Interrogazione nr. d'ordine 497

Logo Partito Democratico   Paolo Ticozzi
Nr. d'ordine: 497
Data pubblicazione: 12-01-2022
Data scadenza: 11-02-2022
Proponente: Paolo Ticozzi
Altri firmatari: Monica Sambo, Alessandro Baglioni, Alberto Fantuzzo, Emanuele Rosteghin, Giuseppe Saccà, Emanuela Zanatta
Referente: Assessore Michele Zuin
Tipo risposta richiesta: in Commissione
Assemblea competente: VIII Commissione
Oggetto: Intrusioni hacker negli account Twitter del Carnevale di Venezia e di Venezia 1600, quali policy e formazione sulla sicurezza informatica in Vela?
Tipo di risposta richiesto: in Commissione
 

Preso atto che

  • il profilo Twitter ufficiale del Carnevale di Venezia e il profilo Twitter legato ai 1600 anni di Venezia sono stati vittime di accessi non autorizzati e nel caso di quello del Carnevale oltre agli accesi è seguito anche la pubblicazione di messaggi che chiedevano ai follower donazioni in Bitcoin;

considerato che:

  • gli account citati risultano gestiti da Vela spa, società partecipata del Comune di Venezia;
     
  • il Carnevale di Venezia è un evento estremamente seguito a livello mediatico e di fondamentale importanza per la nostra città;

considerato inoltre che :

  • il Codice dell’Amministrazione Digitale (Decreto Legislativo 7 marzo 2005, n. 82) si applica come da articolo 2 alle pubbliche amministrazioni, ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse, alle società a controllo pubblico;
     
  • che l’articolo 51 comma 2 che “I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.”;
     
  • che l’articolo 13 recita “1. Le pubbliche amministrazioni, nell’ambito delle risorse finanziarie disponibili, attuano politiche di reclutamento e formazione del personale finalizzate alla conoscenza e all’uso delle tecnologie dell’informazione e della comunicazione, nonché dei temi relativi all’accessibilità e alle tecnologie assistive, ai sensi dell’articolo 8 della legge 9 gennaio 2004, n. 4.”;

ritenuto che:

  • la sicurezza informatica sia di fondamentale importanza e debba essere perseguita con estrema attenzione tramite policy aziendali e con un'adeguata formazione ai dipendenti che utilizzano strumenti digitali connessi alla rete, dando anche seguito al Codice dell'Amministrazione Digitale;
     
  • sia opportuno verificare quali policy aziendali  da parte di Vela spa fossero e siano in essere per quanto concerne la sicurezza informatica al fine di tutelare l'azienda, la sua immagine, i suoi dati, quelli dei suoi utenti e la sicurezza dei suoi follower;
     
  • la perdita di controllo di account ufficiali sia estremamente grave e comporti enormi rischi nel caso questi diffondano informazioni false che potrebbero rapidamente arrivare alla cittadinanza, a chi vive la città e ai turisti;

Si interrogano gli assessori competenti per chiedere:

  • se ritengano anche alla luce di quanto previsto dal Codice dell’amministrazione digitale e dal GDPR che da parte di Vela sia fatto tutto il possibile per evitare eventi spiacevoli come quello accaduto;
     
  • di rispondere direttamente o far intervenire i responsabili di Vela per sapere:
     
    • per quanto di conoscenza come sia potuto avvenire l'accesso non autorizzato agli account twitter;
       
    • se ci siano già delle linee guida sulla sicurezza informatica all'interno di Vela spa e cosa queste prevedano;
       
    • quale sia il grado di formazione legato alla sicurezza informatica posseduto da chi è a conoscenza delle password o si occupa degli account Twitter del carnevale ufficiale di Venezia e del account legato ai 1600 anno di Venezia e in generale degli account sui social network gestiti da Vela spa;
       
    • quale formazione e aggiornamento del personale nell’ambito della sicurezza informatica sia stata rivolta da parte di Vela ai suoi dipendenti;
       
    • come si ritiene che siano state scoperte o rubate le password dei due account citati e in particolare e se tra le ipotesi ritenga che le password siano state scoperte grazie a tecniche di hacking legate metodi di ingegneria o siano state rubate penetrando nei dispositivi informatici in cui erano state memorizzate;
       
    • se siano state violate anche le caselle di posta elettronica associate ai due account Twitter, ipotesi alquanto probabile vista l'iniziale impossibilità di ripristino degli account Twitter e che tipologia di informazioni queste contenessero, e se tra queste vi fossero informazioni riservate;
       
    • quali opzioni di sicurezza per l'accesso fossero o siano state attivate per le due caselle mail e i due account twitter, in particolare se fosse o meno stato attivato il riconoscimento a due fattori per l'accesso agli account, considerando che questo avrebbe potuto prevenire accessi non autorizzati agli account in caso di semplice furto delle password;
       
    • da quanti caratteri fossero composte le password di account twitter e relative mail collegate, se queste contenessero parole di senso compiuto, se contenessero o meno oltre a lettere minuscole anche lettere maiuscole, simboli e numeri;
       
    • se le password dei due account Twitter vittime di accessi non autorizzati e delle relative mail fossero identiche o diverse tra loro;
       
    • ogni quanto tempo dalla creazione degli account ad oggi siano state cambiate le password di detti account e mail al fine di garantirne una maggiore sicurezza e se questa procedura sia in qualche modo normata come prassi aziendale in Vela;
       
    • quante persone siano a conoscenza a partire dall'ultimo cambio di password della password per ognuno dei due account e delle due mail, quante di queste siano attualmente dipendenti di Vela, quante siano esterne ma attualmente titolari di un incarico da parte di Vela o società da essa incaricate per la gestione social e quante persone a conoscenza della password non si trovino in nessuna delle due precedenti condizioni; 
       
    • se i dispostivi usati per l'accesso agli account twitter e le mail citate fossero usati solo per scopi aziendali o anche per scopi privati, aumentando di conseguenza i potenziali rischi di accessi non autorizzati.
Paolo Ticozzi

Monica Sambo
Alessandro Baglioni
Alberto Fantuzzo
Emanuele Rosteghin
Giuseppe Saccà
Emanuela Zanatta

 
Interrogazione in formato pdf
Torna indietro

Continuando a navigare questo sito acconsenti all'utilizzo dei cookie sul browser come descritto nella nostra Cookie Policy