NoiPA, grazie alla sua lunga esperienza, è stata riconosciuta da AgID come piattaforma immateriale fondamentale per la trasformazione digitale del Paese. Il sistema, infatti, garantisce le tecnologie più avanzate e mette a disposizione di PA e cittadini servizi digitali efficienti, innovativi e in continuo aggiornamento.
- Il mondo NoiPA è composto da:
- le amministrazioni che ad oggi hanno aderito a NoIPA.
- il personale che lavora presso le amministrazioni gestite.
- gli enti privati e i partner istituzionali che collaborano e interagiscono in varia misura con il sistema NoiPA.
Questa è la presentazione del sito che si occupa per conto dello Stato italiano i servizi digitali offerti ai suoi impiegati. Gli stessi italiani, dipendenti pubblici, che ad oggi usufruiscono della piattaforma, hanno compreso che la trasformazione digitale non è sufficiente senza una attività parallela di sicurezza informatica. Lo scandalo NoiPA ha oramai raggiunto dimensioni nazionali che vanno ben oltre l’organico in capo ad enti e strutture statali che già utilizzano la piattaforma, gocce nel mare di un paese per lo più analfabeta digitale. La notizia essenzialmente riguarda un attacco informatico di tipo phishing che ha consentito agli attaccanti di carpire delle informazioni utili per modificare degli iban dove si accreditavano gli stipendi della PA in loro favore.
Abbiamo già affrontato i casi di BEC che riguardano singoli privati, ma mai si immaginerebbe che la Pubblica Amministrazione possa essere colpita non tanto nei siti istituzionali, vittime più volte negli attacchi, ma nel pieno delle sue casseforti virtuali. Abbiamo chiesto a Salvatore Lombardo, esperto di sicurezza informatica per conto della Pubblica Amministrazione e autore del libro “La gestione della cybersecurity nella pubblica amministrazione” editore La Regina.
La Pubblica Amministrazione è sotto attacco, cosa è accaduto a NoiPA?
Non è stato un attacco. Come si legge dal recente comunicato pubblicato sul Portale NoiPa si è trattato piuttosto di phishing ai danni di un certo numero di utenze, alle quali sono state carpite le credenziali di accesso al sistema NoiPA. Questa attività fraudolenta ha consentito di modificare l’IBAN verso cui accreditare gli stipendi delle ignare vittime dirottando la transazione verso conti correnti fraudolenti. Il caso comunque è stato circoscritto e prontamente gestito anche grazie all’intervento della Polizia Postale.
Come è potuto accadere tutto questo?
Poiché è stato accertato che trattasi di phishing, le cose potrebbero essere andate così. Su NoiPa si può accedere in tre modalità, con Carta Nazionale Servizi (CNS), con SPID oppure con una coppia di credenziali, codice fiscale e password. In quest’ultimo caso, per impostare, sul proprio profilo personale, come opzione di verifica multi fattore la scelta di un numero di cellulare è necessario utilizzare un PIN dispositivo autorizzativo. È molto probabile allora che tramite tecniche di phishing, i criminali, siano venuti in possesso di questa terna (cf, psw e PIN) e accedendo nell’area riservata della vittima abbiano proceduto al cambio IBAN, tramite la funzione self service, utilizzando come multi fattore di verifica il numero di cellulare fraudolento impostato e certificato con il PIN dispositivo sottratto indebitamente.
Pare che questa falla derivi da una talpa, se non ci fosse stata, sarebbe stato possibile dall’esterno?
In questo caso non penso che ci siano state talpe. I manuali guida per gli utenti sono di pubblico dominio e scaricabili da internet. Le procedure di utilizzo del servizio sono facilmente reperibili e possono essere lette da chiunque, anche dai cyber criminali.
Cosa dovrebbe fare la Pubblica Amministrazione per tutelarsi?
Come per tutti, valgono le solite raccomandazioni contro le truffe online via phishing. Avere la massima riservatezza delle proprie credenziali, astenersi dall’aprire messaggi di posta elettronica di dubbia provenienza, prestare attenzione a fornire dati sensibili in risposta a richieste con falsi pretesti di assistenza o cose simili e denunciare prontamente ogni caso attraverso i canali messi a disposizione dalla Polizia Postale.
Visti i due comunicati emessi a distanza di un mese circa, come credi sia stata gestita la comunicazione dell’emergenza da parte della Pubblica Amministrazione?
Penso che sia stata formalmente corretta. Già a poche ore dall’accaduto la Sogei società che ha in conduzione il sistema NoiPA presso il MEF, tramite il proprio presidio aveva già monitorato l’evento inquadrandolo come attività di phishing ed assicurato a poche ore dall’accaduto che non erano stati riscontrati violazioni dirette del sito. Come ulteriore forma precauzionale gli amministratori di sistema hanno forzato, per tutti gli utenti, un cambio password per l’accesso al portale e sospeso la funzionalità self service illecitamente sfruttata dai cyber criminali. Inoltre, nell’ultimo comunicato si legge che NoiPA ha messo a disposizione di tutta l’utenza un indirizzo email antifrode da utilizzare in caso di eventuali attività fraudolente sospette.