L’attacco informatico alla Regione Lazio (con le paradossali giustificazioni addotte dai suoi vertici) è il caso più clamoroso dei ritardi tecnologici in tutta la pubblica amministrazione. Il rischio è che altri enti entrino nel mirino degli hacker e vengano «bucati».
Breve elenco di persone ed enti che hanno in qualche modo parlato a nome della Regione Lazio, durante l’aggressione informatica che nella prima settimana di agosto ha paralizzato l’ente pubblico e ha messo a rischio i dati sanitari di sei milioni di cittadini, tra cui mezzo Parlamento e le più alte cariche dello Stato.
Il presidente Nicola Zingaretti e l’assessore alla Sanità, Alessio D’Amato, più volte e con dichiarazioni a getto continuo; Vittorio Gallinella, direttore sistemi infrastrutturali di LazioCrea, società della Regione che si occupa dei sistemi informatici e della digitalizzazione; gli uffici stampa di Leonardo ed Engineering, fornitori di LazioCrea, solo per smentire di essere i responsabili della sicurezza informatica della Regione, come la Regione stessa aveva cercato di far credere; svariati membri del Copasir, il comitato parlamentare di controllo sui servizi segreti della Repubblica; Corrado Giustozzi, esperto dell’Agenzia per l’Italia digitale, che il 5 agosto annunciava con un cinguettio su Twitter: «Vicenda avviata verso un lieto fine».
L’unico personaggio di questo psicodramma di mezza estate che avrebbe dovuto rassicurare cittadini e istituzioni, ovvero il responsabile della sicurezza informatica della Regione Lazio, non ha aperto bocca. Il motivo è semplice: non esiste. Dibattito finito, per carità, fino al prossimo allarme.
Ma ancora una volta si è toccato con mano il paradosso Italia. Dove il pubblico ama dettare al privato regole, spesso barocche e fumose, e richiedere alle aziende accorgimenti e adempimenti onerosi. Poi, per sé, procede alla buona e sperando nello stellone.
Sarà l’inchiesta della Procura di Roma a stabilire che cosa sia successo davvero ai computer del Lazio, con i dati delle vaccinazioni (e non solo) prima bloccati, poi miracolosamente recuperati grazie a un backup di cui nulla si sapeva. I «software ramsoware» per criptare i dati altrui e chiedere un riscatto per la chiave di sblocco, come quello usato contro il Lazio, si possono affittare sul dark web e attaccano sempre più anche chi usa le Vpn (rete privata virtuale) e gli altri sistemi per nascondere l’indirizzo d’ingresso sulla rete e navigare facendo lo slalom tra spam e virus.
Questo significa che la maggior parte degli attacchi viene condotta da bande di criminali comuni, che poco hanno a che fare con l’epopea romantica dei primi hacker, ma anche con le cospirazioni internazionali. Non solo, ma con il gioco delle stesse Vpn e con altre cortine fumogene che un buon informatico sa usare, si può addossare la responsabilità di un attacco a un certo Stato.
Tale premessa è necessaria per pesare le parole di Zingaretti, che il 2 agosto, appena reso noto l’attacco, affermava sicuro sicuro: «Stiamo difendendo la nostra comunità da questi attacchi di stampo terroristico».
Nel comprensibile silenzio del Dis, che coordina i servizi segreti italiani e ha fatto la sua circostanziata ricostruzione a porte chiuse al Copasir nella seduta del 4 agosto, è andato avanti per giorni questo chiacchiericcio sul «terrorismo». Con il segretario del Copasir, il senatore renziano Ernesto Magorno, che aveva parlato di «vero e proprio attacco alla democrazia» già il 2 agosto, ovvero due giorni prima che il capo dei servizi, Elisabetta Belloni, spiegasse al comitato come si erano svolte le cose.
Ovvero, in estrema sintesi, partendo dalle credenziali Vpn di un dipendente di Frosinone che lavorava da casa per Laziocrea. L’attacco è partito dalla Germania, dopo una triangolazione con l’Austria, ma questo significare poco o nulla. Una volta entrati, con le credenziali di un amministratore di rete, gli hacker sono riusciti a scaricare i file di infezione.
Quando si è sotto attacco, si possono recuperare i dati bloccati ricorrendo all’ultimo backup, attività che qualunque azienda privata di medie dimensioni fa automaticamente ogni giorno, rigorosamente offline. Insomma, non è una particolare attività di contrasto al cybercrime, ma normale prudenza.
Soprattutto, la disponibilità dei dati «di riserva» salta fuori subito, perché la verità è che il backup o l’hai fatto o non l’hai fatto. Nel mirabolante caso del Lazio, invece, siamo di fronte a un backup di cui vengono rinvenute le chiavi dopo cinque giorni. È stato per caso pagato un riscatto? Una risposta la fornirà certamente l’inchiesta della Procura di Roma, ma intanto la vicenda offre lo spunto per ribadire quello che tutti gli esperti di sicurezza informatica raccomandano: non pagare mai gli hacker. Come spiega il responsabile della sicurezza di un grande gruppo privato, «quando paghi per recuperare dei dati non hai mai la certezza di recuperare tutto né la prova che quei dati non siano già stati rivenduti». Come un incubo, tra i manager della sicurezza girano le storie di aziende che hanno dovuto pagare più volte per lo stesso ricatto. In più, c’è un altro motivo che sconsiglia di perdere troppo tempo a rincorrere gli hacker, spesso organizzati in bande che si sciolgono e si ricompongono qua e là: quasi sempre le tracce conducono a nazioni con le quali servono complesse rogatorie internazionali. Molto meglio prevenire, insomma.
Secondo gli ultimi dati del Clusit, l’Associazione italiana per la sicurezza informatica, nel 2020 l’Italia ha speso 1,3 miliardi per alzare le proprie barriere e la crescita annua è prevista in doppia cifra. Anche perché a livello mondiale, in base ai i calcoli dell’Amministrazione Usa, il «cybercrime» costa 390 miliardi di dollari l’anno. Ma non è solo una questione di soldi. Secondo un recente studio del Politecnico di Milano, oltre il 50 per cento dei grandi gruppi si è dotato di figure professionali specializzate. Questa scelta è frutto anche delle normative arrivate in Italia su spinta dell’Unione europea.
In generale, le centinaia di aziende che rientrano nel cosiddetto «perimetro di sicurezza nazionale» (il cui elenco è ovviamente riservato) e operano nei settori più disparati, dalle comunicazioni all’energia, hanno un fitto reticolo di norme da rispettare e rischiano multe da 150 mila euro per ogni singola violazione.
E la pubblica amministrazione? Tornando al Lazio, rientra nell’elenco dei «soggetti essenziali» difesi dal «Perimetro cyber», appena passato sotto il controllo dell’Agenzia nazionale per la cybersicurezza (Acn), affidata dal governo Draghi a Roberto Baldoni. Baldoni è un tecnico stimato, ma era il numero due del Dis, il che significa che l’Italia ha scelto un modello di contrasto al cybercrime basato più sull’esperienza della propria intelligence statale che sulle competenze dei grandi gruppi privati.
I prossimi anni diranno se è la strada giusta. Intanto è proprio lo Stato che deve recuperare più terreno. L’allarme riguarda decine di Asl e di strutture sanitarie, i cui computer sono stati «bucati» anche nei mesi delle ricerche affannose di dati sul Covid. Computer che custodiscono informazioni preziose per chiunque voglia fare un’assunzione o stipulare una polizza assicurativa. Ma alla fine, i settori sui quali lo Stato dovrebbe concentrarsi non sono poi tanti, come nel privato, perché i dati davvero sensibili sono quelli sanitari, della giustizia e del fisco.
Servono più competenze e dipendenti ben sensibilizzati che soldi. Altrimenti resteremo prigionieri del paradosso attuale, in cui siamo perseguitati dagli adempimenti della legge sulla privacy e poi un ente come la Regione Lazio ha i sistemi informatici aggiornati al 2008 e affidati alla responsabilità di un fantasma.