Vittoria Assicurazioni: il data breach da 280 GB che nessuno ha visto arrivare

e come CyberGrant avrebbe cambiato l'esito

La notizia emerge a inizio agosto 2022, quando gli investigatori del Compartimento di Milano della Polizia Postale, guidati dalla dirigente Tiziana Liguori, sono già al lavoro per preparare un'informativa alla Procura di Milano, che valuta l'apertura di un fascicolo a carico di ignoti. La scala dell'operazione non lascia spazio a letture riduttive: non è un incidente tecnico, è un'esfiltrazione organizzata.

Il Cold Case

280 gigabyte. 970.000 file. Dati riconducibili a circa 800.000 persone fisiche: polizze, anagrafiche, quasi certamente documentazione sanitaria. Non è il risultato di un attacco fulmineo. È il bilancio di qualcuno che ha avuto tutto il tempo necessario per muoversi, raccogliere e portare via, senza che nessun sistema lo fermasse.

Per un'azienda assicurativa, quei file non sono dati operativi nel senso generico del termine. Sono il rapporto fiduciario con i clienti, tradotto in documenti che il GDPR classifica come categorie particolari: dati sanitari, dati finanziari, informazioni su sinistri. Perderli apre tre fronti in parallelo: uno davanti al Garante, uno con i clienti, uno con i legali.

Ma cosa sarebbe successo se Vittoria Assicurazioni avesse avuto attivo l'ecosistema CyberGrant nel momento in cui l'attaccante ha iniziato a muoversi?

Analisi tecnica dell'attacco

Il vettore di accesso iniziale non è stato reso noto. Le indagini della Polizia Postale lo hanno probabilmente identificato, ma i dettagli restano riservati. Quello che si ricostruisce con certezza è la fase successiva: spostare 280 gigabyte di documentazione strutturata richiede accesso stabile alla rete, tempo per navigare tra repository diversi e nessun controllo che segnali il trasferimento. Nel caso di Vittoria Assicurazioni, tutte queste condizioni erano soddisfatte per un tempo sufficiente a completare l'operazione.

La sequenza più probabile: accesso iniziale con credenziali valide o compromesse, esplorazione dei depositi documentali, raccolta sistematica dei file, esfiltrazione verso infrastrutture esterne. Una progressione senza exploit sofisticati. Funziona quando il dato non ha protezione propria e quando i controlli presidiano solo l'ingresso alla rete, non quello che succede dentro.

Il problema strutturale

Il modello di protezione più diffuso nel settore assicurativo è ancora perimetrale: si verifica chi entra, non cosa fa il dato una volta che qualcuno è dentro. In un'organizzazione dove ogni file contiene per definizione dati personali sensibili, questo approccio regge finché il perimetro regge. Quando cede, il dato è lì, leggibile, esportabile, pronto per essere usato. Non serviva un attacco sofisticato: serviva solo pazienza e un accesso che nessun sistema stava monitorando in modo efficace.

Dove è fallita la governance

L'art. 25 del GDPR impone la protezione dei dati per impostazione predefinita. L'art. 32 richiede misure tecniche proporzionate alla natura dei dati trattati. Con dati sanitari e finanziari di 800.000 persone in gestione, la soglia di adeguatezza è alta. L'assenza di cifratura nativa sui file, la mancata segmentazione degli accessi per livello di sensibilità e l'assenza di alerting sui volumi trasferiti indicano una compliance che si è fermata alla documentazione, senza tradursi in controllo operativo sul dato.

Come l'ecosistema CyberGrant avrebbe impedito il disastro

FileGrant: 280 GB esfiltrati, zero dati leggibili

L'esfiltrazione è l'ultima fase della catena. È anche quella che trasforma una violazione tecnica in un danno reale: il file raggiunto diventa file utilizzabile. FileGrant rompe questa equivalenza: ogni documento sensibile viene cifrato nel momento in cui entra nel sistema, con protezione che segue il file su qualsiasi canale di uscita: server interno, cloud, dispositivo remoto, email.

L'attaccante avrebbe potuto raccogliere tutti i 970.000 file, trasferirli, archiviarli. Ma senza le chiavi di decifratura, quei 280 gigabyte non valgono nulla: non hanno mercato sul dark web, non consentono accesso alle informazioni dei clienti, non producono leva per il ricatto. Il meccanismo Lock&Go mantiene la cifratura attiva anche dopo che il file ha lasciato il perimetro aziendale, perché la protezione non dipende dalla rete: è nel dato stesso.

Sul piano regolatorio, la conseguenza è concreta. L'art. 34, comma 3, lett. a) del GDPR esonera dall'obbligo di notifica agli interessati quando i dati sottratti sono stati resi incomprensibili a chi non è autorizzato. La differenza operativa tra dover comunicare una violazione a 800.000 clienti e gestire l'incidente con la sola notifica al Garante si misura in costi legali, in impatto reputazionale e nella capacità di controllare la narrativa pubblica.

Vantaggio concreto: l'esfiltrazione non produce valore per chi l'ha eseguita, e la soglia di obbligo verso gli interessati ex art. 34 GDPR non viene raggiunta.

AIGrant: quando l'archivio ha una struttura, l'attaccante non può navigarlo liberamente

970.000 file non si classificano a mano. Se la classificazione dipende dall'operatore, è lacunosa per costruzione: i documenti più critici vengono trattati come ordinari, le restrizioni di accesso restano generiche e l'archivio rimane piatto. Un attaccante che ottiene accesso con credenziali di livello medio può muoversi tra repository diversi senza incontrare barriere sul contenuto.

AIGrant risolve questo a monte: legge il contenuto dei documenti, assegna il livello di sensibilità in automatico e applica le restrizioni di accesso in modo coerente. Non esistono documenti che "non è stato ancora il momento di classificare." Nel caso di Vittoria Assicurazioni, i file con dati sanitari e le polizze sarebbero stati segregati e accessibili solo ai ruoli che ne avevano effettiva necessità operativa. Un account compromesso a livello ordinario non avrebbe potuto raccogliere sistematicamente l'intero patrimonio documentale: avrebbe trovato sezioni inaccessibili, e ogni tentativo di forzarle avrebbe lasciato tracce nel log.

Vantaggio concreto: la superficie esposta si riduce in modo strutturale. Un singolo punto di compromissione non dà accesso all'intero archivio, e i tentativi di allargare i privilegi diventano visibili.

RemoteGrant: il trasferimento anomalo ha un nome, e va rilevato prima

Se l'accesso iniziale è passato per un endpoint compromesso o una sessione remota attiva, il problema non era solo l'accesso: era la libertà di movimento che ne seguiva. RemoteGrant applica controlli sull'endpoint che limitano cosa può fare una sessione autenticata, anche dall'interno della rete. Un utente che accede in rapida sequenza a repository diversi e genera un volume di trasferimento anomalo rispetto alla sua storia operativa è un segnale riconoscibile. Non richiede un analista dedicato: richiede un sistema che lo intercetti e lo segnali in tempo.

Vantaggio concreto: la violazione viene rilevata mentre è ancora contenibile, non quando i 280 gigabyte sono già altrove.

Risultato ipotetico

Con l'ecosistema CyberGrant attivo, l'accesso iniziale avrebbe potuto avvenire comunque. Non è un'ipotesi da nascondere: è la premessa onesta di qualsiasi analisi di questo tipo.

Quello che cambia è la catena di effetti.

I file sono cifrati: l'attaccante porta via qualcosa che non riesce a usare. AIGrant ha segmentato l'archivio: le credenziali compromesse non aprono tutto, aprono solo quello per cui sono state configurate. RemoteGrant ha rilevato il trasferimento anomalo: l'esfiltrazione viene interrotta prima di raggiungere la scala documentata. Il risultato non è l'assenza di incidente. È un incidente contenuto, con dato inutilizzabile, senza obbligo di notifica a 800.000 clienti e con una posizione difendibile davanti al Garante.

CyberGrant non elimina i rischi, ma li trasforma in controllo e consapevolezza.

Takeaway finali e Call to Action

Proteggere il perimetro non basta se il dato al suo interno è leggibile da chiunque ci entri. La domanda operativa per ogni CISO del settore assicurativo è questa: se un account viene compromesso, quanti file sensibili sono accessibili e leggibili senza ulteriori barriere? Se la risposta supera qualche decina di documenti, il perimetro è l'unica difesa, e non basta.

Con volumi documentali in scala, la classificazione manuale è una fiction. Una policy di accesso costruita su una classificazione incompleta protegge solo una parte del patrimonio, e non necessariamente quella più esposta. L'automazione della classificazione non è un'ottimizzazione: è il presupposto perché le policy abbiano senso.

L'audit trail vale quanto la protezione tecnica, soprattutto quando arrivano gli investigatori. Chi ha avuto accesso, a cosa, quando: queste domande arrivano sempre. Se il registro non esiste o è lacunoso, la risposta all'incidente rallenta e la posizione davanti al Garante si complica su aspetti che erano gestibili.