Truffa ai danni degli amministrati di NoiPA: alcuni chiarimenti

In merito alla pubblicazione del vostro articolo relativo alla truffa degli amministrati di NOI PA mi preme sottolineare che:

• la modifica dei dati attinenti alla domiciliazione bancaria può essere effettuata solo accedendo alla sezione “self service” dell’area riservata
• l’accesso alla sezione “self service”, così come indicato nello stesso portale NOI PA, può effettuarsi solo tramite il PIN identificativo che solo l’amministrato può richiedere presso l’Amministrazione di appartenenza

Dunque, i passaggi da effettuarsi per modificare i dati di domiciliazione sono due:

1. Accesso tramite user e password all’Area riservata
2. Accesso tramite PIN alla sezione self service

In alcuni casi, il PIN di accesso alla sezione “Self Service” non è mai stato richiesto alla Amministrazione di appartenenza.

Tali precisazioni sono dovute poiché in tutti gli articoli che si sono occupati finora del caso, tali passaggi non sono stati affatto considerati e si è fatto riferimento ad azioni di phishing connotate da semplicismo e ordinarietà.

Inoltre, la tempestività richiesta nella segnalazione dell’evento non è stata neanche favorita dalla possibilità di consultare il cedolino, inizialmente presente nella Sezione “Documenti disponibili”, poiché come ogni mese esso è stato reso consultabile (cioè, si è resa attiva la funzione “Apri” del file in PDF) solo da giorno 19. E solo aprendo il file ci si poteva rendere conto che i dati di domiciliazione fossero stati modificati.

Si riporta in molti articoli che l’accesso fraudolento sia avvenuto in data 19 Dicembre; in realtà, nel mio caso, tale accesso, tra l’altro riportato nella mia Area Riservata, è assai antecedente e sono state memorizzate data e ora oltre al nuovo numero fornito. E allora, mi chiedo: come mai il sistema non ha segnalato l’accesso anomalo?

Lamento anche il fatto che nelle Note Legali del sito NOI PA, al paragrafo “Modalità di trattamento e conservazione dei dati”, leggo: “Il trattamento dei dati personali è effettuato per le finalità di cui sopra, in conformità a quanto stabilito dall’articolo 5 del Regolamento (UE) n. 2016/679…….”.

Lo stesso articolo al punto f del paragrafo 1, riferendosi ai dati personali, recita che, gli stessi devono essere: “trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»)“.

E ciò considerato, dovremmo avere anche difficoltà a recuperare gli emolumenti?

Lettera firmata