La presente comunicazione per informare tutti i clienti, assicurati e intermediari di CF Assicurazioni S.p.A e CF Life Compagnia di Assicurazioni Vita S.p.A., di aver accertato che nel fine settimana del 15 luglio scorso vi è stato un attacco informatico su alcuni server delle due Compagnie; tale attacco potrebbe aver determinato l’accesso e l’esfiltrazione di alcuni dati personali presenti negli stessi.
I dati oggetto della violazione potrebbero essere riconducibili ai dati forniti dal contraente al momento della sottoscrizione della polizza (dati anagrafici, dati di contatto, dati presenti nei questionari compilati, compresi quelli richiedenti dati particolari e dati reddituali).
Le Compagnie si sono attivate tempestivamente per effettuare gli approfondimenti in ordine all’attacco e per le necessarie azioni di contenimento; si è infatti provveduto allo spegnimento dei server compromessi dall’attacco e ad isolare le altre macchine presenti nell’infrastruttura al fine di contenere il propagarsi delle azioni dell’attaccante. Ad isolamento effettuato, si è provveduto ad individuare le tracce dell’attaccante e ad eradicarle. Al termine di questo processo le macchine server sono state mantenute isolate fino al ripristino della sicurezza delle stesse. Successivamente sono stati eseguiti dei test di verifica da parte delle Compagnie. Tutti gli utenti hanno provveduto a modificare la password di accesso ai dispositivi in dotazione.
Al momento non si ha certezza della rilevanza e della natura di dati esfiltrati: sono in corso le analisi e le verifiche a riguardo. Sono state comunque effettuate le comunicazioni alle Autorità competenti e alle autorità di vigilanza.
L’accaduto si è verificato nonostante tutte le misure di sicurezza poste in essere dalle Compagnie; l’infrastruttura presente presso il data center esterno è protetta da firewall; la web application esposta su internet è sottoposta con frequenza annuale ad attività di verifica. All’infrastruttura è possibile accedere esclusivamente in VPN (collegamento sicuro). All’infrastruttura virtuale è possibile accedere anche da internet, esclusivamente con dispositivi configurati dal team di sistemisti delle società del Gruppo CF Assicurazioni ed attraverso collegamenti protetti da certificato di crittografia. I dati ed i documenti conservati nei database sono segregati in ordine alle mansioni aziendali ed alle nomine di trattamento fatte nei confronti di dipendenti e collaboratori.
Poiché la violazione potrebbe aver comportato l’accesso ai dati degli interessati, la presente comunicazione è anche finalizzata a chiedere agli interessati di provvedere al cambio della password per l’accesso all’area riservata e di fare attenzione ad eventuali comunicazioni che dovessero pervenire nei prossimi giorni, accertandosi di identificare le persone che eventualmente dovessero contattarli.
Per ogni eventuale ulteriore chiarimento in merito al trattamento dei dati personali, gli interessati possono rivolgersi al DPO delle Compagnie inviando una e-mail
• per CF Assicurazioni S.p.A. all’indirizzo dpo_cfassicurazioni@protectiontrade.it
• per CF Life Compagnia di Assicurazioni Vita S.p.A. all’indirizzo dpo_cfLife@protectiontrade.it
oppure contattando le Compagnie al seguente numero di telefono 800 80 20 52.