Nei giorni scorsi ha suscitato particolare clamore la notizia del presunto ritrovamento di un corposo database contenente dati personali riferibili, in particolare, a figure istituzionali come il Presidente della Repubblica Sergio Mattarella, la Premier Giorgia Meloni, alcuni Ministri e migliaia di dipendenti e funzionari dei Ministeri della Giustizia, dell’Interno e della Difesa (oltre 2.000 della Presidenza del Consiglio, quasi 14.000 del Ministero della Giustizia, migliaia di Interni, Difesa, Polizia, Carabinieri e GDF).
Siamo in grado di dire che la storia è priva di fondamento, almeno sotto il profilo cyber. Infondato è quindi l’attacco che alcuni giornali stanno conducendo in queste ore contro l’Agenzia della cybersecurity nazionale.
Indice degli argomenti
La storia dei presunti numeri personali istituzionali in vendita
Perché? Presto detto.
Come ormai noto, tutto nasce da una segnalazione effettuata su LinkedIn all’Agenzia per la Cybersicurezza Nazionale (ACN) da un individuo, tale Andrea Mavilla, in cui egli afferma di disporre di un gigantesco database contenente soprattutto dati personali di esponenti del Governo e delle Forze dell’Ordine.
L’autore del messaggio su LinkedIn provvede successivamente ad allertare anche il Ministro Piantedosi, la Polizia Postale (che ha avviato un’indagine) e il Garante per la Protezione dei Dati Personali (che ha aperto un’istruttoria), oltre a informare la stampa e persino Juliane Gallina, la vicedirettrice per l’innovazione digitale della Central Intelligence Agency (CIA), anche in questo caso attraverso un messaggio su LinkedIn.
Al di là del fatto che le segnalazioni di questo genere alle strutture governative vanno effettuate attraverso apposite procedure telematiche ufficialmente validate, e non certo mediante dei contenuti postati sui social.
Va evidenziato altresì che in funzione degli innumerevoli messaggi che vengono postati quotidianamente nei profili social delle istituzioni e che solitamente contengono informazioni completamente prive di fondamento o addirittura alterate, i contenuti veicolati attraverso tali canali, spesso, non vengono presi in seria considerazione. Va chiarito, altresì, che la disponibilità di tale database non va ricondotta ad un’operazione di trafugamento dati.
Com’è andata davvero: i numeri di Mattarella, Meloni eccetera sono dati pubblici o semi pubblici
La realtà dei fatti, come si è potuto appurare successivamente, si è rivelata ben diversa. Si è scoperto che i dati provenivano da un’azienda statunitense, la Lusha System Inc., azienda che svolge attività di aggregazione B2B e che ricerca, raccoglie e commercializza contatti professionali, il più delle volte attingendo tali informazioni da dati pubblici o semi-pubblici prelevati soprattutto dai profili social, come LinkedIn e Facebook, o da dati provenienti da database che contengono dati di persone che partecipano ad eventi o manifestazioni di tipo diverso.
Diversamente da quanto lasciato intendere, si tratta quindi di informazioni acquistabili tramite servizi a pagamento, come accade in molti ambiti del settore del marketing e delle vendite.
Lo dice anche il Garante: dubbia origine di quei dati
La stessa Authority privacy nazionale, in una nota specifica ha chiarito che si tratta di “…recapiti anche telefonici di dubbia provenienza anche di persone che vivono in Italia, inclusi quelli di rappresentanti di spicco delle istituzioni”. Non numeri personali di Mattarella, quindi, ma di un suo portavoce ad esempio.
In particolare, si legge, che la società statunitense “dovrà specificare quanti siano i dati di persone che vivono in Italia raccolti o trattati, chiarire le modalità di raccolta e fornire maggiori informazioni su ciascuna fonte che alimenta il proprio database. Lusha, inoltre dovrà chiarire se sono oggetto di trattamento i dati personali di utenti che non utilizzano la piattaforma e, con particolare riguardo agli indirizzi e-mail e ai numeri di telefono, dovrà specificare: le fonti di acquisizione; se viene acquisito il consenso per l’invio di comunicazioni commerciali o pubblicitarie o il compimento di ricerche di mercato; le finalità per le quali tali dati vengono comunicati agli utenti e la relativa richiesta di consenso”.
Nessun furto
In conclusione, non si tratta né di un’operazione di trafugamento di dati istituzionali, né di un attacco informatico finalizzato alla violazione di un sistema informatico e neppure ad una sorta di presunta superficialità attribuibile alla autorità governative nazionali.
L’attacco scorretto ad Acn
Sulla base di tali evidenze, risulta oltremodo chiaro come possa risultare eccessivo l’attacco condotto verso l’ACN che si sarebbe reso responsabile di una immediata attivazione verso la risoluzione del problema.
In un’intervista rilasciata a Startmag[1] Mavilla ha definito l’interazione avuta con l’ACN come “disastrosa” affermando poi: ”Per descrivere la situazione, mi rifaccio alle parole del procuratore Nicola Gratteri, che in più occasioni ha denunciato pubblicamente la vulnerabilità dei nostri sistemi: “La nostra sicurezza e le nostre reti fanno acqua da tutte le parti”. È opportuno ricordare, ancora una volta, che le informazioni detenute da Lusha non sono il frutto di una esfiltrazione di dati condotta attraverso un’operazione di violazione di accesso ad un sistema informatico sfruttando una “vulnerabilità” della piattaforma, bensì mediante l’acquisto di dati sul mercato online delle informazioni tramite web scraping.
Il business del web scraping
Solo per citare alcuni esempi: nel 2023 la Resecurity, società di cybersecurity statunitense ha intercettato in uno dei molteplici forum del darkweb la vendita di ben 5 milioni di identità digitali riferibili a dati che comprendevano impronte digitali, moduli di auto-compilazione e informazioni di login, il tutto al prezzo di vendita di 80 mila dollari; nel 2022 Google Alphabet, la holding cui fanno capo le aziende a marchio Google e altre controllate, ha raggiunto la ragguardevole cifra di 60 miliardi di utile netto.
Come? Semplicemente commercializzando le informazioni dei dati degli utenti che acquisisce online.
Il problema della sicurezza delle informazioni nasce dai noi stessi, dalla facilità con la quale diffondiamo le nostre informazioni personali sui social e nel web, dalla scarsa importanza che attribuiamo alla nostra privacy e soprattutto alla mancata attenzione che riserviamo alle “autorizzazioni” che ci vengono richieste quando scarichiamo una app dagli store online.
Attacco pericoloso all’Acn
Un’ultima considerazione: attaccare sistematicamente le nostre istituzioni non fa bene al Paese, non fa bene ai cittadini italiani e soprattutto non fa bene alla credibilità dell’Italia.
[1] https://www.startmag.it/cybersecurity/tutto-sullo-scandalo-dei-telefoni-privati-dei-vertici-dello-stato-on-line/
