Quando un attacco cyber è una tragedia

Quella che ha raggiunto la sua acme drammatica è la storia dell’attacco ransomware che ha colpito le scuole pubbliche di Minneapolis lo scorso marzo.

I criminali avevano chiesto un riscatto di un milione di dollari per non divulgare le informazioni sottratte che riguardavano i dipendenti e soprattutto gli oltre 30 mila studenti, nella stragrande maggioranza minorenni. Di fronte al rifiuto delle autorità scolastiche di cedere al ricatto, i delinquenti hanno progressivamente pubblicato su diversi canali (siti nel dark web, Telegram e social network) il loro bottino di dati.

Si è trattato di un tragico crescendo, perché nell’ultima tranche di dati resi pubblici sono presenti anche le informazioni più sensibili.

A titolo esemplificativo si tratta di documenti relativi a tentativi di violenza sessuale, ricoveri in ospedali psichiatrici, abusi familiari, tentativi di suicidio, tutti completi di nomi e cognomi. Un campionario di piccole e grandi drammi umani che hanno coinvolto a diverso titolo migliaia di ragazzi.

Mentre negli Stati Uniti infuria la polemica perché il sistema scolastico non ha avvisato del data breach le famiglie che lo hanno scoperto dalle notizie stampa, molti ragazzi si appellano alle autorità chiedendo disperatamente di “fare qualcosa”.

Alcuni hanno iniziato a soffrire di insonnia, altri sono entrati in depressione, altri ancora hanno improvvise crisi di pianto. La loro vita, fin nei dettagli più intimi è ora esposta allo sguardo del mondo intero.

Più volte ho scritto che quanto accade al di là di uno schermo può uccidere nel mondo reale, ma, come dimostra questa storia, un attacco cyber può fare “morire dentro”. In tutto questo ho ripensato ancora una volta al rapporto della nostra Agenzia per la cybersicurezza nazionale, da cui si evince che le nostre scuole hanno dichiarato di non trattare dati che potrebbero “determinare un pregiudizio per il mantenimento di funzioni rilevanti per la società, la salute, la sicurezza e il benessere economico e sociale del Paese, che includono i servizi essenziali ai sensi del D.Lgs. n. 65/2018 erogati a livello locale, nonché quelli che trattano grandi moli di dati personali”.

Veramente non accadrebbe nulla se lo scenario di Minneapolis si verificasse in Italia? Forse un “pregiudizio” a migliaia di nostri figli non sarebbe poi “rilevante”… Come dire: “the show will go on”.