Mavilla, come è venuto a conoscenza dei numeri di telefono personali delle massime cariche dello Stato?
Sono venuto a conoscenza dei numeri di telefono personali di alcune alte cariche dello Stato nell’ambito di un’attività di analisi commissionata da una società privata che aveva subito una truffa significativa. L’azienda, dopo aver effettuato una denuncia formale, mi ha incaricato di comprendere come i truffatori avessero potuto accedere a informazioni aziendali così sensibili.
E cosa ha scoperto?
Durante l’attività investigativa, mi sono imbattuto in portali e archivi online che contenevano veri e propri database con dati personali di migliaia di cittadini, inclusi riferimenti a soggetti istituzionali. È stato in quel contesto che ho scoperto la facilità con cui certe informazioni riservate, appartenenti a figure di spicco della Repubblica Italiana, fossero liberamente accessibili o reperibili con pochi passaggi. Una situazione allarmante, che testimonia quanto la sicurezza dei dati in Italia necessiti di maggiore attenzione e interventi urgenti.
Da quanto si apprende sono almeno otto le piattaforme dalle quali è possibile ottenere questo tipo di dati e informazioni. Si tratta dei cosiddetti portali di lead generation, ci spiega in cosa consistono?
Sì, da quanto ho potuto verificare, sono almeno otto le piattaforme che permettono l’accesso a dati estremamente sensibili, e molte di esse rientrano nella categoria dei cosiddetti portali di lead generation.
Da chi vengono usate queste piattaforme?
Queste piattaforme, come ad esempio Lusha, sono strumenti utilizzati prevalentemente in ambito commerciale e marketing per raccogliere informazioni di contatto di potenziali clienti, partner o figure chiave all’interno delle aziende. In teoria, il loro scopo è facilitare le attività B2B, fornendo numeri di telefono, email aziendali, ruoli e profili LinkedIn di manager, imprenditori o dipendenti.
Quindi sono legali o illegali?
Il problema nasce quando questi strumenti vengono utilizzati al di fuori del contesto legittimo, o quando i dati non sono realmente stati acquisiti con il consenso dell’interessato. Alcuni di questi portali aggregano informazioni da fonti pubbliche, altri le ottengono da utenti che, inconsapevolmente, autorizzano la condivisione della propria rubrica o dei dati presenti nei dispositivi. Il risultato è che anche figure istituzionali possono finire, inconsapevolmente, in questi elenchi, esponendosi a rischi concreti per la sicurezza.
È dunque lecito questo meccanismo di raccolta e vendita di informazioni personali? Se, come parrebbe, siamo di fronte a un database riservato, quali implicazioni ci sono per la sicurezza nazionale?
In Italia, questo meccanismo di raccolta e commercializzazione di informazioni personali – se effettuato senza il consenso esplicito e informato dell’interessato – non è assolutamente lecito.
Il Regolamento Generale sulla Protezione dei Dati (GDPR), applicato in tutta l’Unione Europea e quindi anche in Italia, stabilisce con estrema chiarezza che ogni trattamento di dati personali deve essere basato su una base giuridica legittima, come il consenso, l’esecuzione di un contratto o obblighi legali. La semplice raccolta di dati da fonti pubbliche o da rubriche condivise da terzi non basta a rendere il trattamento lecito, soprattutto quando si parla di dati sensibili o riconducibili a figure pubbliche, aziendali o istituzionali.
C’è solo un rischio privacy?
Quando queste informazioni vengono poi aggregate in veri e propri database paralleli, consultabili da chiunque paghi un abbonamento o utilizzi certe piattaforme, si apre uno scenario estremamente delicato: non solo si violano i diritti alla privacy dei cittadini, ma si espone il Paese a un potenziale rischio per la sicurezza nazionale. Avere accesso in modo incontrollato a contatti diretti di ministri, magistrati, forze dell’ordine o dirigenti strategici può agevolare attività di phishing mirato, truffe informatiche, tentativi di manipolazione o addirittura attacchi di ingegneria sociale su larga scala.
La prima istituzione che ha avvisato è stata quindi l’Agenzia per la Cybersicurezza? Come mai non ha utilizzato lo sportello telematico, canale ufficiale per questo tipo di segnalazione?
Sì, ho cercato innanzitutto di avvisare l’Agenzia per la Cybersicurezza Nazionale, ma non ho utilizzato lo sportello telematico ufficiale per una ragione molto semplice: ritenevo che una segnalazione inviata tramite una casella generica come info@ o la semplice compilazione di un form online potesse passare del tutto inosservata. Per questo ho deciso di contattare direttamente i vertici dell’Agenzia telefonicamente. Tuttavia, la mia chiamata è stata inizialmente accolta con scetticismo: sono stato preso per un burlone e alcuni interlocutori erano convinti che fossi riuscito a ottenere i loro contatti perché conoscevo amici comuni. In alcuni casi, sono stato persino bloccato.
Poi cosa è successo?
Nonostante ciò, ho continuato a inviare email, sia a indirizzi personali che istituzionali, cercando in ogni modo di far comprendere la gravità della situazione. Con mio grande sconcerto, ho constatato un atteggiamento poco professionale e quasi superficiale, che ha di fatto abbassato le barriere minime di sicurezza che ci si aspetterebbe da un ente deputato alla difesa cibernetica del Paese. È un episodio che, più di ogni parola, dimostra quanto ci sia ancora da fare in termini di cultura della sicurezza informatica.
Dunque come riassumerebbe l’interlocuzione avvenuta con l’Acn?
Disastrosa. Non trovo altro modo per definire l’interlocuzione avuta con l’Agenzia per la Cybersicurezza Nazionale. Mi sarei aspettato una reazione pronta, competente e strutturata di fronte a una segnalazione tanto delicata, invece ho trovato superficialità, incredulità e addirittura chiusura. Per descrivere la situazione, mi rifaccio alle parole del procuratore Nicola Gratteri, che in più occasioni ha denunciato pubblicamente la vulnerabilità dei nostri sistemi: “La nostra sicurezza e le nostre reti fanno acqua da tutte le parti”. Purtroppo, ho avuto modo di verificarlo in prima persona. L’Agenzia ha dimostrato non solo di non avere protocolli efficaci per affrontare tempestivamente segnalazioni anomale, ma anche di sottovalutare il rischio sistemico che può derivare da fughe di dati di questo tipo.
La Polizia postale si è attivata (anche) dopo la sua segnalazione alla Cia o la Polizia postale si è mossa in autonomia o dopo una sua segnalazione?
La Polizia Postale si è attivata su entrambe le questioni. Dopo le mie segnalazioni, sono stato contattato direttamente dalla Dott.ssa Claudia Lofino, su disposizione del Dott. Ivano Gabrielli. Devo dire che, a differenza di altre istituzioni, hanno dimostrato subito attenzione e professionalità, attivandosi tempestivamente per approfondire la vicenda. È chiaro che i tempi burocratici in questi ambiti sono lunghi e complessi, ma posso affermare con convinzione di avere una stima assoluta per la Polizia Postale e per il grande lavoro che svolgono ogni giorno a tutela dei cittadini e della sicurezza digitale del Paese.
Al momento il fascicolo aperto dalla procura è senza indagati né ipotesi di reato. In quali tipi di reati si va incontro?
Premetto che non sono un magistrato, né un avvocato, tantomeno un agente di polizia. Tuttavia, alla luce della mia esperienza nel campo della sicurezza informatica e dei fatti emersi, posso ipotizzare che potrebbero configurarsi diverse fattispecie di reato. In particolare, potrebbero rientrare:
- Accesso abusivo a sistemi informatici o telematici (art. 615-ter c.p.), se i dati sono stati reperiti violando sistemi protetti;
- Trattamento illecito di dati personali (art. 167 del Codice Privacy), in caso di utilizzo o diffusione non autorizzata di dati sensibili;
- Frode informatica (art. 640-ter c.p.), se i dati sono stati usati per trarre un ingiusto profitto, ad esempio per compiere truffe o raggiri;
- Ricettazione (art. 648 c.p.), qualora le informazioni fossero state ottenute e successivamente vendute o condivise da soggetti consapevoli della provenienza illecita.
Ovviamente, sarà la magistratura a valutare nel merito, ma il quadro generale – specie se si considera la quantità e la natura dei dati coinvolti – lascia intendere la potenziale gravità della situazione.
