Il furto di dati di politici e imprenditori italiani è stato raccontato bene finora?

Reiterato accesso abusivo a banche dati istituzionali riservate protette da misure di sicurezza. Le banche dati in questione sono SDI, SERPICO,  FISCO, Anagrafe Nazionale Popolazione Residente – ANPR, INPS e Anagrafe dei conti correnti bancari. Si tratta del principale capo d’accusa che vede indagati diversi soggetti – a vario titolo – dalla procura della Repubblica di Milano. Si tratta del fatto di cronaca che, in questo week-end, ha tenuto banco su tutti i principali quotidiani e organi di informazione: migliaia di dati di cittadini italiani (sia privati, sia personaggi pubblici) erano in possesso di un gruppo di persone che, attraverso queste informazioni, cercava di ottenere vantaggi, trincerandosi dietro a un solido progetto imprenditoriale. In questi giorni si è parlato più volte di hacker e di violazione dei sistemi informatici. Tuttavia, da una prima analisi della documentazione collegata alle indagini della procura di Milano, l’idea che ci siamo fatti ha delle sfumature molto più ampie e variegate.

LEGGI ANCHE > L’impennata della curva degli attacchi hacker in Italia

Furto di dati, cosa sappiamo fino a questo momento

Finora sappiamo che al centro di tutto ci sarebbe la cosiddetta agenzia di investigazione Equalize. Quest’ultima sarebbe stata un vero e proprio crocevia di professionalità diverse e di persone inserite benissimo negli apparati della pubblica amministrazione. Queste risorse, sfruttando le loro competenze e i loro agganci, avrebbero fornito dei dossier su politici italiani e su imprenditori, a vario titolo e con diverse finalità (ma sembra abbastanza evidente, tra queste, quella legata all’acquisizione di un vantaggio su competitor, sia istituzionali, sia in campo aziendale).

Fin qui, i fatti, riassunti nella maniera più semplice possibile. Poi c’è il racconto. In base a quanto descritto in questi giorni, le persone indagate sono state ritratte come dei veri e propri hacker che, da remoto, riuscivano a ottenere le preziose informazioni che poi rivendevano sotto forma di dossier. In realtà, la questione è più complessa e non dobbiamo farci suggestionare da presunte centrali operative di intelligence che, attraverso apparecchi molto sofisticati, riuscivano a penetrare gli account mail più vari (nelle carte si fa persino riferimento a un account mail riconducibile al presidente della Repubblica Sergio Mattarella).

Il nodo centrale emerso dal racconto è che, all’interno della società Equalize, lavoravano delle persone che avevano collaborato alla costruzione dell’infrastruttura tecnologica e alla manutenzione delle piattaforme di raccolta dati che poi sono state violate. Insomma, più che un accesso completamente da remoto, sembra configurarsi il caso di una sorta di connivenza che ha permesso a chi effettuava accessi da remoto di farla franca, impedendo – contestualmente – l’innescarsi del meccanismo di difesa dei dati che di solito tutela queste piattaforme.

Come funzionano i sistemi di sicurezza

Il tema che si pone, ancora una volta, è quello dell’educazione digitale delle istituzioni. Una sequenza come quella che abbiamo descritto in precedenza non può prevedere delle falle. E se è vero che le responsabilità umane, a volte, sfuggono dal controllo perché sono imprevedibili, i sistemi informatici e di cybersicurezza devono prevedere delle misure resilienti per “controllare il controllore”. È a questo livello della catena che qualcosa non ha funzionato. Altro che Anonymous.