Attacco all’Agenzia delle Entrate: il punto della situazione

27 Luglio 2022 Gabriele La Greca

Qualche giorno fa, è saltata fuori la notizia che l’Agenzia delle Entrate sarebbe stata colpita da un attacco malware. Il gruppo di hacker (presumibilmente russo) che lavora con il ransomware LockBit sarebbe riuscita, secondo quanto dichiarato dal gruppo stesso, a colpire il sito dell’Agenzia durante la giornata del 25 luglio 2022. La notizia è stata pubblicata da LockBit stessa pubblicando l’annuncio dell’attacco hacker sul dark web. Ma è vero? C’è stato o non c’è stato furto di dati ai danni dell’Agenzia dell’Entrate?

Furto di dati all’Agenzia delle Entrate

LockBit ha dichiarato di essere entrato in possesso di ben 100 GB di dati. Il gruppo comunque, nel suo essere criminale, si è sempre dimostrato serio nelle dichiarazioni. Ma è anche vero che gli conviene esserlo se vuole tenere alta la sua reputazione. Dall’altro lato abbiamo Sogei, Società Generale d’Informatica S.p.A, il ramo informatico e tecnologico del Ministero dell’Economia e delle Finanza che gestisce tutti i server più delicati del nostro Paese.

Il giorno stesso, Sogei ha smentito tutto con il seguente comunicato:

“In merito al presunto attacco informatico al sistema informativo della fiscalità, Sogei spa informa che dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria. Dagli accertamenti tecnici svolti Sogei esclude pertanto che si possa essere verificato un attacco informatico al sito dell’Agenzia delle Entrate. Resta in ogni caso attiva la collaborazione con l’Agenzia per la Cybersicurezza nazionale e la Polizia Postale al fine di dare il massimo supporto alle indagini in corso.”

A seguito di questo comunicato, diverse ipotesi sono scaturite in giro per il web. La più accreditata vedeva un possibile data breach di una struttura collegata all’Agenzia delle Entrate ma fuori dal perimetro di controllo di Sogei. Sembra infatti la strada giusta, e guardando alcuni degli screenshot pubblicati sul dark web da LockBit, come prova dei dati sottratti, è possibile vedere alcuni documenti relativi a GESIS o GESISD. Si tratterebbe di un riferimento ad uno studio di commercialisti, e che quindi non ha niente a che fare con Sogei o con l’Agenzia delle Entrate.

agenzia delle entrate

Un altro comunicato da parte di Sogei spiega meglio cos’è successo:

In merito agli articoli pubblicati questa settimana su alcuni media in relazione ad un presunto tentativo di ricatto hacker all’Agenzia delle Entrate, da parte nostra al momento possiamo solo osservare quanto segue. I dati pubblicati in detti articoli, da quanto ci risulta, non provengono da server dell’Agenzia delle Entrate ma da un nostro server che è stato oggetto di un recente tentativo di intrusione hacker finalizzato alla criptazione dei nostri file ed esfiltrazione di dati, con relativa richiesta di riscatto.

Tale tentativo ha avuto esito negativo in quanto i nostri sistemi di backup e di antintrusione hanno evitato qualsiasi perdita di dati e limitato l’esfiltrazione di dati ad una minima parte, in corso di accertamento, di quelli presenti nei nostri server. In particolare sarebbe stato esfiltrato circa il 7% dei dati.

Di questa parte, circa il 90% riguarderebbe database di vecchie versioni di programmi gestionali e quindi inutilizzabili. Pertanto non ci sono state conseguenze significative sulle attività nostre e dei nostri clienti. Sono state informate le parti direttamente interessate, incluse le competenti autorità.

Non possiamo al momento rilasciare ulteriori informazioni per non intralciare le indagini in corso.

Si può quindi tirare (quasi) un sospiro di sollievo. Da quanto si evince, Sogei sembra sicura del fatto che non ci sia stato nessun data leak relativo al sito dell’Agenzia delle Entrate e i dati sottratti potrebbero essere relativi a qualche affiliato, esterno all’Agenzia stessa e non sotto il controllo di Sogei.