I danni dell’attacco cyber contro Conduent, dello scorso anno, sono più gravi delle stime iniziali.

L’attacco informatico che ha colpito nel gennaio 2025 Conduent, una delle principali società statunitensi che offre in appalto servizi al Governo degli Usa, è molto più grave di quanto previsto. A distanza di mesi, il numero delle persone coinvolte nella violazione dei dati ha superato quota 25 milioni in tutti gli Usa.

L’azienda gestisce operazioni legate a benefici statali come assistenza alimentare, sussidi di disoccupazione e programmi di welfare aziendale per grandi le grandi società. Proprio per questo, attacchi cyber di questo tipo non hanno soltanto una portata economica ma anche reputazionale.

Secondo quanto ha dichiarato la stessa società, i suoi servizi raggiungono oltre 100 milioni di persone negli Usa. Considerando questo mercato, si evidenzia “l’enorme quantità di informazioni sensibili trattate quotidianamente“.

Un problema nazionale

L’attacco cyber ha colpito l’azienda su larga scala, di fatto creando un problema non solo locale. La pagina ufficiale di notifica delle violazioni dei dati dello Stato del Wisconsin ha pubblicato un aggiornamento in materia. Ha così confermato l’interessamento di almeno 25 milioni di persone su scala nazionale.

Dalle stime raccolte da diverse notifiche ufficiali di data breach i numeri che sono arrivati riguardano:

Per l’ Oregon , circa 10,5 milioni di persone.

, circa 10,5 milioni di persone. In Texas , circa 15,4 milioni di persone

, circa 15,4 milioni di persone Centinaia di migliaia di ulteriori casi in Massachusetts, New Hampshire e Washington.

Sulla tipologia dei dati che hanno ottenuto i criminali, la violazione ha esposto informazioni altamente sensibili, tra cui:

Nome e cognome.

Data di nascita.

Indirizzo di residenza.

Numero di Social Security.

Informazioni sull’assicurazione sanitaria.

Dati medici.

Si tratta di un insieme di dati particolarmente critico, hanno sottolineato gli esperti, “che si può sfruttare per furti di identità, frodi finanziarie e truffe sanitarie“.

Comunicazione limitata

Nonostante la portata dell’incidente, Conduent ha fornito poche informazioni pubbliche oltre alle notifiche obbligatorie di violazione dei dati. In alcuni casi, “l’azienda avrebbe reso più complesso per gli interessati comprendere l’impatto dell’attacco e verificare la propria esposizione“.

L’attacco, rivendicato da un gruppo ransomware nel gennaio 2025, continua quindi a generare conseguenze a catena. Si dimostra ancora una volta quale sia la portata delle violazioni che colpiscono fornitori strategici della pubblica amministrazione.

Un caso emblematico

Questo episodio ha evidenziato un rischio sistemico. Quando un grande fornitore che opera per enti governativi viene compromesso, “l’effetto domino può coinvolgere milioni di cittadini in tutto il Paese“.

La vicenda Conduent rappresenta uno dei data breach più rilevanti degli ultimi anni, negli Usa. Si sollevano nuovamente interrogativi sulla sicurezza degli appaltatori governativi e sulla trasparenza nella gestione delle crisi informatiche.

