Fibrillazioni in corso all’Agenzia per la cybersicurezza (Acn) guidata dal prefetto Bruno Frattasi.
È quanto suppone oggi Il Foglio dopo le dimissioni di Giuseppe Del Deo dalla vice direzione del Dis: “Cambierà qualcos’altro nell’organigramma apicale delle agenzie, degli enti e delle strutture che garantiscono la sicurezza nazionale? La domanda ha cominciato a circolare”.
In particolare l’interrogativo riguarderebbe l’Acn, l’autorità nazionale per la cybersicurezza, già al centro del dibattito dopo le conclusioni dell’indagine della commissione Difesa della Camera presieduta da Antonino Minardo che rileva come “l’attuale architettura strategica nazionale in materia di sicurezza e difesa cibernetica risulti priva di un comando unificato durante le fasi critiche degli attacchi cibernetici con conseguenti ritardi nei meccanismi di risposta”.
Dunque si è aperto un focus sull’attuale governance per gestire la cyber sicurezza del paese.
Nel frattempo, sull’operato dell’Acn è arrivato ad accendere i riflettori anche un altro caso. Ovvero la vicenda dei numeri di telefono personali dei vertici dello Stato online, a partire da quello del presidente della Repubblica fino a quello della presidente del Consiglio. Come ha rivelato per primo il Fatto Quotidiano, l’esperto informatico Andrea Mavilla ha avvisato l’Agenzia per la cybersecurity nazionale della scoperta dei cont dati sensibili delle personalità dello Stato online, ma quest’ultima ha liquidato la questione come una “bufala”.
Intanto, sulla presunta diffusione online di contatti e numeri di telefono di rappresentanti istituzionali e vertici dello Stato la procura di Roma ha avviato un’indagine. Si tratta di un fascicolo modello 45, quindi, senza indagati né ipotesi di reato, coordinato dal procuratore capo Francesco Lo Voi, riportava ieri l’Adknronos.
Tutti i dettagli.
LA VELOCE DIPARTITA DI DEL DEO DAL DIS
Come già detto, Giuseppe Del Deo lascerà il posto di vice direttore del Dipartimento per l’informazione (Dis), la struttura della presidenza del Consiglio che coordina le agenzie dei servizi segreti. A prendere il suo posto sarà l’attuale vice comandante generale dell’Arma dei Carabinieri, generale Mario Cinque. Da gennaio il Dis ha registrato un riassetto al vertice: prima con le dimissioni di Elisabetta Belloni alla guida della struttura di coordinamento dell’Intelligence dello scorso 15 gennaio, poi con l’uscita di Del Deo che andrà in pensione anticipata, secondo quanto ha svelato il quotidiano Domani.
“IL COMMA DEL DEO”
“E intanto c’è chi si comincia a chiedere chi sarà il prossimo. Qualcuno parla già del prefetto Bruno Frattasi, l’uomo che guida l’Agenzia per la Cybersicurezza nazionale (Acn), nominato a marzo del 2023 al posto di Roberto Badaloni, che era stato scelto per quel ruolo dal governo di Mario Draghi, che l’agenzia l’aveva creata”, scrive oggi il quotidiano Il Foglio.
Quello che si sa al momento è che l’uscita di Giuseppe Del Deo avverrà con un prepensionamento (dal momento che ha 51 anni) in intesa con la Presidenza del Consiglio.
“Come ha raccontato il Domani, inoltre, con un Dpcm di fine marzo in parte secretato sono state cambiate le regole per gli ex dirigenti apicali dei servizi che adesso possono chiedere sin da subito, attraverso un’istanza alla Presidenza del Consiglio (e quindi di fatto proprio a Mantovano), di poter lavorare per soggetti privati sia esteri che italiani. Qualcuno l’ha già ribattezzato il “comma Del Deo”. Questo perché, prima di questo decreto, per gli ex direttori e vicedirettori di Dis e agenzie di intelligence vigeva l’obbligo di astenersi da qualunque impiego privato per i tre anni successivi alla cessazione dell’incarico dentro ai servizi”, ricostruisce ancora il Foglio.
OCCHI PUNTATI SULLA DIREZIONE DELL’ACN
Dunque, se per il posto di vice direttore del Dis si è già trovato il successore, secondo il Foglio “c’è chi comincia a pensare a chi sarà il prossimo per il quale potrebbe essere usato questo metodo. C’è chi è convinto che sia proprio Frattasi. Ad aver messo già nel mirino se non il ruolo del prefetto, almeno un pezzo delle competenze che oggi sono dell’agenzia che guida è il ministero della Difesa”.
I RILIEVI DELLA RELAZIONE DELLA COMMISSIONE DIFESA DELLA CAMERA
Come anticipato sempre dal Foglio la scorsa settimana, la relazione conclusiva della commissione Difesa della Camera ha messo in evidenza che “Con il D.L. 82/2021 è stata definita l’attuale architettura nazionale di sicurezza cibernetica, definendo un ulteriore pilastro, con la creazione dell’ACN, a completamento di quelli esistenti. Si individua dunque un’architettura a 4 pilastri:
- cyber-resilience, assicurata dall’ACN;
- prevenzione e repressione dei reati informatici, a cui provvede la Polizia di Stato attraverso il Servizio di Polizia Postale e delle Comunicazioni, al cui interno opera il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC),
- difesa e sicurezza militare dello Stato nello spazio cibernetico, di spettanza del Ministero della Difesa;
- ricerca ed elaborazione informativa, finalizzata alla tutela degli interessi politici, militari, economici, scientifici e industriali dell’Italia, è affidata al Comparto intelligence.
Dunque ne emerge una governance al momento frammentata per la sicurezza cibernetica nel nostro paese.
Per questa ragione la commissione ha chiesto che il ministero della Difesa “nell’ambito delle proprie competenze istituzionali, si occupasse della difesa del dominio cibernetico nella sua interezza, analogamente a quanto attualmente avviene nei domini tradizionali, come quello terrestre, marittimo, aereo e spaziale”.
GLI AUSPICI DEL MINISTRO CROSETTO
Tanto che nel corso dell’audizione parlamentare dello scorso 23 gennaio il ministro Guido Crosetto concludeva così: “Ritengo siano essenziali quattro cose”.
Primo “identificare lo spazio cyber di interesse nazionale per la difesa e la sicurezza dello Stato, un campo di operazioni all’interno del quale il Ministero della difesa operi senza soluzione di continuità per adempiere ai propri compiti istituzionali; un’Arma cyber civile e militare numericamente adeguata a livello di minaccia osservata, che sia operativa e continuamente capace di intervenire su tutto lo spettro delle minacce; un’Arma cyber che abbia tutte le adeguate tutele funzionali per il personale incaricato; un Centro per il contrasto alla guerra ibrida, che esprima la capacità di comando e controllo, condiviso con le agenzie/attori non militari; condivisione di best practice, per lo scambio informativo e il contrasto alla propaganda che sviluppi sinergie tra istituzioni e mondo accademico per creare gli anticorpi di base contro i fenomeni di propaganda e disinformazione.
LA VICENDA DEI NUMERI DI CELLULARE DI MEZZA REPUBBLICA
Intanto, sull’Agenzia per la cybersicurezza si abbatte un’altra vicenda: la presunta falla nella sicurezza nazionale con la presenza di alcuni portali online con informazioni sensibili riguardo i vertici, istituzioni e politici, della Repubblica italiana.
Come ha raccontato l’esperto Andrea Mavilla al Fatto Quotidiano, lo scorso 17 marzo, nel corso di una consulenza, si è imbattuto in un portale di lead generation. Qui, accessibili online, i dati sensibili – compresi i numeri di cellulare privati, non istituzionali – di Meloni, Mattarella, Crosetto, Piantedosi e altri ministri, compresi figure istituzionali, militari, giudiziarie e dipendenti di PMI italiane. Secondo Mavilla per arrivare a questi dati sensibili non è necessario effettuare accessi nel dark web o in strutture particolarmente complesse ma bastano semplici ricerche nel web. «Di piattaforme (e plug in) simili ne abbiamo trovate almeno 8. Ne abbiamo testate a fondo tre. Hanno sede in Russia, Israele e Usa», sottolinea il quotidiano.
Da subito, come racconta il Fatto, Mavilla ha cercato di avvisare l’Acn riguardo la presenza online dei numeri di telefono dei vertici dello Stato, compresi quelli di decine di dipendenti dell’agenzia con sede in Corso Italia a Roma. Tuttavia, l’esperto di sicurezza informatica non l’ha fatto utilizzando lo sportello telematico dell’Acn, quello con l’intestazione “Fai una segnalazione”, quindi non ha seguito la via formale prevista, come specifica il Fatto. “Il secondo è che ci ha provato in altri modi (incluso un commento sulla bacheca LinkedIn sulla quale s’è sentito rispondere che si trattava di una “bufala)” aggiunge la testata.
LA POSIZIONE DELL’ACN
Il punto, fanno sapere al Fatto Quotidiano fonti vicine all’Acn, “è che sin da subito la lettura delle segnalazioni di Mavilla, dal quale si aspettavano una segnalazione formale e quindi non ritenevano una fonte, è stata univoca: non aveva trovato alcun database, bensì informazioni compilate in modo manuale, frutto di accesso a un sistema di aggregatori di dati. Non aveva comunque segnalato un attacco informatico né un pericolo immediato. I telefoni di cui aveva dato notizia, infine, erano quelli privati e non quelli utilizzati per lavorare”.
LE INDAGINI DELLA PROCURA DI ROMA
Eppure, sul caso si è mossa la polizia postale che ha iniziato a indagare e ora la vicenda è al vaglio anche della Procura di Roma. Quest’ultima ha avviato infatti un’indagine sulla presunta diffusione online di contatti e numeri di telefono di rappresentanti istituzionali e vertici dello Stato.
Secondo l’Adnkronos, “è già arrivata una prima informativa della polizia postale”.
Senza dimenticare che sul caso riguardante la possibilità di reperire online contatti e numeri di telefono di rappresentanti istituzionali e vertici dello Stato, c’è anche l’attenzione del Copasir.
L’ISTRUTTORIA AVVIATA DAL GARANTE PRIVACY
Infine, sempre ieri il Garante Privacy ha aperto un’istruttoria sul caso.
L’autorità presieduta da Pasquale Stazione, comunica in una nota, “ha inviato una richiesta di informazioni a Lusha Systems Inc, una società statunitense che tramite la sua piattaforma online offre alle aziende informazioni ‘arricchite’ per trovare o verificare, tra gli altri, indirizzi e-mail e numeri di telefono fisso e mobile”. “La società statunitense – spiega il Garante – vende recapiti anche telefonici di dubbia provenienza anche di persone che vivono in Italia, inclusi quelli di rappresentanti di spicco delle istituzioni”.
“La piattaforma – fa sapere il Garante dando notizia di aver aperto l’istruttoria – risulta accessibile anche dall’Italia e i suoi servizi sono offerti anche a utenti che si collegano dall’Italia. Inoltre, la presenza di dati di persone che vivono in Italia nel database di Lusha è confermata dalle segnalazioni, giunte all’autorità, in cui si lamenta la ricezione di chiamate promozionali e/o commerciali indesiderate, effettuate grazie a dati ricavati dai servizi resi disponibili dalla società americana”.
“L’Autorità, quindi, considerati i potenziali rischi anche per le persone che vivono in Italia, ha chiesto a Lusha di trasmettere, entro venti giorni, una serie di informazioni – conclude -. La società, in particolare, dovrà specificare quanti siano i dati di persone che vivono in Italia raccolti o trattati, chiarire le modalità di raccolta e fornire maggiori informazioni su ciascuna fonte che alimenta il proprio database”.
COSA FARÀ ORA L’ACN?
Dunque, alla fine si sta indagando su più fronti sulla diffusione online delle informazioni personali delle massime cariche dello Stato, a partire da come si è entrati possesso di questi dati.
Come chiosa oggi il Fatto le “Istituzioni si sono effettivamente attivate. Ma non per impulso della Acn”.
Tanto che il leader di Italia Viva Matteo Renzi ha commentato la vicenda nella sua newsletter. “E l’autorità cyber che fa? Assume a più non posso ma non riesce a controllare nulla. Perché quando scegli sulla base dell’amichettismo e non del merito finisce che siamo tutti più a rischio. Spero che il prefetto Frattasi, brava persona ma non adatta a guidare la cybersicurezza, lasci subito l’incarico e al suo posto vada uno come Nicola Gratteri“ conclude Renzi.
Intanto oggi, sempre a mezzo social, è intervenuto nel dibattito il responsabile della comunicazione dell’Acn, condividendo su Linkedin un articolo di Dday.it sulla questione.
Secondo l’articolo le “Piattaforme come Lusha, ZoomInfo e altre simili sono strumenti commerciali utilizzati da aziende, venditori, recruiter e professionisti del marketing con lo scopo di fornire contatti professionali (email aziendali, numeri di telefono d’ufficio, a volte anche cellulari se usati per lavoro o resi pubblici) per facilitare le connessioni B2B, la ricerca di potenziali clienti (lead generation) o di candidati per posizioni lavorative.” Pertanto, “Questi aggregatori non “bucano” database protetti, raccolgono e aggregano informazioni da una moltitudine di fonti come LinkedIn, siti web istituzionali, pagine “Contatti”, directory del personale, comunicati stampa, elenchi di aziende, registri professionali e liste di partecipanti di conferenze se rese disponibili o condivise”.
Resta da capire però come i numeri personali (privati, non istituzionali) delle massime cariche dello Stato ci siano finiti.
