora il numero di iscrizione all’albo) non era idoneo a garantire che tali credenziali di autenticazione fossero rese disponibili esclusivamente al titolare della casella PEC.

Infatti, con riferimento ad avvocati e praticanti, si evidenzia che la data di iscrizione è un’informazione disponibile a chiunque in quanto pubblicata sull’albo degli avvocati o sul registro dei praticanti, mentre il numero di tesserino e il numero di iscrizione sono informazioni che, seppur non pubblicate nei predetti albi o registri, non possono essere considerati validi elementi di riscontro in quanto possono essere nella disponibilità, oltre che dell’iscritto, anche di altri soggetti (es. il numero di tesserino e quello di iscrizione sono noti al personale che opera presso gli uffici dell’Ordine, mentre il numero di iscrizione, talvolta presente nel timbro dell’avvocato, può essere conosciuto dai suoi assistiti). Con riguardo, invece, a periti agrari o periti agrari laureati, si evidenzia che il numero di iscrizione è un’informazione disponibile a chiunque in quanto pubblicata sull’albo professionale.

Le credenziali di autenticazione rese disponibili con la predetta modalità, sebbene finalizzata esclusivamente all’attivazione della casella PEC, potevano essere utilizzate anche per accedere alla stessa qualora l’iscritto non avesse provveduto a modificarla. Al riguardo, si evidenzia infatti che InfoCert ha reso obbligatoria la modifica della password al primo utilizzo solo per le caselle PEC attivate successivamente al 3 luglio 2019.
Per tali ragioni, il rilascio delle credenziali di autenticazione delle caselle PEC con le predette modalità, effettuato da Visura in qualità di responsabile del trattamento di InfoCert, non è risultato conforme alle disposizioni di cui all’art. 5, par. 1, lett. f), e all’art. 32, par. 1, lett. b) del Regolamento.

Ciò è stato, altresì, confermato da Visura in sede di memoria difensiva posto che, la stessa ha rappresentato che “all’inizio del mese di luglio 2019, la procedura di rilascio delle credenziali per la creazione di caselle PEC di InfoCert, in uso al momento della Violazione dei Dati Personali è stata tempestivamente oggetto di un ridisegno complessivo e strutturale da parte della stessa InfoCert. In tal senso, preme evidenziare che la nuova procedura di rilascio non prevede più in alcun modo la possibilità, per l’incaricato di Visura che inserisce i dati personali del soggetto richiedente l’attivazione della casella PEC, di conoscere la password di prima attivazione. E infatti, al fine di scongiurare del tutto il verificarsi di situazioni analoghe a quelle occorse con l’attacco informatico de qua, la password di prima attivazione non viene più neppure generata nell’ambito della nuova procedura […]” (cfr. nota del 5 novembre 2021, p. 21).

3.2. La tardiva e inadeguata comunicazione della violazione di dati personali ai titolari del trattamento

Le “Linee guida sulla notifica delle violazioni dei dati personali ai sensi del Regolamento (UE) 2016/679” del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati del 3 ottobre 2017, come modificate e adottate in ultimo il 6 febbraio 2018 e fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018 (di seguito “Linee guida”), già evidenziavano che “il responsabile del trattamento non deve valutare la probabilità di rischio derivante dalla violazione prima di notificarla al titolare del trattamento; spetta infatti a quest’ultimo effettuare la valutazione nel momento in cui viene a conoscenza della violazione. Il responsabile del trattamento deve soltanto stabilire se si è verificata una violazione e quindi notificarla al titolare del trattamento”. Con riferimento alla tempestività della comunicazione del responsabile al titolare del trattamento, le predette Linee guida già prevedevano che “il regolamento non fissa un termine esplicito entro il quale il responsabile del trattamento deve avvertire il titolare del trattamento, salvo specificare che deve farlo “senza ingiustificato ritardo”. Di conseguenza, il Gruppo di lavoro raccomanda al responsabile del trattamento di effettuare la notifica al titolare del trattamento tempestivamente, fornendo successivamente le eventuali ulteriori informazioni sulla violazione di cui venga a conoscenza”, nonché l’obbligo di comunicazione agli interessati coinvolti; inoltre, con riferimento al contenuto della comunicazione in questione, le Linee guida precisano che “qualora fornisca servizi a più titolari del trattamento tutti interessati dal medesimo incidente, il responsabile del trattamento dovrà segnalare i dettagli dell’incidente a ciascun titolare del trattamento” (cfr., in senso analogo, le più recenti Guidelines 9/2022 on personal data breach notification under GDPR, versione 2.0, adottate dal Comitato europeo per la protezione dei dati il 28 marzo 2023, spec. par. 44 e ss.).

In linea generale, in merito alle misure introdotte in seguito alla violazione per la gestione delle violazioni dei dati personali, Visura ha rappresentato all’Autorità che “[…] a partire dal 14 settembre 2020, ha adottato la propria procedura di gestione delle violazioni di dati personali, al fine di meglio dettagliare e migliorare i tempi di gestione di tali eventi, i rispettivi ruoli degli attori interni ed esterni alla società, nonché le specifiche responsabilità di tutti i soggetti di Visura coinvolti nella gestione delle violazioni di dati personali […] Tale procedura ha affiancato la Data Protection Policy del Gruppo Tinexta […] la quale si applicava nei confronti di Visura anche precedentemente alla Violazione dei Dati Personali. In aggiunta a quanto precede, nell’ottica del più complessivo riassetto della gestione dei profili afferenti al trattamento di dati personali tuttora in corso […] Visura ha programmato l’adozione, entro il 31 dicembre 2021, di uno specifico tool […] denominato “Gorilla Data Breach”” (cfr. nota del 5 novembre 2021, pp. 21-23).

3.2.1. Le violazioni dei dati personali trattati nell’ambito dei portali degli Ordini degli avvocati di Caltagirone, Matera, Piacenza e Roma

In relazione alle violazioni dei dati personali trattati nell’ambito dei portali degli Ordini degli avvocati di Caltagirone, Matera, Piacenza e Roma, in sede di memoria difensiva, la Società ha dichiarato che “Le comunicazioni sulle violazioni dei dati personali occorse sono state formalmente inviate ai titolari del trattamento sopra indicati (Ordini degli avvocati di Caltagirone, Matera, Piacenza e Roma) in data 23 maggio 2019.”; risulta, ad ogni modo, opportuno evidenziare che, nella medesima memoria, la Società ha altresì rappresentato che “[…] anche prima […del 23 maggio 2019] e in particolare nell’immediatezza della scoperta delle violazioni di dati personali nonché nei giorni immediatamente successivi, Visura aveva già attivato dei canali di contatto (e.g., via e-mail, telefono e Whatsapp) con i rappresentanti apicali dei suddetti titolari del trattamento per informarli di tali violazioni, naturalmente sulla base delle limitate informazioni disponibili in modo certo nelle prime fasi successive all’attacco informatico, anche nell’ottica di offrire un canale di dialogo informale ma che risultasse il più efficace e tempestivo possibile”. Per quanto concerne le informazioni fornite nel comunicare le violazioni dei dati personali occorse, Visura ha dichiarato che “[…] è stato possibile fornire informazioni ulteriori ai titolari soltanto una volta conosciuto l’esito delle analisi condotte sui server oggetto dell’attacco. In questo senso, si ritiene che non sarebbe certamente stato possibile per Visura fornire informazioni che non erano ancora in suo possesso, né informazioni di natura non verificata che avrebbero potuto, da un lato, fuorviare il titolare del trattamento e, a cascata, le comunicazioni effettuate dallo stesso ai soggetti interessati, nonché, dall’altro, esporre Visura a possibili conseguenze pregiudizievoli nei confronti dei propri clienti”. (cfr. nota del 5 novembre 2021, pp. 21 e 22).

Sul punto, come illustrato nei paragrafi 2.2.1 e 2.2.2, anche la comunicazione del 23 maggio 2019, seppur tardiva, non conteneva elementi idonei a soddisfare gli obblighi informativi del responsabile dei predetti ordini, e, pertanto, risulta accertato che Visura, dopo essere venuta a conoscenza delle violazioni dei dati personali in esame, non ha informato tempestivamente e adeguatamente ciascun titolare del trattamento, in violazione dell’art. 33, par. 2, del Regolamento.

3.2.2. La violazione dei dati personali trattati nell’ambito del sistema gestionale dell’albo dell’Ordine degli avvocati di Ancona

Analogamente a quanto rappresentato per quanto concerne gli altri Ordini degli avvocati, di cui al precedente paragrafo, Visura ha dichiarato che “La comunicazione sulla Violazione dei Dati Personali occorsa in relazione ai dati personali trattati per la gestione dell’albo agli iscritti all’Ordine degli avvocati di Ancona è stata formalmente inviata al titolare del trattamento in data 13 giugno 2019. Tuttavia, anche prima di quella data e in particolare nell’immediatezza della scoperta della Violazione dei Dati Personali nonché nei giorni immediatamente successivi, Visura aveva già attivato dei canali di contatto (e.g., via e-mail, telefono e Whatsapp) con l’Ordine degli avvocati di Ancona per informare i relativi organi direttivi di tale violazione, naturalmente sulla base delle limitate informazioni disponibili in modo certo nelle prime fasi successive all’attacco informatico. […] è stato possibile fornire le informazioni rilevanti all’Ordine degli avvocati di Ancona soltanto una volta conosciuto l’esito delle analisi condotte sui server oggetto dell’attacco. In questo senso, si ritiene che non sarebbe certamente stato possibile per Visura fornire informazioni che non erano ancora in suo possesso, né informazioni di natura non verificata che avrebbero potuto, da un lato, fuorviare il titolare del trattamento e a cascata le comunicazioni effettuate dallo stesso ai soggetti interessati, nonché, dall’altro, esporre Visura a possibili conseguenze pregiudizievoli nei confronti dei propri clienti” (cfr. nota del 5 novembre 2021, pp. 23 e 24).

Sul punto, come illustrato nel paragrafo 2.2.3, anche la comunicazione del 13 giugno 2019, seppur tardiva, non conteneva elementi idonei a soddisfare gli obblighi informativi del responsabile del predetto ordine, e, pertanto, risulta accertato che Visura, dopo essere venuta a conoscenza delle violazioni dei dati personali in esame, non ha informato tempestivamente e adeguatamente il titolare, in violazione dell’art. 33, par. 2, del Regolamento.

5. Conclusioni

Alla luce delle valutazioni sopra richiamate, si rileva che le dichiarazioni rese dalla Società, nel corso dell’istruttoria ˗ della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice ˗ seppure meritevoli di considerazione, non consentono di superare tutti i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e risultano insufficienti a consentire l’archiviazione del presente procedimento in relazione a quanto individuato nel paragrafo 4, non ricorrendo, per tali profili, alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Si confermano, pertanto, le valutazioni preliminari dell’Ufficio in relazione a tali aspetti e si rileva l’illiceità del trattamento di dati personali effettuato da Visura per aver effettuato il trattamento di dati personali in questione in violazione degli artt. 5, par. 1, lett. f), 32 e 33, par. 2, del Regolamento.

La violazione delle predette disposizioni ha avuto luogo in conseguenza delle seguenti quattro distinte condotte:

una prima condotta, relativa ai trattamenti di dati personali posti in essere da Visura in qualità di titolare del trattamento nell’ambito dell’impiego del c.d. Sistema di Automazione INTerna (SAINT);

una seconda condotta, relativa ai trattamenti di dati personali posti in essere da Visura in qualità di responsabile del trattamento per conto di InfoCert;

una terza condotta, relativa ai trattamenti di dati personali posti in essere da Visura in qualità di responsabile del trattamento per conto di diversi ordini professionali;

una quarta condotta, relativa al ritardo nella comunicazione ai diversi titolari del trattamento dell’avvenuta violazione di dati personali.

6. Ammonimento (art. 58, par. 2, lett. b), del Regolamento).

Il Garante, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, ha il potere di “rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del […] regolamento”.

In merito al caso di specie, la violazione delle disposizioni citate nel precedente paragrafo 3.2, per effetto della tardiva informazione ai titolari del trattamento, ovvero gli Ordini degli avvocati di Ancona, Caltagirone, Matera, Piacenza e Roma delle violazioni occorse, ha avuto luogo in conseguenza di un’unica condotta (stesso trattamento o trattamenti tra loro collegati).

Ciò premesso, occorre, tuttavia, tenere in considerazione taluni elementi, anche di contesto, emersi nel corso dell’istruttoria, che risultano indispensabili ai fini della valutazione in concreto dell’entità delle violazioni riscontrate e della lesività della complessiva condotta (v. cons. 148 del Regolamento).

In particolare, tenuto conto che:

dall’istruttoria svolta è emerso che la Società, antecedentemente alla comunicazione formale in merito alle violazioni dei dati personali occorse in relazione ai dati personali trattati per la gestione dell’albo agli iscritti all’Ordine degli avvocati di Ancona, Caltagirone, Matera, Piacenza, aveva attivato dei canali di contatto – seppur informali – nei confronti dei suddetti titolari del trattamento per informarli delle violazioni occorse, “naturalmente sulla base delle limitate informazioni disponibili in modo certo nelle prime fasi successive all’attacco informatico, anche nell’ottica di offrire un canale di dialogo informale ma che risultasse il più efficace e tempestivo possibile”;

non risultano precedenti violazioni pertinenti commesse dal responsabile del trattamento o precedenti provvedimenti di cui all’art. 58 del Regolamento che siano analoghe rispetto al caso di specie;

la Società ha prestato piena collaborazione all’Autorità nel corso dell’istruttoria, anche rappresentando l’implementazione di misure volte a migliorare la gestione delle violazioni di dati personali;

la condotta, che si riferisce ad adempimenti di nuova introduzione, ha avuto luogo in parte nel periodo di prima applicazione del Regolamento, dovendosi tener conto, sul piano generale, di quanto previsto dall’art. 22, comma 13, del d.lgs. n. 101/2018;

le circostanze del caso concreto inducono a qualificare lo stesso come “violazione minore”, ai sensi del cons. 148 del Regolamento e delle “Linee guida riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679”, adottate dal Gruppo di Lavoro Art. 29 il 3 ottobre 2017, WP 253, e fatte proprie dal Comitato europeo per la protezione dei dati con l’“Endorsement 1/2018” del 25 maggio 2018.

Alla luce di tutto quanto sopra rappresentato e dei termini complessivi della vicenda in esame, si ritiene, pertanto, sufficiente ammonire la Società per la violazione dell’art. 33, par. 2 del Regolamento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento (cfr. anche cons. 148 del Regolamento).

In tale quadro, considerando, in ogni caso, che la condotta ha esaurito i suoi effetti, non ricorrono i presupposti per l’adozione di ulteriori misure correttive di cui all’art. 58, par. 2, del Regolamento.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019.

[OMISSIS]

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara, ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, l’illiceità del trattamento effettuato da Visura S.p.A. per violazione degli artt. 5, par. 1, lett. f), 32 e 33, par. 2, del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce Visura S.p.a., quale responsabile del trattamento, per conto degli Ordini degli avvocati di Ancona, Caltagirone, Matera, Piacenza e Roma, per aver violato l’art. 33, par. 2, del Regolamento, come sopra descritto;

[OMISSIS]

DISPONE

[OMISSIS]

l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all'art. 58, par. 2, del Regolamento (v. art. 17 del Regolamento del Garante n. 1/2019).

Ai sensi degli artt. 78 del Regolamento, 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei