Tecnologia

Le password di 91 parlamentari nel dark web: il vizio di iscriversi (pure ai siti di incontri) con la mail istituzionale

Iscriversi ad un sito di incontri con la mail istituzionale: ecco il senso dei parlamentari italiani per la sicurezza informatica. Neppure il furto della posta elettronica nello staff di Hillary Clinton, nel 2016, è servito da lezione. Secondo un rapporto firmato dalla fondazione Proton con Constella Intelligence, nel dark web si trovano mail ufficiali e password di 91 parlamentari italiani. Come sono finite nel lato oscura della rete? Semplice: 73 onorevoli e 18 senatori si sono registrati su altri siti usando l’indirizzo di posta della Camera e di Palazzo Madama. Problema: quei servizi sono stati violati da criminali che hanno dato in pasto i dati al dark web. Tra i siti hackerati, in passato, ci sono Linkedin, Adobe, Dropbox, Dailymotion, ma anche app di incontri in stile Badoo. Risultato: 195 password (188 in chiaro) di parlamentari italiani galleggiano nel dark web, a disposizione dei naviganti, mentre le email sono state diffuse 402 volte. Proton ha contattato i politici coinvolti incoraggiandoli ad aggiornare i dati di accesso e le password: nessuna risposta è pervenuta.

I rischi e gli attacchi alle istituzioni – Eppure, il pericolo è concreto e tangibile, a sentire gli esperti: se il servizio violato include una carta per i pagamenti, aleggia la minaccia della frode finanziaria. Oppure il furto d’identità: con le credenziali rubate chiunque può accedere al servizio e spacciarsi come il proprietario dell’account. E se il politico è registrato ad un servizio di incontri romantici, alle minacce digitali si aggiunge il ricatto: una persona comune può perdere la famiglia, un onorevole la libertà di coscienza.

Parlamentari e agenzie governative italiane sono già nel mirino. Nel maggio 2022, il gruppo pro-Russia Killnet ha rivendicato gli attacchi DDoS sui siti web del parlamento italiano, delle forze armate, dell’Istituto Nazionale di Salute e di altre agenzie governative. Maria Elisabetta Alberti Casellati, presidente del Senato al tempo di Mario Draghi a palazzo Chigi, invitò tutti alla prudenza: “Si tratta di episodi gravi, che non vanno sottovalutati. Continueremo a tenere alta la guardia”.

Nell’agosto 2023, il gruppo pro-Russia NoName057(16) si è attribuito la responsabilità di attacchi DDoS contro almeno 5 banche italiane, inclusa Intesa Sanpaolo, il più grande istituto italiano. Con questo genere di attacco, i siti web son travolti da traffico “spazzatura” per renderli inutilizzabili. In un post su Telegram, il gruppo se la prendeva con l’Italia per aver riconosciuto l’Holodomor come “genocidio del popolo ucraino”. “Ricordiamo ancora una volta alle autorità italiane russofobe che tali azioni non passeranno inosservate”, scrissero i criminali in chat. Nel maggio 2024, nuovi attacchi firmati dalla stessa organizzazione filorussa: colpiti i profili social e i siti web di Giorgia Meloni, dei ministeri delle Infrastrutture e delle Imprese. In tutti questi casi, nessuna interruzione significativa del servizio. Ma sottovalutare la minaccia cyber può costare caro.

L’esca del phishing, la classe dirigente impreparata – William Nonnis, analista per la digitalizzazione e innovazione alla Presidenza del Consiglio, osserva due punti. Il primo è la vulnerabilità dei servizi violati, senza proteggere le password con sistemi crittografici all’altezza. Il secondo è l’impreparazione della classe dirigente. Dunque, l’élite è pronta al salto digitale? “Ad oggi no, mentre le infrastrutture informatiche sono in continuo attacco e spesso hanno falle importanti come la memorizzazione delle password in chiaro”. Secondo Nonnis, altro che Dropbox, “la classe dirigente dovrebbe utilizzare un sistema di comunicazione proprietario dove poter interagire e scambiare documenti”. Ergo: la via maestra per la sicurezza informatica è la sovranità digitale con tecnologie made in Italy. Ma la prudenza e la formazione dei lavoratori è al primo posto.

L’era del criminale a caccia di vulnerabilità e punti deboli è ormai alle spalle. Oggi buona parte degli attacchi informatici assumono la forma del phishing: una mail (o un sms) cuciti su misura del destinatario, per indurlo a premere su un link come in un tranello. Con il click si inietta il virus, oppure si apre un’altra pagina dove inserire le credenziali (username e password): così il gioco è fatto. Il “ladro” di dati avrà le chiavi d’accesso per entrare “in casa” e rubare l’argenteria. Il rischio per i 91 parlamentari con mail o password pubblicati nel dark web è questo: offrire un indirizzo al malintenzionato di turno, hacker russi o di qualsivoglia provenienza. Aperto il vaso di pandora della posta elettronica parlamentare, gli effetti sarebbero imprevedibili, con appendice di possibile ricatti e segreti di Stato violati.

Ma gli italiani non sono i peggiori. Nel dark web si trovano anche mail e password del 18% dei parlamentari francesi, due terzi (il 68%) dei colleghi inglesi e di quasi la metà (il 44%) degli europarlamentari. Eppure a Strasburgo gli appelli alla prudenza, contro gli attacchi informatici e le ingerenze di Russia e Cina, risuonano da tempo. Al punto da paventare, come in America, il divieto per i parlamentari di usare TikTok, il social made in China. Forse bisogna ripartire dalle basi, con i parlamentari: vietato iscriversi con le mail istituzionali.