Quando la notizia è esplosa, chiunque abbia digitato un nome importante nel campo di ricerca di Lusha o piattaforme simili ha potuto constatare con i propri occhi la portata del problema.
Numeri di telefono di ministri, alti funzionari, magistrati, generali, disponibili a pagamento in un click. E mentre la stampa, il Garante per la privacy e persino la magistratura si mettono in moto, l’Agenzia per la Cybersicurezza Nazionale – quella che dovrebbe proteggere il Paese da attacchi informatici – si affretta a dichiarare che no, non c’è alcun pericolo per la sicurezza nazionale.
Perché? Perché chi ha scoperto tutto ha scritto… su LinkedIn. Nessuna domanda protocollata, nessuna firma digitale, nessuna PEC. E quindi, a norma di burocrazia, non esiste problema.
Secondo la versione ufficiale, “allo stato attuale delle nostre conoscenze”, non risulta alcuna violazione dei sistemi dell’Acn. E siccome il caso è emerso grazie a un post social e non a una segnalazione ufficiale con timbro ministeriale, non ci sono elementi per allarmarsi. I numeri pubblicati online? “Non sono nostri”. Peccato che siano veri. Peccato che siano pubblici. Peccato che li trovi chiunque con una carta di credito.
Nel frattempo, la Polizia postale ha inviato un’informativa alla Procura di Roma, che ha aperto un fascicolo. Il Garante per la privacy ha chiesto conto alla società americana Lusha Systems Inc., che commercializza i dati – inclusi quelli di rappresentanti delle istituzioni italiane – senza fornire spiegazioni sulla provenienza. Qualcuno, insomma, indaga. Qualcun altro prende tempo, o si gira dall’altra parte.
Non è nemmeno la prima volta che chi dovrebbe difenderci dai pericoli digitali si mostra più esperto di cavilli che di cybersicurezza. Nel 2023, mentre gli attacchi informatici crescevano del 29% rispetto all’anno precedente – da 1.150 a oltre 3.300 soggetti colpiti – in molti enti pubblici si continuavano a usare password come “123456” o “admin”.
Un report ufficiale ha mostrato che la gestione delle vulnerabilità è ancora una chimera in molte pubbliche amministrazioni. E intanto, quando il collettivo russo LockBit ha minacciato l’Agenzia delle Entrate, è servita quasi una settimana per capire se fosse uno scherzo o l’inizio di un disastro.
In questo contesto, scoprire che i numeri privati dei più alti livelli dello Stato circolano liberamente online non è una sorpresa. È la logica conseguenza di una gestione burocratica della cybersicurezza, in cui si preferisce far finta di niente piuttosto che ammettere di avere un problema.
Noi invece crediamo che il problema sia reale. Che chiunque abbia potuto verificare quei dati con un click stia già facendo più del necessario. E che chi finge di non vedere perché manca un modulo, debba fare una cosa molto semplice: andarsene.
Per questo, chiediamo le dimissioni immediate dei responsabili della sicurezza informatica italiana. Chissà, magari se gli inviamo la richiesta autenticata con lo Spid la prendono in considerazione.
