Attualità

Gli hacker chiedono 500mila euro per non diffondere i dati rubati a Poste Italiane

Man with laptop computer on desk working in office with blank screen

di UMBERTO RAPETTO

Mentre gli esperti di sicurezza informatica stavano con il naso all’insù a caccia di stelle cadenti – augurandosi di poter esprimere il recondito desiderio di non essere più tormentati dagli hacker – i pirati informatici hanno approfittato delle notti di San Lorenzo e dintorni per combinare disastri. Una loro meteorite, sfuggita agli occhi attenti dei meccanismi di protezione tecnologica, ha centrato in pieno i sistemi elettronici di Postel, l’azienda del Gruppo Poste Italiane che assicura “la gestione di ogni comunicazione sui diversi canali, cartacei o digitali, garantendo soluzioni integrate, efficienti e rispondenti alle concrete e operative esigenze del cliente, contenendo tempo e denaro”. Parliamo – in parole povere – del forziere in cui sono contenute informazioni su una sterminata platea di potenziali clienti, informazioni talmente appetibili che oltre 4mila imprese hanno ritenuto motivo valido per affidarsi a Postel.

Una banda di criminali che va sotto il nome di “Medusa” – infischiandosene della agguerrita Agenzia per la Cybersicurezza Nazionale che presidia l’Italia digitale – ha aggredito i computer di Postel con una manovra a tenaglia, tagliando la recinzione virtuale e guadagnando un accesso indebito ad archivi e documentazione raggiungibile da remoto. Da quel che è dato capire hanno proceduto ad un massiccio download di quel che era disponibile e hanno provveduto a crittografare i file che erano memorizzati sui server appena “arrembati”. Ci si trova dinanzi all’ennesimo episodio di “ransomware”, quello speciale virus hi-tech che abbina alla malefatta la richiesta di denaro come riscatto, somma che in questo caso ammonta a 500mila dollari.

L’estorsione è conseguente alla cifratura fraudolenta di dati – che senza le “chiavi” non sono più utilizzabili – e alla minaccia di divulgazione di quel che è stato “rapinato”. Questo genere di azione delinquenziale è sempre più diffusa e la matrice è prevalentemente russa e rientra nelle attività “State Sponsored”, ovvero promosse e agevolate da Governi che sfruttano questi attacchi per mettere in difficoltà organizzazioni pubbliche e provate e straniere. Putin – mutuando le “lettere di corsa” con cui i Reali d’Inghilterra autorizzavano le scorrerie per mare in danno ai vascelli battenti bandiera ostile o comunque non alleata – ha trasformato i “pirati” in “corsari”. A fronte della garanzia di impunità per i reati informatici commessi, i criminali giurano fedeltà al Cremlino e offrono i loro servigi non appena arriva un eventuale input da “Zar Vlad”.

L’entità del saccheggio non è nota, ma Poste Italiane rassicurano la collettività segnalando che i predoni si sarebbero impossessati esclusivamente di dati interni e non dei dettagliatissimi schedari contenenti le informazioni normalmente cedute per finalità di marketing alle imprese clienti di Postel. Se la spiegazione tranquillizza (o almeno si spera) il quisque de populo, difficile immaginare la serenità delle persone cui potrebbero riferirsi i “dati interni”. Il cosiddetto “data breach” riguarda forse il patrimonio di notizie in possesso delle articolazioni che gestiscono le “Risorse Umane”? La violazione non sarebbe meno grave, anzi. Infatti il “bottino” nelle mani dei banditi che minacciano di renderlo pubblico potrebbe riguardare le informazioni specifiche di chi lavora per Postel e, a voler far mente locale, non si tratterebbe di roba da poco.

I “file” dei dipendenti contengono, infatti, la storia individuale di chi presta servizio e includono il suo stato di salute, l’iscrizione a questo o quel sindacato, l’aver fruito magari di permessi correlati a problemi gravi di un famigliare (si pensi alla legge 104), il reddito e le relative trattenute e posizioni debitorie… L’azienda ha avuto 72 ore per fare la comunicazione all’Autorità Garante per la Protezione dei Dati Personali prevista dal Regolamento Europeo in materia di privacy. Sarà il Garante ad accertare se le cautele adottate per scongiurare incidenti di questo genere erano conformi alle prescrizioni stabilite dalla legge.

In caso le “macchine” non fossero difese (adeguatamente o no, poco importa) non si configurerebbe nemmeno il reato in capo agli aggressori digitali: il nostro codice penale pone come condizione basilare che la condotta criminale sia stata portata a termine nei confronti di “sistemi informatici protetti da misure di sicurezza”… Se così fosse, qualcuno dovrà rispondere della mancata adozione delle necessarie precauzioni tecniche ed organizzative. Dopo il danno, la beffa…