19/04/2024 00:00 - Quotidiano Energia
Arera apre istruttoria contro quattro operatori per possibile violazione del SII
Axpo, Cip Lombardia, Egogreen e Olimpia avrebbero divulgato le proprie credenziali di accesso a persone fisiche diverse e/o le avrebbero utilizzate tramite Botnet
L’Arera ha aperto quattro procedimenti sanzionatori nei confronti di Axpo Italia, Cip Lombardia, Egogreen e Olimpia per la possibile violazione di disposizioni in materia di funzionamento del Sistema Informativo Integrato.
In particolare, si legge nelle determine, con nota 25 ottobre 2023 (successivamente integrata il 21 marzo 2024) Acquirente Unico ha segnalato all’Autorità la potenziale violazione del Regolamento del SII da parte dei quattro operatori, che “risulterebbero avere divulgato le proprie credenziali di accesso al SII a persone fisiche diverse dall’utente finale cui sono intestate in via esclusiva e/o averle utilizzate tramite c.d. Botnet”. Ossia una rete di dispositivi connessi automaticamente che operano insieme per eseguire attività, inclusi attacchi dannosi.
In particolare, il 17 luglio 2023 il Gestore del SII disabilitava un’utenza di Axpo Italia dopo aver rilevato un’attività sospetta, ovvero un’attività operativa (circa 1700 richieste di accesso) nonostante il sito fosse in manutenzione e pubblicasse una pagina web statica che recava il messaggio di indisponibilità.
Il 27 settembre 2023 AU disabilitava un’utenza di Cip Lombardia a causa del rilevamento di un’attività sospetta: da molteplici indirizzi IP (Internet Protocol), utilizzando la medesima UserID assegnata ad un utente finale (persona fisica) erano stati effettuati accessi al SII automatici, continuativi, robotici e permanenti (pari a circa 36.000), non compatibili con l’attività umana.
Il 12 settembre 2023 il Gestore disabilitava un’utenza di Egogreen a causa del rilevamento di un’attività sospetta consistente in oltre 200 “tentativi di consultazione non concessa” ai dati del SII mediante le credenziali assegnate ad un utente finale (persona fisica) – avente congiuntamente il ruolo di Responsabile del SII, Responsabile della Sicurezza, Referente tecnico e operatore – provenienti da diversi indirizzi IP. Tali tentativi di accesso erano “caratterizzati da automatismi robotici che indicavano l’utilizzo di un Botnet” nonché da “richieste sistemiche verso pagine e file non disponibili”, quindi non concessi per ragioni di sicurezza.
Il 17 luglio 2023 AU disabilitava un’utenza di Olimpia a causa del rilevamento di un’attività sospetta: con le credenziali di un’unica utenza, da diversi indirizzi IP, venivano fatti migliaia di tentativi di accesso ai dati del SII, caratterizzati da automatismi robotici indicativi dell’uso di un Botent, nonostante il portale fosse in manutenzione.
Il termine di durata delle istruttorie è di 140 giorni, con adozione del provvedimento finale entro 250 giorni.
L’Arera ricorda che il SII “costituisce un’infrastruttura giuridica essenziale poiché è la sede esclusiva, che progressivamente sostituisce tutti i precedenti sistemi informatici, ove i diversi operatori dei mercati energetici interagiscono, secondo la regolazione dell’Autorità, per lo svolgimento delle attività della filiera del settore dell’energia e, in particolare, allo scopo di dare esecuzione ai rapporti contrattuali con i clienti finali”.
Le discipline che definiscono i processi e che stabiliscono le modalità di funzionamento del SII “sono fondamentali per garantire uno svolgimento dei servizi regolati continuativo, trasparente e sicuro”, conclude l’Autorità.