Zero-Day PeopleSoft CVE-2026-35273: Impatto su PA-DSS, PCI-DSS e trattamento dati PA
2026-06-13 · Security Reviewer
L'exploit attivo di CVE-2026-35273 su Oracle PeopleSoft colpisce direttamente il nucleo di responsabilità del DPO nella Pubblica Amministrazione: i sistemi interessati gestiscono spesso stipendi, anagrafiche dipendenti e flussi di pagamento. Dove PeopleSoft tratta dati di pagamento, l'incidente non è solo una vulnerabilità tecnica ma un potenziale evento di violazione che incrocia simultaneamente PA-DSS, PCI-DSS e GDPR, ciascuno con obblighi di notifica, mitigazione e documentazione che possono attivarsi in parallelo. L'assenza al momento di un CVE-ID assegnato con CVSS ufficiale non riduce l'obbligo di azione: l'attacco in the wild è documentato da Rapid7, e l'adozione tempestiva di contromisure compensative è l'unica difesa attualmente disponibile.
Sovrapposizione normativa: un unico exploit, tre obblighi
Nelle PA italiane, PeopleSoft ospita moduli HR, payroll e talvolta gateway di pagamento per buoni pasto, retribuzioni e fornitori. Questo significa che un attacco su CVE-2026-35273 può esporre in una sola violazione dati soggetti al trattamento GDPR (anagrafiche, dati sensibili), dati di pagamento rilevanti ai fini PA-DSS e, se trattati PAN o codici di autorizzazione, dati coperti da PCI-DSS. Il DPO deve considerare che la valutazione di impatto ex articolo 35 GDPR è già scattata di fatto: la natura del sistema rende elevata la probabilità di conseguenze per i diritti degli interessati, e l'exploit attivo elimina la possibilità di dilazione. La violazione va documentata nel registro ex articolo 33 anche prima di avere certezza sul dato effettivamente compromesso, perché la presunzione di rischio deve orientare la risposta.
Segmentazione e WAF come misure compensative immediate
In assenza di patch, le uniche azioni tecnicamente valide sono contromisure compensative. Consigliamo tre interventi prioritari. Primo: segmentare immediatamente le subnet ospitanti i moduli PeopleSoft — HR, Financials, Payroll, e soprattutto i gateway di pagamento — isolando il traffico verso internet e verso reti interne non autorizzate. Secondo: applicare regole WAF specifiche per bloccare i pattern di richiesta noti associati all'exploit, con modalità log dettagliato per alimentare l'analisi forense. Terzo: disabilitare ogni modulo PeopleSoft non strettamente necessario all'operatività corrente, in particolare i portali self-service esposti su internet e i servizi di integrazione REST/Integration Broker accessibili dall'esterno. Ogni contromisura adottata va documentata con data, responsabile e motivazione tecnica nel registro delle misure di sicurezza, in quanto costituisce evidenza proattiva in caso di audit o istruttoria del Garante.
Notifica al Garante e comunicazione agli interessati
Se l'analisi conferma accesso non autorizzato a dati personali, la notifica al Garante ex articolo 33 GDPR deve avvenire entro 72 ore dalla scoperta, non dalla conferma. La comunicazione deve includere la natura della violazione, le categorie di dati e soggetti interessati, le misure adottate e quelle proposte per mitigare l'impatto. Quando i dati coinvolti includano informazioni di pagamento, va valutata anche la notifica all'autorità di vigilante PA-DSS e al Payment Brands per PCI-DSS, con i relativi tempi procedimentali. L'articolo 34 impone la comunicazione agli interessati diretti quando la violazione comporta un rischio elevato: nel contesto PA, dove i dati sono spesso sensibili (stato di famiglia, redduto, dati sanitari professionali), la soglia è praticamente sempre raggiunta. Il team legale deve preparare il testo di comunicazione e i canali di supporto entro le prime 24 ore dalla conferma.
Documentazione come strumento di compliance preservativa
Il valore principale della documentazione non è dimostrare innocenza ma dimostrare diligenza. Ogni azione intrapresa dalla scoperta dell'exploit — dalla chiusura dei moduli alla richiesta di analisi forense, dall'aggiornamento delle regole WAF alla notifica — deve essere registrata con ore, nomi e decisioni assunte. Questo registro è ciò che il Garante valuta nell'art. 5(2) GDPR (responsabilizzazione) e che fonda la difesa in caso di procedimento sanzionatorio. Il registro delle attività di trattamento e la valutazione di impatto devono essere aggiornati per riflettere la nuova minaccia e le contromisure temporanee adottate.
Security Reviewer e PA Reviewer nella risposta all'incidente
PA Reviewer fornisce il framework per mappare le contromisure compensative richieste da PA-DSS e PCI-DSS contro l'inventario effettivo dei moduli PeopleSoft in produzione, evitando che misure generiche lascino finestre di esposizione. La piattaforma genera la documentazione cronologica richiesta dal Garante — timeline dell'incidente, contromisure adottate, piani di remediation — in formato direttamente esportabile per la notifica ex articolo 33 e per l'audit successivo. Richiedete una valutazione PA-DSS e PCI-DSS dei vostri sistemi PeopleSoft fuori dalla finestra critica: prima che l'exploit colpisca, non dopo.
---
cve-2026-35273peoplesoftzero-daypa-dss