«Siamo stati hackerati, siamo corsi ai ripari, abbiamo limitato i danni, siete al sicuro, ma difendetevi sempre dalle truffe». È questo il senso di una comunicazione che Amet spa, l’azienda partecipata che gestisce la distribuzione di energia elettrica ed altri servizi comunali, ha inviato ai propri utenti per informarli di un incidente di sicurezza informatica subito nei mesi scorsi e che ha comportato una violazione di dati personali.
La lettera, a firma generica «Amet», ma di cui l’azienda ha confermato l’autenticità, è stata recapitata agli interessati con il seguente oggetto: «Importante comunicazione di sicurezza relativa ad una violazione di dati personali». E nel suo sviluppo chiarisce la dinamica dell’accaduto.
«A seguito di un tentativo di truffa in danno di Amet - vi si legge -, subito nel mese di aprile 2025, abbiamo riscontrato accessi abusivi all’account di posta elettronica di un nostro dipendente, e l’impostazione di una regola di inoltro automatico dei messaggi verso un indirizzo e-mail esterno, non controllato dalla nostra società».
Appena scoperto l’evento, l’azienda ha immediatamente disattivato la regola di inoltro, avviato un’indagine interna e notificato l’accaduto all’Autorità garante per la protezione dei dati personali. Successivamente sono state adottate ulteriori misure, tecniche e organizzative, volte ad evitare il ripetersi di simili incidenti».
L’incidente ha riguardato un numero significativo di soggetti, tra cui dipendenti di Amet, utenti, consulenti e personale dipendente di fornitori. I dati potenzialmente coinvolti includono l’indirizzo email degli interessati e, ove presenti all’interno della singola comunicazione, categorie di dati personali di varia natura: dati anagrafici (come nome, cognome e codice fiscale/Pod); dati di contatto (numeri di telefono, indirizzo di residenza o di fornitura); dati di fatturazione e/o di pagamento e dati relativi a documenti di riconoscimento.
In considerazione della natura dei dati coinvolti, i potenziali rischi per gli utenti, secondo quanto prospettato dall’azienda di piazza Plebiscito, sarebbero i seguenti: «Tentativi di phishing e social engineering; possibili furti di identità; altre forme di frode». Tuttavia, l’ex municipalizzata specifica che, «vista la natura della violazione – riconducibile a un tentativo di truffa e al tempo trascorso – la possibilità che detti rischi possano concretizzarsi appare, allo stato, remota».
In ogni caso, per tutelarsi, Amet consiglia agli utenti di «prestare la massima attenzione a e-mail, sms o chiamate inattese e/o sospette con cui vengono richiesti dati personali, in particolare credenziali di accesso o informazioni finanziarie, anche se sembrano provenire da Amet». Ulteriore raccomandazione, «non cliccare su link e non aprire allegati provenienti da mittenti sconosciuti.
Ed ancora, «verificare sempre l’autenticità delle richieste, contattando direttamente l’azienda tramite i canali ufficiali in caso di dubbi, ed evitando di rispondere alla comunicazione sospetta». Infine, «monitorare le attività sui propri account, controllando regolarmente gli estratti conto bancari per rilevare eventuali transazioni o accessi non autorizzati».
Amet ha messo a disposizione degli utenti un indirizzo e-mail - dpo/@ametspa.it - per qualsiasi tipo di comunicazione con l’azienda.
