Data breach: Comune di Pisa

Il Comune di Pisa è stato oggetto di un data breach da parte del collettivo NOVA. Cerchiamo di capire cosa è successo e le conseguenze di tale azione.

Cosa è successo

Il 10 maggio 2025 il collettivo NOVA ha pubblicato un post di rivendicazione nei confronti del Comune di Pisa. Nel messaggio pubblicato dal collettivo è riportato anche quanto segue:

we take 2TB this will be part 1, part we will leak everything contact us soon: ext : PDFs, OUTLOOKs, DB, XLSX, PNG, JPG, TXT, sources (configs)

gov documents, payments databases, Secret plans, softwares codes, emails templates contents, Costumers information, gmails, phones, invoices, Workers informations, peoples IDs, hospitals docs etc

note (admin will face readme follow it we know you have money, you have 15 days, make sure that we put 50000 payload worms, and C2 if you deasn’t pay your choice, 2TB encrypted, bitdefender and endpoints, will not help you against Nova, ransom payment will be pizza and some dollars )

Gli hacker dichiarano di aver sottratto complessivamente 2Tb al Comune e che questa prima rivendicazione conterrà solo i primi 100 Gb.

Chi è NOVA

Per sapere qualcosa di più in merito al gruppo NOVA è bene fare affidamento ad alcune fonti su internet. Diciamo preliminarmente che NOVA distribuisce il loro ransomware (raLord) scritto in rust e ampiamente analizzato da Sonicwall in un interessante articolo.

Il gruppo è relativamente nuovo e si fece conoscere per aver dichiarato di non voler attaccare scuole e società no-profit. Affermazioni come queste sono state già fatte in passato da gruppi hacker che, successivamente, hanno tradito questo vincolo morale e, di conseguenza, non c’è motivo di credere che NOVA non possa fare la medesima cosa.

L’impatto sul Comune

Il Comune di Pisa si trova nella regione Toscana ed è celebre e conosciuta per le innumerevoli attrazioni storico-artistiche tra cui la nota Torre di Pisa. Il comune a febbraio 2025, secondo quanto stimato dall’ISTAT nel bilancio demografico, avrebbe raggiunto gli 89.456 abitanti.

La questione NIS2

In molti hanno dichiarato che, in quanto pubblica amministrazione, il Comune di Pisa sarebbe dovuto rientrare all’interno delle prescrizioni di cui alla Direttiva NIS 2 (D.Lgs 138/2024). Il problema di questa affermazione è che nell’Allegato III punto c) del D.Lgs si afferma che, tra le pubbliche amministrazioni coinvolte nella NIS2, sono:

1) Le città metropolitane;
2) I Comuni con popolazione superiore a 100.000 abitanti;
3) I Comuni capoluoghi di regione.
4) Le Aziende sanitarie locali.

Il Comune di Pisa non rientra automaticamente in nessuno di questi 4 casi. Non è una città metropolitana, non ha popolazione superiore ai 100.000 abitanti, non è un capoluogo di regione (è Firenze) e non è un’azienda sanitaria locale.

L’impatto

Indipendentemente dalla NIS2, tuttavia, l’attacco ad un Comune è un fatto indubbiamente grave in quanto i comuni possiedono dati eterogenei tra cui quelli di categoria particolari (ad esempio quelli sanitari) necessari all’espletamento delle varie pratiche per il cittadino. In passato, quando furono attaccati altri comuni, l’esfiltrazione dei dati contenuti in uffici come “Affari sociali” o “Polizia Municipale” è stato particolarmente rilevante. Per maggiori approfondimenti sull’impatto si consiglia la lettura di questi due articoli:

Data breach: ci si deve concentrare sulla ripresa

Comune di Taggia: data breach

Per il Comune di Pisa sarà necessario, quindi, appurare se dati di questa natura siano stati oggetto di esfiltrazione, partendo dal presupposto che tra i file pubblicati da NOVA potrebbero non esserci documenti di recente pubblicazione (ma è solo una prima parte). C’è anche il timore che i file del Comune possano contenere password in chiaro all’interno di documenti: questo è già accaduto in passato con altri comuni che memorizzavano le credenziali in file inadeguati a contenere tali informazioni. Un esempio molto comune può essere proprio il classico file “password.txt” o “password.doc” ma, anche file di tipo differente. I file destinati a contenere un “buono d’ordine” ad esempio, contengono spesso credenziali riservate, necessarie ad accedere a piattaforme di procurement. In quei casi ci si trova davanti ad informazioni come: nome utente, password, codice del buono, identificativo dell’impresa/organizzazione.

Tutto questo unitamente alle istruzioni per riscattare il buono e quindi tutte le procedure minuziosamente descritte e che un malintenzionato potrebbe usare senza alcun problema.

La comunicazione del Comune

Un’altra cosa che colpisce è il “silenzio” da parte del Comune di Pisa sul proprio portale ufficiale: il portale, infatti, fornisce tre tipologie di informazioni:

• Notizie
• Comunicati
• Avvisi

Ma in nessuna delle tre sezioni sono stati trovati riferimenti al data breach subìto dal Comune. Di seguito si riportano gli screenshot delle sezioni del sito alla data del 21/05/2025 ore 11:00 circa.

È bene ricordare cosa prevede il GDPR (Reg. UE 2016/679) in questi casi: l’articolo 34 “Comunicazione di una violazione dei dati personali all’interessato” al comma 1 recita:

Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo

La comunicazione, tuttavia, non è sempre obbligatoria e lo stesso Regolamento prevede, al comma 3 che:

Non è richiesta la comunicazione all’interessato di cui al paragrafo 1 se è soddisfatta una delle seguenti condizioni:

a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura;

b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1;

c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.

Conclusioni

In attesa del rilascio dei file, che potrebbero contenere dati più rilevanti rispetto a quelli attualmente pubblicati nel file di esempio, è bene tenere presente che l’attacco ad una struttura pubblica è sempre molto delicato: che si tratti di un piccolo comune o di una ASL locale, i dati sono sempre di ragguardevole importanza.

Aggiornamenti

23/05/2025 – Interpellanza parlamentare

La rappresentante del PD Ylenia Zambito ha presentato una interrogazione parlamentare per approfondire quanto successo al Comune di Pisa e per sapere:

se il Governo sia a conoscenza dell’attacco informatico subito dal Comune di Pisa e quali informazioni siano state acquisite in merito all’entità e alla natura dei dati esfiltrati e se siano state coinvolte le autorità competenti, quali l’Agenzia per la Cybersicurezza Nazionale e il Garante per la protezione dei dati personali, per valutare l’impatto dell’attacco e coordinare le azioni di risposta”. Nell’atto parlamentare viene chiesto anche se l’esecutivo intende rendere noto quante amministrazioni locali siano state finora oggetto di attacchi ransomware con esfiltrazione di dati sensibili e a quanto ammontino i riscatti pagati per il rientro in possesso dei dati.   […] Inoltre è soprattutto necessario sapere quali misure di cybersicurezza siano state finora adottate per proteggere in modo efficace i dati sensibili in possesso delle amministrazioni locali, quali ulteriori iniziative urgenti intenda promuovere per rafforzare la sicurezza informatica delle pubbliche amministrazioni locali, in particolare attraverso programmi di formazione, aggiornamento tecnologico e implementazione di sistemi di difesa avanzati e per evitare ricadute sulla finanza pubblica e sui bilanci delle amministrazioni locali per il pagamento di riscatti conseguenti all’esfiltrazione di dati da parte dei gruppi criminali informatici

Non è la prima volta che un’interpellanza parlamentare viene richiesta a seguito di un attacco cyber; nel 2022, a seguito di un attacco cyber ai danni del Comune di Torre del Greco, un esponente del Movimento 5 Stelle fece un’interpellanza parlamentare.

22/05/2025 – Alcune affermazioni del CUB

Il giorno 21/05/2025 il CUB (Confederazione Unitaria di Base), ha rilasciato sul proprio sito web le seguenti dichiarazioni, riportate anche sul quotidiano “Il Tirreno, cronaca di Pisa”.

“Nei giorni scorsi eravamo intervenuti per sollecitare risposte e informazioni che sono arrivate in ritardo e in termini assai generici. Nei fatti, quanto apprendiamo dalla stampa cittadina, è la fotografia di un Ente ormai avvezzo a ricorrere ai media per magnificare le proprie sorti e azioni ma invece assai titubante a esternare quando il contesto non favorisce l’autoelogio della Giunta. Quanto avvenuto al Comune di Pisa è già accaduto ad altri Enti della Pubblica amministrazione, la pirateria informatica è diffusa e rappresenta un problema da affrontare anche con un salto di qualità che si concretizzi da subito in organici adeguati, strumenti di lavoro efficienti e moderni, formazione costante. Come sindacati e dipendenti del comune di Pisa non eravamo informati della sottrazione di dati riguardanti i dipendenti, tutto è stato minimizzato visto che su questo argomento l’immagine dell’Ente e dei suoi amministratori non poteva costruire narrazioni e celebrazioni. Ne consegue che un attacco, ormai usuale, a un Ente della Pa si trasforma in una sorta di farsa e invece di affrontare i problemi, per risolverli, senza cercare capri espiatori ma cercando invece le falle di un sistema a tutela dell’interesse generale, si preferisce una comunicazione inadeguata e tardiva e trattando i dipendenti come dei sudditi tenuti alla cieca obbedienza per ricordare al contempo le regole d’utilizzo degli strumenti informatici, come se il problema fosse nato per un’incuria del personale e non da qualche falla del sistema. Sarebbero finiti, ma il condizionale è d’obbligo, i tempi del credere obbedire e combattere e il nostro Ente è chiamato a un salto di qualità che necessita anche di adeguate politiche del personale di cui non si vede traccia alcuna. E di questo bisogna rendere conto alla cittadinanza e al personale.”

CUB COMUNE PISA

È particolarmente rilevante la frase “Come sindacati e dipendenti del comune di Pisa non eravamo informati della sottrazione di dati riguardanti i dipendenti, tutto è stato minimizzato visto che su questo argomento l’immagine dell’Ente e dei suoi amministratori non poteva costruire narrazioni e celebrazioni.”