La bugia dell'Inps sugli hacker

Immagino che tutti ricordino il disastro dei primi giorni di aprile in cui il sito INPS ha iniziato a "dare i numeri", anzi i dati, a caso. La nostra Autorità per la protezione dei dati aveva immediatamente aperto un fascicolo e lo scorso 14 maggio ha reso pubblico il suo provvedimento.

Premesso che è stato confermato che i problemi siano stati causati da malfunzionamenti ed errori di configurazione dei sistemi (niente hacker), il Garante ha intimato all'INPS di "comunicare, senza ritardo e comunque entro quindici giorni dalla data di ricezione del presente provvedimento, le violazioni dei dati personali in esame a tutti gli interessati coinvolti". Questo significa che alcune centinaia di nostri concittadini riceveranno un missiva dall'Istituto che chiarirà quali dati sono stato coinvolti, quali sono i rischi e quali azioni sono state intraprese dall'Ente per limitare gli eventuali danni, oltre che eventuali azioni richieste o suggerite agli utenti per tutelarsi. In caso di inosservanza l'INPS potrebbe vedersi recapitare una sanzione milionaria.

Nello stesso provvedimento, inoltre, l'Autorità si riserva di prendere ulteriori provvedimenti, anche sanzionatori, dipendenti da quanto emergerà dall'istruttoria avviata sul caso. Insomma la storia potrebbe non essere ancora finita.

Passiamo ora dall'altra parte dell'oceano e questa volta parliamo invece di un vero attacco subito da un grande studio legale di New York. Già in passato i sistemi degli avvocati si sono dimostrati non soltanto vulnerabili, ma, come facilmente prevedibile, anche ricchi di informazioni riservate. Il caso specifico ha coinvolto Grubman, Shire, Meiselas and Sacks e sta facendo molto rumore non tanto perché i criminali hanno crittografato l'intero contenuto dei sistemi, ma soprattutto perché, prima di farlo, avrebbero sottratto 756 Gigabyte di dati che riguardano alcune star dello spettacolo (giusto per fare qualche nome: Jennifer Lopez, David Letterman, Robert De Niro, Christina Aguilera, Barbra Streisand, Maria Carey). Forti del bottino hanno pensato di chiedere 21 milioni di sterline per non divulgare le informazioni, ma il bello doveva ancora venire, perché dopo un più attento esame del maltolto, i cyber delinquenti hanno scoperto nell'archivio informazioni relative a Donald Trump che a loro avviso lo costringerebbero a rinunciare "per sempre alle sue ambizioni di restare presidente".

Così il riscatto è immediatamente raddoppiato raggiungendo la ragguardevole somma di 42 milioni di sterline. La vicenda è intricata perché Trump non sarebbe mai stato cliente di quello studio legale, ma considerando che l'ultimatum scade tra una settimana si tratta di avere pazienza e vedere come andrà a finire.

Il confronto tra il caso INPS è quello dello studio Grubman, Shire, Meiselas and Sacks offre lo spunto per un piccola riflessione. La deprecabile abitudine di attribuire a fantomatici hacker qualsiasi malfunzionamento di un sistema è dannosa tanto quanto gli attacchi veri e propri soprattutto perché crea "strane idee" nella testa delle persone a partire da quella di immaginare i criminali informatici come "gratuitamente cattivi". Si tratta di gente con obiettivi molto precisi, che non spreca tempo per a violare lo smart phone o il profilo social di qualche piccola o grande celebrità giusto per il gusto di farlo. Lo stesso vale per i sistemi di qualsiasi organizzazione. Se quello all'INPS fosse stato un attacco autentico era stato talmente "rumoroso" che nel giro di poche ore i criminali avrebbero rivelato le loro intenzioni. Se, invece, avessero voluto limitarsi a sottrarre i dati nessuno si sarebbe accorto di alcunché.

Chiudiamo con gli ultimi sviluppi della "telenovela" di Immuni, perché il Copasir ha fornito il suo parere. Secondo il Comitato parlamentare per la sicurezza della Repubblica ci sono problemi che devono essere risolti e nodi che devono essere sciolti. In primo luogo si parla della necessità di ricorrere a soggetti privati per più parti del sistema. Da un lato Bending Spoon, che l'ha sviluppata ed è anche l'unico soggetto che al momento potrebbe fare manutenzione, dall'altro dei soggetti probabilmente stranieri da identificare in grado di gestire la tecnologia per la distribuzione dei contenuti che secondo il Copasir "non è al momento disponibile presso aziende italiane". Altri aspetti riguardano il rischio non eliminabile di attacchi cibernetici e il problema dell'interoperabilità con le applicazioni di contact tracing degli altri paesi europei, molto complicata visto che non c'è una linea comune, fatto grave se si vuole avere ancora una speranza che qualche turista straniero visiti il Belpaese. Come ho più volte detto e scritto, per sviluppare una app di questo tipo e l'architettura tecnologica che la sostiene ci vuole tempo, e l'insistenza nel volerla rendere disponibile a fine maggio è decisamente preoccupante.