Il 12 luglio 2023, è stato reso noto un attacco ransomware ai danni di Xplain, un fornitore di servizi informatici che fornisce servizi anche a fedpol. Tra i dati sottratti e pubblicati nel dark web, è stato rilevato un estratto del sistema d’informazione HOOGAN risalente a otto anni fa. Questo sistema contiene le informazioni sulle persone che hanno commesso atti violenti in occasione di manifestazioni sportive in Svizzera e all’estero e contro le quali il rispettivo Cantone oppure fedpol ha pronunciato una misura. Il documento XML pubblicato nel dark web contiene i dati personali di 766 persone, che risultavano registrate nel sistema d’informazione nel settembre 2015. Il documento non contiene alcuna informazione relativa ad atti illeciti o misure ordinate.
Le indagini sono ancora in corso per chiarire le circostanze in cui il documento è stato trasmesso a Xplain ed è rimasto tra i suoi record. È stato rilevato che il documento si trova tra quelli pubblicati nel dark web, ma ciò non ha alcuna ripercussione sull’attuale impiego operativo del sistema d’informazione. Fedpol non ha né esternalizzato dati all’azienda né incaricato l’azienda di gestire i sistemi d’informazione.
In qualità di cliente interessato, fedpol informerà direttamente le persone coinvolte, indipendentemente dal fatto che sussista o meno una negligenza da parte di fedpol o del fornitore. È già stato preparato un modulo d’informazione sul sito di fedpol per le persone che vogliono verificare se il loro nome figura nell’estratto HOOGAN sottratto e pubblicato.
Fedpol ha deciso di informare anche l’opinione pubblica per mezzo di un comunicato stampa, ogni qualvolta questo furto di dati riguardi nella stessa misura i dati di un gran numero di persone e sussistano fatti accertati. Fedpol tiene conto delle esigenze in materia di protezione dei dati, dei diritti della personalità e dei diritti procedurali.
La pubblicazione di contenuti sensibili di qualsiasi provenienza è controproducente per la protezione dei diritti della personalità e la sicurezza. Un’ulteriore divulgazione dei dati pubblicati illegalmente può addirittura costituire una nuova fattispecie penale.
