Attacco hacker contro Xplain: ripercussioni sull’Ufficio federale della dogana e della sicurezza dei confini e misure adottate

A inizio giugno è stato reso pubblico che la società Xplain, un fornitore svizzero di software per autorità di sicurezza e organizzazioni di primo intervento, è stata vittima di un attacco ransomware da parte del gruppo hacker Play. Poiché Xplain, d’intesa con le autorità di perseguimento penale e la Confederazione, non ha ceduto alle richieste di ricatto, a metà giugno 2023 gli aggressori hanno pubblicato sul dark web quello che si suppone sia l’intero pacchetto di dati sottratti. Anche l’Ufficio federale della dogana e della sicurezza dei confini (UDSC) è stato, come altre unità organizzative, vittima di questo furto di dati.

Il gruppo hacker Play, autore dell’attacco ransomware, è riuscito ad accedere a un’elevata quantità di dati memorizzata sui sistemi informatici della società Xplain e quindi a criptarli. Dopo un tentativo di estorsione fallito, i dati sono quindi stati pubblicati sul dark web. In seguito Xplain ha informato il Centro nazionale per la cibersicurezza (NCSC) sul ciberincidente e sporto denuncia penale alla polizia cantonale di Berna.

Il 23 maggio 2023, la società Xplain ha informato l’UDSC sul furto di dati e sugli eventi correlati. Dopo la divulgazione dell’accaduto, l’UDSC ha sporto denuncia penale contro ignoti presso il Ministero pubblico della Confederazione e informato l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) sul ciberincidente.

Stando alle informazioni attuali, tra i dati rubati figurano anche dati personali (p. es. cognomi, nomi, date di nascita, numeri di passaporto) e, in alcuni casi, anche dati degni di particolare protezione di persone fisiche (p. es. immagini del volto). In base alle informazioni attuali, si tratta di dati provenienti da rapporti di test o di errore e da logfile del sistema di controllo al confine eneXs, che l’UDSC utilizza nei processi di controllo al confine soprattutto per i controlli delle persone presso le frontiere esterne Schengen e quelle interne. Da quanto emerge dalle informazioni attuali, tra i dati rubati non dovrebbero trovarsi documenti dell’UDSC classificati come confidenziali e/o segreti (ai sensi dell’ordinanza del 4 luglio 2007 sulla protezione delle informazioni, RS 510.411).

Il sistema di controllo al confine eneXs è stato sviluppato dalla società Xplain nel 2009 su mandato dell’UDSC. eneXs consente, tra l’altro, di confrontare i documenti d’identità con i dati presenti nei sistemi d’informazione nazionali ed europei, al fine di verificarne l’autenticità. Questi controlli sono un elemento centrale per garantire la sicurezza interna della Svizzera. L’applicazione eneXs non memorizza dati. Infatti, durante i controlli al confine le informazioni vengono solo consultate e visualizzate temporaneamente.

L’UDSC ha concluso con Xplain un contratto d’appalto nel settore informatico concernente la fornitura, la gestione e il supporto del software eneXs. Nel quadro del supporto, dell’ulteriore sviluppo e della gestione del software, la prassi prevede che Xplain riceva i rapporti di test e di errore. L’inchiesta in corso ha lo scopo di determinare le circostanze e le condizioni in base alle quali i dati resi pubblici sono stati trasmessi a Xplain e conservati da quest'ultima. Occorre comunque sottolineare il fatto che i dati rubati non influiscono sull’esercizio operativo dell’UDSC.

L’UDSC prende molto sul serio questo attacco. I dati scaricati dal dark web vengono analizzati ed esaminati da specialisti dell’UDSC, in modo da definire l’entità del furto di dati e decidere le ulteriori misure necessarie.

L’analisi dell’attacco e la valutazione dei dati collegati all’UDSC non sono ancora concluse. L’UDSC contatta, in modo diretto e attivo (mediante lettera informativa), le persone i cui diritti della personalità sono particolarmente toccati dal furto di dati e che, di conseguenza, possono avere subito dei danni. Secondo l’attuale valutazione sono circa 60 le persone colpite dal furto di dati degni di particolare protezione.

Se dovessero emergere nuove informazioni, l’UDSC provvederà a comunicarle in modo tempestivo e trasparente sulla sua pagina web.

L’NCSC coordina i chiarimenti e le misure in corso all’interno dell’Amministrazione federale. L’UDSC è in stretto contatto con l’NCSC. Il 28 giugno 2023, il Consiglio federale ha istituito uno stato maggiore di crisi politico-strategico che coordina a livello sovradipartimentale i lavori in corso e propone le misure. Inoltre, verifica i contratti esistenti con i fornitori di servizi informatici della Confederazione e, all’occorrenza, li adegua, al fine di migliorare la loro cibersicurezza e permettere alla Confederazione di agire prontamente in caso di riuscita di un attacco.  

Per ulteriori domande su questo argomento, rivolgersi alla centrale d’informazione dell’UDSC.