Online numeri di telefono, email e indirizzi dei vertici della Repubblica Italiana.
È l’allarme lanciato da Andrea Mavilla, esperto di cybersecurity che a metà dello scorso mese ha scovato online un database accessibile con i contatti personali dei vertici Stato, dai politici ai funzionari dei ministeri fino alle forze dell’ordine.
“La polizia postale invierà nelle prossime ore, entro domani, un’informativa alla Procura di Roma in merito alle indagini avviate dopo la denuncia di un informatico in merito alla diffusione pubblica online di informazioni e numeri di telefono dei vertici dello Stato”, riporta oggi l’Ansa dopo l’articolo odierno del Fatto quotidiano.
“Gli investigatori, del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche, stanno cercando di risalire a possibili soggetti eventualmente collegati ad aziende che avrebbero raccolto i dati, per capire la liceità dell’acquisizione delle informazioni personali. Sulla vicenda – anticipata dal Fatto Quotidiano – anche il Garante della privacy ha aperto un’istruttoria”, ha scritto l’Ansa.
Non solo, anche il Copasir – il Comitato parlamentare per la sicurezza della Repubblica – potrebbe affrontare la questione durante la seduta (già prevista) di martedì, rileva il Fatto.
In tutto ciò, come si è mossa l’Agenzia per la cybersicurezza nazionale (Acn), ovvero l’autorità nazionale per la cybersicurezza, deputata a tutelare gli interessi nazionali in questo campo?
L’esperto informatico Mavilla aveva avvertito infatti con un post su Linkedin l’agenzia guidata da Frattesi che online erano reperibili tutti i nomi e i cognomi dei suoi dipendenti, compresi indirizzi mail e numeri di telefono. Da parte sua l’Acn ha replicato, sempre su Linkedin, bollando la segnalazione così: “Bah, a noi pare una bufala. Saluti”.
Tutti i dettagli.
LA SCOPERTA IL 17 MARZO
Come ha raccontato lo stesso Mavilla al Fatto Quotidiano, lo scorso 17 marzo, nel corso di una consulenza, si è imbattuto in un portale di lead generation. Qui, accessibili online, i dati sensibili – compresi i numeri di cellulare privati, non istituzionali – di Meloni, Mattarella, Crosetto e Piantedosi e altri ministri, compresi figure istituzionali, militari, giudiziarie e dipendenti di PMI italiane.
“A portata di clic ci sono anche 2.125 contatti della Presidenza del Consiglio, 13.822 di dipendenti (ed ex dipendenti) del ministero della Giustizia. Ben 4.871 profili che fanno riferimento al ministero dell’Interno. E poi 11.688 persone impiegate nel ministero della Difesa, oltre a Inps, agenzie governative, regioni, comuni e così via. Per le forze dell’ordine troviamo i profili di 3.805 dipendenti della Polizia di Stato, 6.301 dell’Arma dei carabinieri, 6.018 della Guardia di Finanza”, ha scritto il Fatto Quotidiano.
«Di piattaforme (e plug in) simili ne abbiamo trovate almeno 8. Ne abbiamo testate a fondo tre. Hanno sede in Russia, Israele e Usa», sottolinea il quotidiano.
L’AVVISO AL MINISTRO PIANTEDOSI
Dopodiché, il 24 marzo Mavilla si rivolge direttamente al ministro dell’Interno, Matteo Piantedosi, su WhatsApp: “Onorevole ministro Piantedosi, mi permetto di scriverLe in via diretta per segnalarLe una questione che ritengo di estrema rilevanza per la sicurezza nazionale”. E gli spiega: “Durante una mia consueta attività di navigazione con il browser Tor (poi ha verificato anche navigando in chiaro, ndr), ho riscontrato la presenza pubblica e facilmente accessibile di una quantità significativa di dati riconducibili a enti e istituzioni dello Stato. In particolare, oltre a informazioni relative a un’agenzia governativa, risultano esposti anche dati appartenenti a personale delle forze dell’ordine, tra cui Polizia di Stato, Carabinieri e Guardia di Finanza”.
Ma dal titolare del Viminale nessuna risposta.
AD OPERA DI ANDREA MAVILLA
Eppure la segnalazione circa la falla nella sicurezza nazionale arriva da un esperto di cybersecurity. Come si legge sul suo profilo Linkedin, Andrea Mavilla è attualmente Project Manager , Web Reputation per Google Operations Center da gennaio 2024. Sempre da gennaio 2024 è Project Manager per SecurePro. Dal 2022 al 2024 ha ricoperto il ruolo di IT Manager – Cyber Security Infrastructure presso Milano Glabal Advisors – Mga.
Prima ancora, per oltre dieci anni, è stato consulente per Apple, dove è entrato nel 2009 come consulente soluzioni. Dal 2002 al 2009 si è occupato di supporto IT per Valtur.
CONTATTA ANCHE LA VICEDIRETTORE DELLA CIA
Dal momento che dallo scambio diretto con il ministro Piantedosi non ha ricevuto riscontro, Mavilla si è rivolto addirittura a Juliane Gallina, vicedirettrice della Cia per l’innovazione digitale, mandandole un messaggio su Linkedin per segnalare la vicenda.
Come racconta egli stesso in una mail per segnalare il caso inviata ai giornali: “Buonasera, con la presente desidero segnalare in forma riservata e anonima un fatto di estrema gravità che riguarda la sicurezza informatica e la protezione dei dati sensibili a livello internazionale e nazionale. Intorno alle ore 7:00 del mattino, è stato informato un alto dirigente della Cia in merito alla presenza online di un data-base contenente dati riservati di numerosi funzionari governativi statunitensi, tra cui il capo del Pentagono, ministri e altri esponenti di spicco dell’amministrazione Usa”.
INDAGANO LA POLIZIA POSTALE E IL GARANTE PRIVACY
Se nemmeno dalla Cia ottiene risposta, il 27 marzo l’esperto di cybersecurity riceve attenzione dalla Polizia postale che ha avviato i propri accertamenti.
Tanto che la settimana scorsa, sempre Mavilla su Linkedin faceva sapere che “è in corso un’azione concreta di oscuramento di numerose piattaforme dove risultano ancora presenti dati riservati, non solo istituzionali ma appartenenti a intere organizzazioni e ai loro collaboratori. Ho fornito tutte le informazioni tecniche utili affinché gli interventi possano essere rapidi, mirati ed efficaci”.
Mentre sulla questione indagando la polizia postale, come già detto, anche l’autorità garante per la Protezione dei Dati Personali ha aperto un’istruttoria. Una fonte interna alla authority ha spiegato al Fatto quotidiano: “Ci sono sicuramente profili di illecito. Bisognerà vedere come riusciremo a muoverci, quale spazio di azioni abbiamo contro siti con sedi all’estero”.
LO SCAMBIO TRA ANDREA MAVILLA CON L’ACN
Pensare invece che quando Mavilla ha portato la vicenda all’attenzione dell’Acn, con un post sempre su Linkedin in cui l’avvisava che online erano reperibili tutti i nomi e i cognomi dei suoi dipendenti, la risposta dell’agenzia retta da Bruno Frattasi fu: “Bah, a noi pare una bufala. Saluti”.
Non solo, sollecitata dal Fatto Quotidiano, prima che emerge oggetto di approfondimento della Polizia Postale e interessa anche l’Autorità Garante per la Privacy: “Allo stato attuale delle nostre conoscenze non c’è alcun data base con i dati dell’Agenzia per la cybersicurezza. E quindi, per quello che riguarda i dati su Acn, non ravvisiamo alcun pericolo per la sicurezza nazionale. Per quanto riguarda l’Acn, c’è soltanto un signore che ha fatto un commento su Linkedin. Se questo signore ritiene di avere qualcosa da mostrarci, esistono i canali ufficiali per comunicarcelo. E se li utilizzerà, se ci mostrerà qualcosa che mette in pericolo la sicurezza nazionale, sarà ben accolto. Deve esistere un tema di sicurezza nazionale”.
Infine, la vicenda ha attirato anche l’attenzione dei politici: oggi il leader di Italia Viva Matteo Renzi ha commentato la questione dei numeri di telefono delle autorità italiane reperibili liberamente su Internet nella sua newsletter. “E l’autorità cyber che fa? Assume a più non posso ma non riesce a controllare nulla. Perché quando scegli sulla base dell’amichettismo e non del merito finisce che siamo tutti più a rischio. Spero che il prefetto Frattasi, brava persona ma non adatta a guidare la cybersicurezza, lasci subito l’incarico e al suo posto vada uno come Nicola Gratteri“ conclude Renzi.
