Il data breach che ha inte­res­sa­to il sito dell’INPS lo scor­so pri­mo apri­le — data nel­la qua­le mol­tis­si­mi uten­ti vi si sono col­le­ga­ti per richie­de­re bonus baby-sit­ter, cas­sa inte­gra­zio­ne e inden­ni­tà di 600 euro desti­na­ta ai lavo­ra­to­ri auto­no­mi pre­vi­sta dal decre­to Cura Ita­lia, e han­no visua­liz­za­to sen­za voler­lo pagi­ne con dati di altri uten­ti — è tut­to­ra ogget­to di accertamento. 

Il Pre­si­den­te Pasqua­le Tri­di­co ave­va par­la­to di ripe­tu­ti attac­chi hac­ker che, uni­ti ai mol­ti acces­si, con pic­chi di 30 doman­de al secon­do, avreb­be­ro por­ta­to il siste­ma a non reg­ge­re più. 

Non è però l’unica ipo­te­si avan­za­ta sul­la que­stio­ne: l’informatico e impren­di­to­re Mat­teo Flo­ra, inter­vi­sta­to da AGI, ha por­ta­to l’attenzione sul caching, ossia la gestio­ne del­la memo­ria tem­po­ra­nea che regi­stra dati e istru­zio­ni richie­sti con par­ti­co­la­re fre­quen­za da un pro­gram­ma per aumen­ta­re la velo­ci­tà di ela­bo­ra­zio­ne, come le pagi­ne più fre­quen­te­men­te richie­ste da un utente. 

Nel caso del sito INPS, ha spie­ga­to, è pro­ba­bi­le che «que­sto mec­ca­ni­smo sia sta­to pro­gram­ma­to inclu­den­do però anche le pagi­ne degli uten­ti, o per­lo­me­no del­le ses­sio­ni, auten­ti­ca­ti, che sono com­par­se sugli scher­mi del­le altre per­so­ne». Un’ipotesi con­di­vi­sa anche da David Puen­te su Open e da Lidia Barat­ta su Linkiesta.it.

La pos­si­bi­le respon­sa­bi­li­tà di que­sto mec­ca­ni­smo nel data breach è sta­ta segna­la­ta anche da Mar­co Paret­ti su Fanpage.it, il qua­le però ripor­ta anche l’eventualità di un erro­re nell’implementazione del Con­tent Deli­ve­ry Net­work, ser­vi­zio in cloud che per­met­te di ridur­re i tem­pi di cari­ca­men­to, rispar­mia­re la lar­ghez­za di ban­da e acce­le­ra­re i tem­pi di risposta.

Se fos­se un pro­ble­ma di cache, non sareb­be il pri­mo: un pre­ce­den­te famo­so è rap­pre­sen­ta­to dal­la piat­ta­for­ma di video­gio­chi Steam, che fu inte­res­sa­ta da una pro­ble­ma­ti­ca del gene­re nel dicem­bre 2015, in occa­sio­ne del lan­cio di gran­di offer­te nata­li­zie, come ripor­ta Wired UK, con un impat­to sui dati di cir­ca 34.000 utenti.

Qualunque sia la verità, si tratta di un evento che pone l’attenzione su un tema più generale: il rapporto tra informatica e Pubblica Amministrazione. 

Ogni ente pub­bli­co è dota­to di un pro­prio sito, anche i più pic­co­li muni­ci­pi, che potreb­be, poten­zial­men­te, rap­pre­sen­ta­re un otti­mo stru­men­to per velo­ciz­za­re alcu­ne pra­ti­che buro­cra­ti­che, spe­cial­men­te al tem­po di una pan­de­mia glo­ba­le e in quel­li appe­na suc­ces­si­vi, nei qua­li l’accesso agli uffi­ci comu­na­li è, ed è vero­si­mi­le che con­ti­nui a esse­re, estre­ma­men­te contingentato. 

In que­sto sce­na­rio l’utente fina­le deve affi­dar­si a un sito poten­do inter­ve­ni­re ben poco, a livel­lo indi­vi­dua­le, sul­la tute­la dei pro­pri dati. Sta all’istituzione affi­dar­si a pro­fes­sio­na­li­tà che per­met­ta­no alla piat­ta­for­ma di fun­zio­na­re in manie­ra effi­cien­te e sicu­ra. Tut­ta­via, i siti degli enti loca­li non sono sta­ti immu­ni, negli scor­si anni, a cam­pa­nel­li d’allarme: nel 2018, come ripor­ta­to da AGI, gli esper­ti di sicu­rez­za infor­ma­ti­ca e atti­vi­sti hac­ker del mes3hacklab di Mestre han­no con­dot­to un’indagine indi­pen­den­te per veri­fi­ca­re il livel­lo di aggior­na­men­to dei soft­ware su cui si basa­no le pagi­ne istituzionali. 

La ricer­ca ha pre­so in esa­me i tre Con­tent Mana­ge­ment System – piat­ta­for­me che con­sen­to­no ai web­ma­ster di gesti­re un sito sen­za cono­sce­re i lin­guag­gi di pro­gram­ma­zio­ne – più dif­fu­si, ossia Dru­pal, Joom­la e Word­Press, e ha con­dot­to una scan­sio­ne di tut­ti i domi­ni e sot­to­do­mi­ni di 7554 dei 7954 Comu­ni ita­lia­ni, per veri­fi­car­ne lo sta­to degli aggior­na­men­ti, neces­sa­ri per non ren­der­si vul­ne­ra­bi­li a even­tua­li attac­chi infor­ma­ti­ci. È emer­so che il 67% di que­sti domi­ni e sot­to­do­mi­ni non veni­va ana­liz­za­to da più di un anno.

Un pro­ble­ma inve­ce anco­ra recen­te riguar­da l’assenza, in mol­ti siti di Comu­ni capo­luo­go e di Pro­vin­ce ed enti affi­ni come le cit­tà metro­po­li­ta­ne, di pro­to­col­li di sicu­rez­za che per­met­ta­no di crit­to­gra­fa­re i dati che l’utente invia al sito. Su 225 por­ta­li ana­liz­za­ti, ben 122, ossia il 54%, era­no con­si­de­ra­ti non sicu­ri. Si può veri­fi­ca­re facil­men­te se la con­nes­sio­ne a un sito è pro­tet­ta su Goo­gle Chro­me, Safa­ri o su Fire­fox: se a sini­stra dell’URL appa­re un luc­chet­to, allo­ra i dati invia­ti al sito sono cifrati. 

L’assen­za di crit­to­gra­fia potreb­be por­ta­re, un doma­ni, a un attac­co così det­to “man-in-the-midd­le”, nei qua­li un uten­te malin­ten­zio­na­to inter­cet­ta i dati, come user­na­me e pas­sword, che potreb­be­ro dare acces­so a pagi­ne che con­ten­go­no dati sen­si­bi­li come indi­riz­zi, con­tat­ti e codi­ce fisca­le, e li sot­trae per uti­liz­zar­li a pro­prio piacimento.

Arti­co­lo scrit­to in col­la­bo­ra­zio­ne con Andrea Santaniello

Car­la Ludo­vi­ca Parisi

Lau­rean­da in Let­te­re Moder­ne dagli oriz­zon­ti non solo uma­ni­sti­ci. Amo la com­ples­si­tà, le sfi­de e i pro­ble­mi da risolvere.