La storia del data breach di Nexi, vera o falsa che sia, invita tutti a riflettere
I tredici archivi di dati personali apparsi sulla piattaforma di condivisione telematica Pastebin e attribuiti al circuito di carte di credito non si sa da dove saltino fuori. La loro genericità (non ci sono dati specifici che ne autentichino la provenienza) può lasciar presupporre che il presunto “data breach” non sia mai avvenuto, ma le dinamiche di diffida alla permanenza online dei file in questione e la soddisfazione nella pronta rimozione garantiscono una boccata d’aria agli immancabili complottisti.
Mentre gli intestatari di carte tremano al pensiero che qualcuno possa utilizzare indebitamente informazioni che li riguardino, l’intera collettività si pone una raffica di domande legittime per sapere cosa è davvero successo, per capire chi ha competenza a far luce sull’accaduto, per conoscere le eventuali contromisure da adottare dinanzi a potenziali rischi.
In un clima di così rarefatta incertezza, si può immaginare che ci sia stato (o non ci sia stato) un “data breach”, ovvero una forzatura del perimetro di misure di sicurezza che deve proteggere archivi di informazioni riservate. La conseguenza di simili azioni è l’acquisizione del contenuto dei database, acquisizione consistente in una banale copia e nel successivo indebito trasferimento di dati a soggetti non autorizzati e soprattutto pronti a farne un uso illecito. Parliamo in pratica di un furto, ma – trattandosi di file – al legittimo possessore non manca nulla e in questi casi ogni giustificazione è abbastanza agevole.
Il problema però resta, anche se chi è il presunto bersaglio rassicura il mondo negando serenamente che sia mai accaduto qualcosa. Il pubblico non crede a chi è sotto i riflettori, pensando all’oste che giura sulla bontà del suo vino. E allora, capito di “cosa” potrebbe trattarsi, dal sipario deve saltar fuori chi è abilitato a parlare. Non il sedicente bandito (ignoto), neppure l’immaginata vittima (Nexi) o ancor meno il distributore dello show (il sito Pastebin). Ci si aspetta una voce fuori campo (magari più d’una) che narri con terzietà ogni dettaglio della vicenda e che – in ossequio all’espressione dell’Amleto di da Shakespeare – dipani l’arcano “c’è stato o non c’è stato” il data breach.
In questo “teatro” esistono (o dovrebbero esistere e farsi sentire) più soggetti chiamati per ruolo istituzionale a fare chiarezza, a sedare gli animi comprensibilmente irrequieti e ad evitare le inevitabili ripercussioni che una simile notizia – anche infondata – sono destinate a manifestarsi sui mercati finanziari, sull’economia e tra la popolazione.
Senza fare elucubrazioni acrobatiche, vengono subito in mente almeno tre realtà istituzionali che dovrebbero essere sempre pronte a intervenire: due Autorità di Garanzia (per la protezione dei dati personali e per la tutela della libera concorrenza) e la Consob (ossia la Commissione nazionale per le Società e la Borsa).
Il primo compito di auspicabile loro competenza è certo quello di sincerarsi dell’accaduto mediante l’esercizio delle rispettive funzioni ispettive. Se il data breach c’è stato, non mancano gli strumenti per sanzionare chi non ha adottato le misure di sicurezza (circostanza che esclude le responsabilità del pirata informatico, ma ne ho già parlato in altre occasioni qui e qui) e per attivare ogni utile procedura di emergenza a salvaguardia dei cittadini le cui informazioni personali indebitamente fuoriuscite dagli archivi elettronici possono essere adoperate in modo illegale.
Se la notizia – rapidamente circolata sui diversi canali di informazione – è priva di fondamento, la missione si deve concentrare per comunicare con la massima tempestività l’irragionevolezza dell’allarme. La reazione istintiva della popolazione, infatti, è certo quella di prendere le distanze dall’azienda che si sarebbe fatta sottrarre dati riservati che possono compromettere la vita delle persone cui questi si riferiscono. La conseguenza potrebbe essere non soltanto un danno di immagine per l’azienda indicata come “trafitta” dagli hacker: è inevitabile che un simile clima si traduca in una istantanea perdita di valore di quell’impresa con nocumento anche per i cittadini che hanno investito i propri risparmi comprandone le azioni.
Tutto il resto sono chiacchiere, frutto di suggestioni e di sentito dire. Anche se le “ciance” sono sport nazionale, è venuto il momento di giocare una partita più seria. E’ in gioco il nostro futuro e circostanze come queste ci fanno capire che stiamo già perdendo due a zero.
Fonte: StartMag - Articolo di Umberto Rapetto