Il 13 novembre 2023 la cybergang Alpha Team ha bucato il portale di Federprivacy e anche i suoi social network. Per molti è stato un momento di stupore, per altri l’ennesimo incidente ai danni di un’organizzazione che, più di altre, avrebbe dovuto tutelare i dati personali in modo corretto.
Una, cento, mille, di queste aziende…
Forse AlphaTeam ha ragione quando scrive:
Noi dimostriamo che chi si occupa di vendere o promuovere beni o servizi per la sicurezza dei dati non protegge a sua volta i dati che ha in custodia da altri e questo è grave, perché un associazione come Federprivacy raccoglie molte decine di migliaia di euro ogni anno dagli iscritti e non può non proteggere i loro dati investendo un po di quel denaro nella sicurezza che tanto declamano proponendo i loro servizi?
È una riflessione che riguarda molte aziende italiane che da anni continuano a fregiarsi di parole come privacy, GDPR, accountability ma quando poi si entra nel merito dei loro sistemi, delle loro soluzioni software, dei loro apparati hardware, si scopre un mondo a dir poco scellerato. Ci sono ASL che non proteggono i dati particolari, ambulatori che non notificano gli attacchi hacker, studi legali che inventano concorsi premio, aziende di sicurezza informatica che adottano password come “casamia“, perché tanto sono convinte che nessuno andrà a questionarle.
Tra finzione e realtà
Ecco, questo è il problema culturale che da anni si cerca di portare alla luce. Personalmente, nelle mie attività di consulente e docente, provo a sensibilizzare studenti, clienti, fornitori e devo ammettere che i più ricettivi sono gli studenti mentre i meno ricettivi sono strutture che quotidianamente lavorano in ambito sicurezza. È un continuo gioco tra “apparenza” e “realtà dei fatti”, tra “finzione” e “verità”: ci sono aziende di sicurezza informatica che detengono dati in modo assolutamente non sicuro, aziende di gestione documentale che sviluppano gestionali con codice obsoleto e framework scaduti. Però tutte queste realtà hanno una cosa in comune: splendidi post su LinkedIn, importanti avvisi su Facebook, imponenti riunioni istituzionali, con interviste, video e canali YouTube pieni di sorrisi e strette di mano. Sono fenomeni così tanto acclarati che la loro visione risulta ormai stoppacciosa a chi mastica di internet e di protezione dei dati personali; eppure sono sempre lì e sopravvivono a detrimento dei consulenti, delle aziende, delle organizzazioni che invece fanno bene il loro lavoro.
La singola azienda non è il problema: è solo una conseguenza. La conseguenza della mancanza di cultura in ambito sicurezza, protezione e gestione dati personali che attanaglia questo Paese da ben prima del GDPR. Da quando compilare l’ormai sconosciuto DPS (Documento Programmatico sulla Sicurezza) era una procedura “noiosa”, “inutile” e che si risolveva spesso copiando da modelli già fatti o chiedendo al fornitore di produrne uno utilizzabile.
Infine, a chi acclama a gran voce l’intervento del Garante sulla Protezione dei Dati ricordo che questa stessa autorità corre quotidianamente il rischio di essere compromessa da alcune espressioni della politica nostrana (basti fare riferimento al caso Meta). Fare pressioni da parte della politica perché una sanzione non venga comminata, perché un provvedimento non venga scritto, perché la sospensione di un servizio venga ritirato, è un atto semplicemente deplorevole ed è una reazione culturale inadatta ad una gestione responsabile dei dati personali. Il problema culturale è più esteso di quanto si pensi, è un malcostume che ha radici antiche e ben radicate.
Addendum dell’autore
Qualche giorno fa, Federprivacy ha fatto circolare una nota ai propri utenti. Nella nota si comunica il data breach ma nella nota si comunicano in chiaro anche email, nome, username, password dell’utente. Una pratica ormai abbandonata da tempo, che certo chiarisce in merito alla cultura del dato in Federprivacy.
Tra l’altro dopo il furto dei dati, il gruppo AlphaTeam aveva dichiarato inizialmente di non voler pubblicare i dati per non danneggiare gli utenti di Federprivacy ma proprio qualche ora fa (28/11/2023) ha deciso di pubblicare circa 15 gigabyte di dati.
