Attacco informatico su NoiPa: sottratti stipendi e tredicesime

Pubblicato da in data


NoiPA è il sistema stipendiale per la Pubblica Amministrazione gestito dal ministero dell’Economia e delle Finanze. Ma è anche un portale a tutto tondo per gestire il trattamento economico e giuridico del personale centrale e periferico della PA e per i connessi adempimenti previdenziali e fiscali. Per i dipendenti pubblici, NoiPA è il sito dove gestire cedolini e verificare, tra le altre cose, lo stato dei pagamenti. Secondo fonti vicine alla Polizia Postale, infatti, il portale NoiPA sarebbe stato colpito da un attacco informatico che avrebbe consentito agli hacker di sottrarre stipendio e tredicesima di alcuni utenti.
Oggi, se un dipendente pubblico cambia banca e ha necessità di fornire il nuovo Iban per l’accredito dello stipendio, deve farlo direttamente online sul portale. Ed è proprio qui che avrebbe avuto origine l’attacco informatico. Grazie a migliaia di mail di phishing (le classiche mail esca che – travestite da mail istituzionali - chiedono la modifica di dati personali), alcuni utenti avrebbero dato in pasto a un gruppo di hacker tutte le informazioni per accedere al portale NoiPA, comprese quelle che consentono di cambiare il numero di telefono e l’Iban su cui accreditare le spettanze. In questo caso, il cambio del numero di telefono è determinante, perché nella procedura di cambio Iban, l’utente deve effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare la sua identità. Una chiamata di sicurezza che viene gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta). Secondo quanto riferito dalla Polizia Postale il 20 dicembre, la tecnica malevola ha coinvolto alcuni utenti (il numero non è stato reso noto). E non è un caso che già dal 19 dicembre, proprio su NoiPA sia comparso un avviso abbastanza sospetto: Temporanea indisponibilità del self service “Gestione modalità di riscossione”.

Fonte

 Da NoiPa, come scrive Orizzonte Scuola, arriva la conferma dei fatti: " sono stati rilevati limitati e circoscritti casi (15 su un totale di oltre due milioni di amministrati) di modifiche dell’IBAN non confermati dal dipendente beneficiario. Tali casi sono stati prontamente gestiti, anche grazie all’intervento della Polizia Postale ".