Vi hanno rubato la password della posta elettronica certificata. E’ inutile che cambiate la parola chiave o quanto meno non è questo il rimedio a quanto si è verificato.
I consigli finora elargiti agli utenti della PEC sono genericamente utili. Il suggerimento di cambiare la sequenza alfanumerica che “apre” la serratura virtuale della propria casella e-mail rientra nelle raccomandazioni di prassi e la cautela andrebbe adottata periodicamente per evitare “normali” brutte sorprese.
La vicenda delle PEC della Pubblica Amministrazione, violate dagli hacker e di cui tanto si parla, è tutta un’altra storia.
L’ “inconveniente” – come è stato definito dal gestore privato del servizio – non è stato determinato dalla sbadataggine del singolo utente che ha mantenuto per mesi la stessa password o che, per non dimenticarla, l’ha scritta su un post-it poi appiccicato sul bordo del monitor alla mercé di colleghi, personale delle pulizie, visitatori occasionali.
Il “grave problema” – come invece lo etichetta qualunque persona di buon senso, anche non necessariamente del mestiere – ha una sola inequivocabile radice: la mancata adozione di idonee misure di sicurezza da parte di chi aveva in proposito uno specifico obbligo stabilito per legge e sanzionato penalmente in caso di inosservanza.
L’attacco da parte dei pirati informatici rientra nella categoria dei cosiddetti “data breach”, ovvero di quelle intrusioni che determinano una breccia nel perimetro dei grandi sistemi informatici perforando (spesso senza grande fatica) le difese installate a tutela dei dati custoditi nei giganteschi archivi elettronici.
Nella fattispecie i malintenzionati avrebbero portato via le credenziali di accesso di centinaia di migliaia di utilizzatori dei rispettivi sistemi di posta elettronica certificata. In pratica, a voler fare un parallelo nemmeno tanto ardito, avrebbero rubato firma, timbri e bolli idonei ad inoltrare lettere raccomandate in nome e per conto di persone totalmente ignare di questo scippo. Se si prova ad immaginare la delicatezza della corrispondenza trattata da un ufficio pubblico (si pensi banalmente ad un ufficio giudiziario) è facile immaginare i possibili disastri che possono venirsi a creare. Il quasi impercettibile “inconveniente” (che non si può escludere abbia consentito l’apertura fraudolenta di messaggi riservati e, perché no?, la loro cancellazione…) forse merita un approfondimento e non lo si può liquidare con una conferenza stampa pomeridiana a quasi una settimana dall’accaduto.
E’ necessario chiedersi, senza ulteriore ritardo, come mai tra le realtà bersaglio dell’aggressione hacker ci sia il ministero della Giustizia. Ad agire potrebbe non essere stata la solita banda di burloni animati da propositi goliardici o dalla semplice voglia di far vedere quanto sono bravi. Viene il sospetto, credo legittimo, che ad “armare” il mouse di chi ha scorazzato nei sistemi PEC possa essere stato il crimine organizzato. Le verifiche tecniche permetteranno (ci si augura) di ricostruire quel che è effettivamente successo, ben comprendendo che la posta elettronica certificata è – a mero titolo di esempio – alla base delle moderne modalità di notifica di atti giudiziari o di provvedimenti che certo non possono essere accessibili da chi non è legittimamente autorizzato.
Una almeno vaga conoscenza di questo ambito (per l’involontario occuparmene a tempo pieno da oltre trent’anni) mi lascia un dubbio. Come si fa – come si è sentito ieri – a dichiarare con nonchalance che è “tutto sotto controllo” quando la situazione è ictu oculi la versione virtuale del Belice?
Vi rubo ancora un minuto. Se è vero che “si tratta di tendenze evolutive di alcune vulnerabilità e minacce già conosciute, rispetto alle quali il governo era già al lavoro da tempo”, due domande non riesco a trattenerle.
Se le vulnerabilità erano già note, perché non sono state adottate le corrispondenti contromisure (soprattutto visto che “il governo era già al lavoro da tempo”), evitando così il disastro?
E poi cosa succede se i punti deboli non sono conosciuti?
Non ho fretta, ma una risposta me l’aspetterei… E credo se la aspettino tutti gli italiani.
Umberto Rapetto
Generale GdF in congedo – già comandante del GAT Nucleo Speciale Frodi Telematiche
Docente universitario, giornalista e scrittore
CEO @ HKAO Human Knowledge As Opportunity
Consigliere di amministrazione di Olidata con delega alla cybersecurity
Articoli correlati
Problema cybersecurity per Microsoft?
Ecco quanto è facile raggirare i chatbot di AI
Cosa sappiamo sul presunto attacco hacker a Epic Games (Fortnite)
Ecco come la gang criminale Lockbit è tornata in azione
