Nel 2023 ACEA, la multiutility con sede a Roma e quotata in borsa, è stata vittima del collettivo BlackBasta, come abbiamo riportato qui.

L’azienda, il cui nome significa Azienda Comunale Elettricità e Acque, opera in settori strategici per il Paese. Gestisce acqua, energia elettrica, gas, illuminazione pubblica e si occupa anche del trattamento e della valorizzazione dei rifiuti. Quotata a Milano, ha un valore di mercato di 4,16 miliardi di euro.

Alla fine del mese di luglio del 2025, così come peraltro confermato dall’azienda, il gruppo Worldleaks ha esfiltrato 2,9 TB di dati che poi ha pubblicato sul dark web.

Acea ha anche specificato che i servizi essenziali non sono stati interrotti e che i sistemi coinvolti sono stati messi in sicurezza.

L’attacco e la posizione di Acea

Come riporta Federprivacy che cita anche un tweet pubblicato da Ransomnews, il gruppo di cyber criminali Worldleaks ha esfiltrato 2,9 TB di dati minacciando ACEA di pubblicarli online, cosa che il collettivo ha fatto il primo agosto 2025, non avendo ricevuto risposte ritenute soddisfacenti dalla multiutility.

Abbiamo contattato Acea inviando delle domande alle quali non abbiamo ricevuto risposta, neppure relativamente alla volontà di non rispondere.

L’azienda si è rifiutata di pagare il riscatto e non abbiamo avuto modo di comprenderne le ragioni ma, partendo da ciò che sappiamo, proviamo a ricostruire il perché con qualche ipotesi:

• Perché i servizi essenziali non sono stati compromessi.
• Perché – così come successo nel 2023 – l’azienda è stata in grado di ripristinare i dati grazie a politiche di backup solide e puntuali.
• Perché l’azienda non negozia con i criminali, capitolo ampio con trattazioni che variano dall’utilità reale del pagare un riscatto fino alle questioni morali che ciò comporta.
• Perché, per l’azienda, i dati dei clienti e degli utenti non sono tanto importanti da pagare per evitare il peggio, ossia di colmare con il portafogli il non essere riusciti a difendere delle informazioni.

Come detto, i servizi fondamentali non hanno subito interruzioni, ma è opportuno aprire una parentesi semantica: fino a quando le aziende riterranno fondamentali solo i servizi o i prodotti che vendono, i criminal hacker avranno vita più facile.

Quando le organizzazioni comprenderanno che i dati dei rispettivi stakeholder sono fondamentali, le cose inizieranno a cambiare.

Dal punto di vista normativo, ACEA sembra avere assolto i propri doveri, avvertendo e coinvolgendo le autorità competenti così come imposto dal Network and Information System Security 2 (NIS2).

Le implicazioni per utenti e consumatori

Anche le informazioni circa i dati esfiltrati sono frammentarie. Le autorità stanno ancora scandagliando il dark web per prendere le misure con l’entità e la gravità della situazione nel suo insieme.

Ancora una volta dobbiamo andare a tentoni perché non è noto se, tra quelli esfiltrati, ci sono dati personali dei clienti.

Se ce ne fossero, il disastro sarebbe ancora più ampio perché, con tali informazioni, si possono fare campagne phishing o altri tipi di truffe mirate, così come è possibile entrare negli account online degli utenti/clienti di ACEA.

Il fatto che molte persone usino le medesime credenziali per accedere ad account diversi rischia di espandere il problema a macchia d’olio.

Le conseguenze dell’attacco del 2023

Le si può parzialmente evincere dal bilancio, disponibile a questo link.

L’evento non ha richiesto rettifiche ai dati e alle informazioni del bilancio consolidato del Gruppo ACEA, e limitatamente alla rete di distribuzione dell’energia elettrica, l’azienda ha identificato scenari di rischio tali da compromettere le operazioni, infrastrutture e dati.

Va riconosciuto ad ACEA di avere affrontato l’incidente con serietà: è stata avviata un’indagine dalla Procura di Roma e, considerando la presenza di dati personali tra i file pubblicati, l’azienda ha avviato la procedura di data breach aziendale, comunicando l’evento al Garante per la protezione dei dati personali entro 72 ore dalla rilevazione dell’incidente.

Sono state inviate notifiche integrative e il Garante ha avviato un’indagine che è tuttora in corso. Non ci sono quindi informazioni su eventuali ammende comminate al gruppo romano.

Sarebbe stato ancora più opportuno comprendere, con il supporto di ACEA, quali tra gli scenari di rischio individuati non sono stati debitamente presi in considerazione e perché, nonostante il precedente, i criminal hacker siano riusciti a fare il bis.

Quali insegnamenti trarre

Abbiamo chiesto il supporto di Salvatore Lombardo, esperto ICT e membro Clusit, per fare il più possibile chiarezza sul “caso ACEA” e sui rischi che corrono le persone quando i loro dati vengono violati. Trarre insegnamenti è sempre costruttivo e questo vale tanto per le organizzazioni quanto per gli utenti.

Gestione di attacchi ripetuti e lessons learned: quali sono le sfide principali per le organizzazioni come ACEA che operano in settori strategici e, a suo avviso perché, dopo l’attacco del 2023 sferrato da BlackBasta, nel 2025 Worldleaks è riuscito a “fare il bis”?

“Le organizzazioni come ACEA, che operano in settori strategici, si trovano ad affrontare sfide complesse perché devono garantire allo stesso tempo sicurezza, continuità e fiducia pubblica. La difficoltà maggiore è proteggere sistemi molto diversi tra loro: da un lato i server e i database che gestiscono i dati personali di milioni di utenti, dall’altro le infrastrutture industriali, come impianti idrici o centrali energetiche, spesso basate su tecnologie datate e difficili da aggiornare.

Proprio questi fattori le rende un bersaglio privilegiato per gli attaccanti, che tornano a colpire anche a distanza di poco tempo, adattando continuamente le proprie tecniche.

Un’altra sfida è il fatto che questi servizi non possono fermarsi. Bisogna mettere in sicurezza i sistemi (spesso gestiti anche da soggetti terzi) mentre continuano a funzionare, riducendo al minimo l’impatto sugli utenti finali. Questa necessità di continuità limita quindi la rapidità e l’efficacia delle misure di difesa che si possono adottare nell’immediato.

Inoltre, la mancanza di trasparenza o di comunicazioni tempestive rischia di minare il rapporto con cittadini e istituzioni, amplificando il danno reputazionale.

In questo contesto, uno dei problemi più gravi è che spesso le lezioni apprese dopo un attacco non vengono trasformate in cambiamenti strutturali lasciando le aziende esposte. Questo spiega perché gruppi criminali anche diversi riescano a colpire la stessa realtà più volte”.

Il dilemma del riscatto: consiglierebbe a un’organizzazione di pagarlo?

“Il pagamento di un riscatto in seguito a un attacco informatico è uno dei dilemmi più delicati che un’organizzazione si trova ad affrontare.

La minaccia di vedere pubblicati o distrutti dati sensibili, con conseguenze legali, economiche e reputazionali, può spingere verso la soluzione apparentemente più rapida, cioè, pagare per comprare il silenzio degli attaccanti. Tuttavia, questa scelta è piena di insidie.

Non esiste alcuna garanzia che, una volta ricevuto il denaro, i criminali mantengano la parola data. I dati potrebbero comunque essere copiati, rivenduti o usati per ulteriori ricatti.

Anzi, il pagamento può trasformarsi in un segnale di debolezza, incoraggiando gli stessi criminali o altri gruppi a colpire di nuovo, sapendo che l’organizzazione è disposta a negoziare. Oltre a questo, pagare significa di fatto finanziare il crimine organizzato.

Una strategia più sostenibile è invece investire nella prevenzione e nella resilienza con sistemi di backup sicuri e isolati, piani di risposta agli incidenti collaudati, una gestione rigorosa delle credenziali e delle vulnerabilità, oltre a un approccio comunicativo trasparente con i cittadini e gli stakeholder”.

In breve, alcuni impatti e rischi per i consumatori quando i loro dati vengono violati

“Quando i dati dei consumatori vengono violati, gli effetti possono essere molto più ampi di quanto sembri a prima vista. Il rischio più immediato è quello di diventare bersaglio di campagne di phishing o di truffe mirate.

Allo stesso tempo, la diffusione di informazioni personali apre la strada a possibili furti di identità o utilizzi fraudolenti dei dati per stipulare contratti o compiere altre operazioni a nome della vittima.

Ma l’impatto non è soltanto economico. Sapere che i propri dati, magari raccolti da anni di rapporti con un fornitore di servizi essenziali, circolano in rete può generare ansia, senso di vulnerabilità e perdita di fiducia non solo verso l’azienda colpita, ma più in generale nei confronti dei servizi digitali”.