di Federico Marconi e Giorgio Saracino, vincitori nona edizione del Premio Morrione con la video inchiesta Ladri di dati
L’allarme ha suonato, e questa volta lo hanno sentito tutti. L’attacco informatico che facesse capire all’Italia quanto sono fragili le sue difese da cybercriminali e cyberterroristi è purtroppo avvenuto. La Regione Lazio, dalla scorsa settimana, è sotto attacco: un virus – un ransomware – è stato infiltrato nei suoi server e ha criptato tutte le informazioni presenti nel Centro di elaborazione dati. Un danno enorme per centinaia di migliaia di cittadini e un pericolo per la sicurezza nazionale: tra quelle informazioni sono presenti anche quelle del Capo dello Stato Sergio Mattarella, del Presidente del Consiglio Mario Draghi, e delle principali personalità istituzionali, politiche ed economiche del Paese. Tutte informazioni bloccate dagli aggressori informatici, che non permetteranno alla Regione di avere indietro i dati bloccati se non dietro il pagamento di un riscatto. Un sequestro a scopo di estorsione, con la vittima costretta a scendere a patti con il criminale: nel mondo cyber non c’è alternativa.
Quello che sulla stampa è stato definito «un attentato terroristico» o «il più grave attacco informatico mai subito dal nostro Paese», in realtà è stato un gioco da ragazzi per i pirati informatici: hanno sfruttato la debolezza dei sistemi di protezione delle reti e delle postazioni smartworking – che hanno un sistema di autenticazione a un solo fattore, username e password – per poi risalire nei server. Insomma, più che una tragedia, una tragicommedia se si considera anche che mancava una copia di sicurezza ben protetta delle informazioni bloccate.
Quando abbiamo proposto la video inchiesta “Ladri di dati” al Premio Roberto Morrione, non era ancora arrivata la pandemia, pochissime aziende lavoravano da remoto, e di cybersicurezza si sentiva parlare molto poco: sembrava un problema che non riguardava nessuno. Poi tutto è diventato più concreto, quando a essere attaccati sono stati ospedali e centri di ricerca, proprio quelli in cui si combatteva quotidianamente contro il virus, curando i malati o cercando la formula giusta per un vaccino.
Nei mesi in cui abbiamo lavorato a Ladri di dati abbiamo avuto la percezione di come mancasse un’adeguata consapevolezza dei rischi che possono derivare da questi tipi di attacchi. Le domande che ci ponevamo erano: perché mai degli hacker devono essere interessati a rubare i nostri dati personali? Che ci fanno? A chi servono? Una volta risposto a queste domande, ci siamo poi chiesti: quanto sono frequenti gli attacchi informatici? Noi, in Italia, siamo in grado di difenderci? Le aziende private si adeguano come possono, ma la pubblica amministrazione?
Una risposta che arriva in questi giorni. L’attacco informatico alla Regione Lazio sta facendo rendere conto ai più che non si tratta di un tema del futuro, o che vediamo solo nei film di fantascienza. È un problema del presente, forse addirittura del passato. Mettere in sicurezza i dati e cercare di prevenire – quando possibile – gli attacchi è ormai un’urgenza: perché, come ci ha detto un intervistato, «esistono due tipi di aziende, quelle che sono state attaccate e quelle che non lo sanno».
Oggi noi sappiamo che è avvenuto un attacco a un importante ente pubblico, perché chi ha attaccato ha criptato il sito, rendendo visibile la sua intrusione per chiedere un riscatto. Ma quante volte non succede, e rimane tutto nell’ombra? Quante volte le istituzioni e le aziende non vogliono rendere pubblico il tentativo riuscito di intrusione nella loro struttura per paura delle ripercussioni. È il caso dell’ospedale San Raffaele di Milano, che durante la pandemia ha ammesso di essere stato attaccato solo che gli stessi hacker avevano reso pubblico il tutto.
Tutto ciò insegna solo una cosa, che – come ci ha detto il dott. Francesco Modafferi del dipartimento di Sanità e ricerca del Garante della Privacy – «se la digitalizzazione dl Paese non è accompagnata da un’adeguata protezione rischiamo di farci un clamoroso autogol». Proprio quello che è accaduto con la regione Lazio.
