All’inizio di quest’anno si è verificata una violazione in una domanda di assunzione esterna utilizzata dal Parlamento europeo, un problema di sicurezza informatica rimasto non identificato per mesi.
La violazione, risalente all’inizio del 2024, è stata scoperta due settimane fa mentre il Parlamento europeo intensificava gli sforzi per rafforzare la propria sicurezza informatica in preparazione delle imminenti elezioni europee di giugno, ha detto a Euronews un addetto stampa del Parlamento europeo.
La candidatura compromessa e ora messa offline si chiama “PEOPLE” e raccoglieva informazioni sensibili relative a circa 8.000 candidati per posti temporanei (compresi assistenti parlamentari e agenti contrattuali) e forniva loro dettagli sul processo di reclutamento. “Tutti gli utenti attivi o passati potenzialmente interessati dalla violazione dei dati sono stati debitamente informati”, spiega l’addetto stampa. Notifiche sono state inviate anche al Garante europeo della protezione dei dati (GEPD) e alle autorità del Lussemburgo, dove ha sede PEOPLE.
Il Parlamento ha assicurato a Euronews che la sua infrastruttura non è stata compromessa. Tuttavia, la portata e l’origine della violazione rimangono sconosciute, il che fa sorgere il timore che possa essere stata il risultato di un attacco informatico straniero.
Risposta lenta
Questo incidente non è la prima sfida alla sicurezza informatica affrontata dall’istituzione. Nel 2020 sono stati esposti online i dati personali relativi a 1.200 funzionari dell’UE, tra cui legislatori e personale. Nel 2022, il sito web del Parlamento europeo è stato preso di mira da hacker ritenuti di origine russa dopo che il Parlamento europeo aveva condannato la guerra in Ucraina. Tuttavia, le prossime normative mirano a migliorare il meccanismo di risposta.
Entro ottobre gli Stati membri dell’UE dovranno recepire la normativa Direttiva 2 sulla sicurezza delle reti e dell’informazione (NIS2), le norme dell’UE in materia di cibersicurezza relative alle entità critiche. Le norme, proposte dalla Commissione Europea nel 2020, sostituiscono la vecchia direttiva NIS risalente al 2016.
Le pubbliche amministrazioni, così come altri settori come le società energetiche, i fornitori di cloud computing, le società di gestione dell’acqua, rientreranno nell’ambito di applicazione delle norme che li rendono cosiddetti settori critici.
Ciò significa che le aziende di uno qualsiasi di questi settori che sono soggette a un incidente di sicurezza informatica avranno 24 ore dal momento in cui vengono a conoscenza dell’incidente per presentare un avvertimento a un’autorità nazionale. Euronews ha riferito a marzo che solo pochi paesi hanno iniziato a implementare le norme nei rispettivi regolamenti nazionali
Image:Getty Images
