Attacco Supply Chain su pacchetti npm Red Hat: impatto GDPR e responsabilità del DPO

La campagna Miasma, documentata da Wiz, ha compromesso pacchetti npm associati a Red Hat attraverso un attacco supply chain attivo. Gli sviluppatori che hanno installato versioni avvelenate di queste dipendenze hanno eseguito codice arbitrario all'interno delle proprie pipeline CI/CD, con potenziale accesso a credenziali, segreti di build e dati di runtime. Per le amministrazioni pubbliche italiane, l'impatto non è limitato alla sicurezza informatica: coolge direttamente la conformità al GDPR e la responsabilità del titolare del trattamento sui dati dei cittadini.

L'obbligo di data breach notification entro 72 ore

Qualsiasi compromissione di pacchetti npm utilizzati nella catena di sviluppo di sistemi che trattano dati personali dei cittadini configurano un violazione di dati personali ai sensi dell'art. 4, comma 12, GDPR. Il DPO della PA deve valutare tempestivamente se l'incidente ha messo a rischio i diritti e le libertà degli interessati. Se il rischio è confermato, la notifica al Garante deve avvenire entro 72 ore dalla scoperta della violazione, ai sensi dell'art. 33 GDPR. La dimensione ridotta di queste PA spesso rende difficile rispettare questa tempistica se non esistono processi automatizzati di rilevamento e reporting — che dipendono a propria volta dalla visibilità sulla catena di fornitura del software.

La responsabilità del titolare vs. quella del responsabile del trattamento

Nella maggior parte dei casi, il fornitore esterno che gestisce lo sviluppo o la manutenzione dell'applicazione ricopre il ruolo di responsabile del trattamento. Il contratto tra le parti deve prevedere obblighi di sicurezza adeguati e il diritto di audit sulle pratiche di sviluppo, incluso l'uso di dipendenze verificate. Tuttavia, la responsabilità ultima sul trattamento dei dati dei cittadini resta in capo alla PA in qualità di titolare del trattamento. Un attacco supply chain che compromette dati attraverso una libreria terza parte non esonera la PA dall'obbligo di dimostrare che adotta le misure tecniche e organizzative appropriate prescritte dall'art. 24 e dall'art. 32 del GDPR.

Le misure tecniche obbligatorie ex art. 32 GDPR

L'art. 32 introduce per i titolari del trattamento l'obbligo di adottare misure tecniche e organizzate adeguate a garantire un livello di sicurezza adeguato al rischio. In un contesto di rischio elevato come quello documentato dalla campagna Miasma, gli standard GDPR consolidati richiedono almeno l'adozione di un Software Bill of Materials (SBOM) per tenere traccia delle dipendenze utilizzate; di tecniche di verifica dell'integrità delle dipendenze mediante hash crittografici o firma digitale (ad esempioSigstore/cosign); di procedure di analisi automatizzata delle vulnerabilità nelle catene di fornitura (SCA); e di limitazione dei privilegi nelle pipeline CI/CD per ridurre la superficie di impatto in caso di compromissione. Queste non sono best practice opzionale: nel contesto di un rischio documentato e attivo, la loro assenza può configurare una violazione dell'art. 32.

Il ruolo del DPO nella governance del rischio supply chain

Il DPO della PA non è direttamente responsabile della configurazione tecnica dei sistemi, ma ha il compito di supervisionare la conformità e di avvisare il titolare del trattamento sui rischi identificati. La campagna Miasma costituisce un caso concreto in cui il DPO deve: verificare che il contratto con il responsabile del trattamento includa clausole specifiche sulla sicurezza della supply chain del software, l'obbligo di notifica tempestiva di incidenti correlati a dipendenze terze e il diritto di audit; raccomandare l'adozione di un processo di approvazione e monitoraggio delle dipendenze di terze parti; e documentare le valutazioni di impatto e le decisioni assunte, per dimostrare la proattività del titolare del trattamento in caso di ispezione da parte del Garante.

PA Reviewer supporta i DPO e i team di conformità delle amministrazioni pubbliche con strumenti di auditoria continua della supply chain del software, mappatura automatizzata delle dipendenze e dei relativi rischi, reportistica pronta per la documentazione GDPR e alerting proattivo su minacce note che interessano le dipendenze in uso.

Se è responsabile della conformità GDPR per un'organizzazione della Pubblica Amministrazione e gestisce applicazioni che includono librerie npm, dipendenze Red Hat o altre catene di fornitura complesse, contatti il team di Security Reviewer. Possiamo aiutare a valutare la vostra esposizione al rischio supply chain, strutturare un processo di controllo conforme all'art. 32 GDPR e predisporre la documentazione necessaria per dimostrare la vostra diligenza al Garante.

---

*Photo by Kevin Ache on Unsplash*