Le migliaia di fascicoli e dati trafugati dai database dello Stato rappresentano una situazione “senza precedenti per la nostra democrazia visto il volume dei dati in gioco” dove “il fattore umano ha dimostrato di essere ancora più incisivo rispetto a quello tecnologico, anche a questi livelli”. A dirlo all’Adnkronos è Stefano Traverso, co-fondatore e capo strategia innovazione di Ermes Cyber Security, azienda torinese specializzata nel prevenire minacce nell’ambito della cyber sicurezza. Un episodio che ha mostrato come l’intero sistema Paese sia vulnerabile a questo tipo di attacchi. Su iniziativa dell’ex premier Mario Draghi era nata nel 2021 l’Agenzia per la cybersicurezza nazionale, un sistema che però “non è maturo per la messa in sicurezza dei sistemi dello Stato” secondo Traverso.
Ad essere violati sono stati i principali strumenti di censimento dei cittadini italiani: Serpico dell’Agenzia delle Entrate, gli archivi dell’Inps, il Sdi (il Sistema di indagine delle forze dell’ordine utilizzato per controllare i precedenti penali delle persone). Nel mirino anche Bankitalia, Bpm, il presidente del Senato Ignazio la Russa e suo figlio Geronimo e anche il cantautore Alex Britti. Le indagini hanno portato agli arresti di Carmine Gallo, vice dirigente della sezione per la criminalità organizzata della squadra mobile di Milano e amministratore delegato di Equalize, una delle società coinvolte negli accessi illegali, di Samuele Nunzio Calamucci, ingegnere dietro “Beyond”, il sistema tramite cui accedeva alle banche dati, Massimiliano Camponovo e Giulio Cornelli, titolari o soci di aziende specializzate nella sicurezza informatica. I quattro sono stati posti agli arresti domiciliari. Un’operazione senza precedenti che avrebbe permesso potenzialmente di attaccare qualsiasi cittadino.
Come è possibile orchestrare e mettere in atto un’operazione così capillare? Con una fitta rete di contatti e persone infiltrate così da ottenere l’accesso ai sistemi fisici, ma anche “attacchi mirati di social engineering” spiega Traverso. Sistemi che venivano contaminati tramite l’inserimento nella macchina di un Rat – Remote Access Trojan -. Si tratta di un malware che una volta installato su di un dispositivo, che in questo caso può essere quello che da accesso ai database, permette all’attaccante di penetrarlo non lasciando tracce. Per riuscire a installare un trojan di questo tipo su di un server le ipotesi sono due: non ci sono meccanismi di difesa adeguati o ci sono infiltrati. Secondo il co-fondatore di Ermes, per ottenere l’accesso “si possono mettere in campo azioni di phishing o social engineering, facendo credere all’utente che qualche app necessiti di un aggiornamento e così si installa il rat”. È anche possibile che “abbiano convinto un loro uomo a installare il trojan su quel server o che l’abbiano indotto tramite altri mezzi” spiega. Perché per un server di quella criticità venire hackerato significa essere collegato con l’esterno in qualche modo, quando solitamente girano su reti parallele.
“Credo che questa organizzazione dovesse per forza avere contatti interni che gli hanno permesso di bypassare le misure di sicurezza” dice Traverso. Le figure con queste competenze e che possono agire questo livello non sono molte, una nicchia all’interno di una settore già ristretto. Ed è necessario anche un budget non da poco, per fornire un’infrastruttura solida, i mezzi necessari, pagare i professionisti che seguono il programma ed eventuali intermediari. I dati trafugati vanno recuperati e cancellati, auspicando non siano già stati venduti a terzi perché “una volta che il dato è fuoriuscito non c’è più controllo” sottolinea l’esperto. Quanto accaduto “ha acceso i riflettori su un problema che speravo non avessimo come Paese” e su un aspetto che viene spesso sottovalutato, il fattore umano. Un elemento che ha dimostrato di essere ancora più incisivo a livelli che dovrebbero essere sigillati.
