In merito alla pubblicazione del vostro articolo relativo alla truffa degli amministrati di NOI PA mi preme sottolineare che:
- la modifica dei dati attinenti alla domiciliazione bancaria può essere effettuata solo accedendo alla sezione “self service” dell’area riservata
- l’accesso alla sezione “self service”, così come indicato nello stesso portale NOI PA, può effettuarsi solo tramite il PIN identificativo che solo l’amministrato può richiedere presso l’Amministrazione di appartenenza
Dunque, i passaggi da effettuarsi per modificare i dati di domiciliazione sono due:
- Accesso tramite user e password all’Area riservata
- Accesso tramite PIN alla sezione self service
In alcuni casi, il PIN di accesso alla sezione “Self Service” non è mai stato richiesto alla Amministrazione di appartenenza.
Tali precisazioni sono dovute poiché in tutti gli articoli che si sono occupati finora del caso, tali passaggi non sono stati affatto considerati e si è fatto riferimento ad azioni di phishing connotate da semplicismo e ordinarietà.
Inoltre, la tempestività richiesta nella segnalazione dell’evento non è stata neanche favorita dalla possibilità di consultare il cedolino, inizialmente presente nella Sezione “Documenti disponibili”, poiché come ogni mese esso è stato reso consultabile (cioè, si è resa attiva la funzione “Apri” del file in PDF) solo da giorno 19. E solo aprendo il file ci si poteva rendere conto che i dati di domiciliazione fossero stati modificati.
Si riporta in molti articoli che l’accesso fraudolento sia avvenuto in data 19 Dicembre; in realtà, nel mio caso, tale accesso, tra l’altro riportato nella mia Area Riservata, è assai antecedente e sono state memorizzate data e ora oltre al nuovo numero fornito. E allora, mi chiedo: come mai il sistema non ha segnalato l’accesso anomalo?
Lamento anche il fatto che nelle Note Legali del sito NOI PA, al paragrafo “Modalità di trattamento e conservazione dei dati”, leggo: “Il trattamento dei dati personali è effettuato per le finalità di cui sopra, in conformità a quanto stabilito dall’articolo 5 del Regolamento (UE) n. 2016/679…….”.
Lo stesso articolo al punto f del paragrafo 1, riferendosi ai dati personali, recita che, gli stessi devono essere: “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)“.
E ciò considerato, dovremmo avere anche difficoltà a recuperare gli emolumenti?
Lettera firmata
