Con un comunicato stampa, l’Agenzia delle Entrate ha smentito che i suoi sistemi abbiano subìto un attacco informatico.

Nella mattinata del 25 luglio il gruppo di cyber criminali Lockbit 3.0 ha annunciato di aver attaccato l’Agenzia delle Entrate italiana con il proprio ransomware, sottraendo una grande quantità di dati e minacciando una loro diffusione pubblica qualora non venisse pagato il riscatto.

L’annuncio era stato pubblicato attorno alle 11 di mattina del 25 luglio sul leak site del gruppo e l’ultimatum per la diffusione dei dati fissato a cinque giorni, successivamente prorogati a sei. Si ritiene che la gang di Lockbit sia di origine russa, ma che si tratti anche di un’organizzazione piuttosto eterogenea e non legata direttamente al governo Russo, nonostante prenda spesso di mira organizzazioni governative. Di recente il gruppo ha ribadito la sua neutralità nei confronti della guerra in Ucraina, affermando di focalizzarsi unicamente sul ritorno economico (gli affari sono affari…).

Nel pomeriggio, l’AdE ha emesso un comunicato stampa in cui Sogei, società interamente partecipata dal MEF e che gestisce le infrastrutture tecnologiche dell’Agenzia, informa che “dalle prime analisi effettuate non risultano essersi verificati attacchi informatici né essere stati sottratti dati dalle piattaforme ed infrastrutture tecnologiche dell’Amministrazione Finanziaria”.

In effetti, i siti dell’Agenzia delle Entrate hanno continuato a funzionare senza problemi, e non risulta che siano stati cifrati dati sulla sua infrastruttura.

Ma di chi sono allora i dati sottratti?

Un bottino da 78 GB: di chi sono i dati?

Nell’annuncio, fatto sul suo leak site (il sito su rete anonima Tor con cui la gang comunica con le vittime e dà prova degli attacchi), Lockbit dichiara di aver sottratto circa 78 GB di dati che includono documenti aziendali, scansioni, report finanziari e contratti. Lockbit 3.0 ha pubblicato otto schermate di directory e documenti sottratti.

Le schermate di prova dell’attacco pubblicate sul leak site di Lockbit

Le schermate di prova dell’attacco pubblicate sul leak site di Lockbit

Nelle schermate si vedono documenti con la documentazione antiriciclaggio relativi ad aziende italiane, documenti di identità di cittadini stranieri, documentazione tecnica e amministrativa. Il sospetto è quindi che l’attacco sia stato portato a una società che ha relazioni con l’Agenzia delle Entrate, ma non all’agenzia stessa, e Lockbit avrebbe quindi sbagliato nell’identificare la propria vittima.

L’Agenzia nel frattempo comunica di stare lavorando con le forze dell’ordine e con l’Agenzia di Cybersicurezza Nazionale per ulteriori indagini.

(Pubblicato il 25 Luglio 2022 alle 13:28 e aggiornato il 26 Luglio alle 11:12)