Gentili,
vi scriviamo per informarvi che Epipoli S.p.A. è stata interessata da un attacco informatico che ha coinvolto l’account aziendale di una dipendente e, in particolare, la relativa casella di posta elettronica. L’evento, riconducibile all’azione di terzi malintenzionati, ha avuto una durata limitata, pari a circa un giorno, e potrebbe aver comportato la perdita di riservatezza di alcuni dati personali che vi riguardano.
Desideriamo fornirvi con la massima trasparenza tutte le informazioni utili sull’accaduto. Pertanto, ai sensi dell’art. 34 del Regolamento UE 2016/679 sulla protezione dei dati personali (“GDPR”), vi illustriamo di seguito la natura della violazione, le probabili conseguenze della stessa, nonché le misure che la Società ha tempestivamente adottato per contenere l’evento e ridurne i possibili effetti negativi.
A) Descrizione della natura della violazione dei dati personali
Tra il 6 maggio 2026 e il 7 maggio 2026, un account aziendale, è stato oggetto di compromissione a seguito di un attacco informatico esterno.
Dalle verifiche svolte è emerso che l’attacco è avvenuto mediante una tecnica di phishing particolarmente sofisticata, in modo da eludere il sistema di autenticazione e consentire l’accesso non autorizzato all’account.
L’attaccante ha quindi avuto accesso alla casella di posta elettronica aziendale compromessa, svolgendo alcune attività non autorizzate, tra cui anche la consultazione della mailbox e l’invio di e-mail di phishing verso destinatari esterni e interni.
Sulla base delle verifiche svolte, la violazione ha riguardato dati personali riferibili prevalentemente a clienti della Società e, in misura più limitata, a dipendenti.
B) Descrizione delle probabili conseguenze della violazione dei dati personali
La violazione potrebbe aver comportato una perdita di riservatezza dei vostri dati personali e, in particolare, la possibile conoscenza degli stessi da parte di soggetti non autorizzati. In considerazione della tipologia dei dati potenzialmente coinvolti, tali informazioni possono essere utilizzate per finalità diverse da quelle originariamente previste o comunque in modo non autorizzato, anche mediante l’invio di comunicazioni fraudolente, tentativi di phishing o, nei casi in cui siano coinvolti documenti di identità o dati bancari (mentre si esclude che risultino coinvolti dati sanitari o altre categorie particolari di dati personali ai sensi dell’art. 9 GDPR), tentativi di utilizzo improprio dell’identità o delle informazioni riferibili all’interessato.
Per tale ragione, anche qualora aveste già ricevuto una nostra precedente comunicazione di allerta volta a invitarvi a prestare attenzione a eventuali messaggi riferibili alla nostra Società, vi raccomandiamo di mantenere particolare cautela rispetto a comunicazioni ricevute tramite canali riconducibili a Epipoli, soprattutto se contenenti richieste di pagamento, richieste di conferma di dati personali, credenziali, codici di accesso, copie di documenti o informazioni bancarie.
C) Descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e attenuarne i possibili effetti negativi
Non appena rilevato l’evento, la Società si è immediatamente attivata per contenere la violazione, verificare l’accaduto e ridurre il più possibile i potenziali effetti negativi per gli interessati.
In particolare, l’account compromesso è stato tempestivamente bloccato, sono state revocate tutte le sessioni attive ed è stato effettuato il reset del sistema di autenticazione a più fattori. La Società ha inoltre svolto una scansione antivirus del dispositivo interessato, un’analisi approfondita degli audit log e un monitoraggio rafforzato dell’ambiente cloud aziendale, al fine di verificare l’eventuale presenza di ulteriori attività anomale.
La Società ha inviato una prima comunicazione di allerta agli interessati che, in quel momento, risultavano esposti al possibile invio di comunicazioni di phishing provenienti dall’account compromesso, invitandoli a non interagire con eventuali messaggi sospetti.
La violazione è stata inoltre notificata al Garante per la Protezione dei Dati Personali e all’Agenzia per la Cybersicurezza Nazionale, secondo quanto previsto dalla normativa applicabile.
Al fine di rafforzare ulteriormente i nostri presidi di sicurezza e ridurre il rischio che eventi analoghi possano ripetersi, sono in corso di adozione ulteriori misure tecniche e organizzative da parte della Società, con particolare riferimento alla limitazione degli accessi ai sistemi, all’ulteriore rafforzamento delle misure di autenticazione, alla ripetizione di attività di sensibilizzazione del personale sui rischi informatici e all’implementazione di modalità più sicure per il trasferimento e l’archiviazione di documenti sensibili e/o altamente riservati.[PL1.1]
D) Nome e dati di contatto del Responsabile della Protezione dei Dati e altri punti di contatto presso cui ottenere più informazioni
Per ulteriori informazioni o richieste di chiarimento in merito alla presente comunicazione e all’evento descritto, potrete contattare:
- Epipoli S.p.A., in qualità di Titolare del trattamento, con sede legale in Viale Edoardo Jenner n. 53, 20159 Milano (MI), C.F. e P. IVA n. 13169720151, all’indirizzo e-mail: gdpr@epipoli.com;
- il Data Protection Officer, avv. Vera Cantoni, con sede legale in Via Turati n. 26, 20121, Milano (MI), all’indirizzo e-mail: dpo@epipoli.com.
Cordiali saluti
Epipoli S.p.A.