Sommario
Negli ultimi giorni, si è diffusa la notizia secondo cui i dati delle più alte cariche italiane — o perlomeno una parte di essi — sarebbero reperibili online in archivi gratuiti. Una vicenda che, a prima vista, evoca scenari di massicce vulnerabilità strutturali e traffico di informazioni riservate. Tuttavia, la realtà risulta più sfumata e, come spesso accade, la politica ne ha approfittato, alimentando un clamore che rischia di offuscare i contenuti tecnici della questione su cui Matrice Digitale propone sempre l’alternativa a chi vuole comprendere il mondo della cybersecurity.
La denuncia dell’esperto
La storia inizia quando Andrea Mavilla, un esperto di cyber security, dichiara di aver individuato un database online contenente una grande quantità di contatti istituzionali — numeri di telefono e indirizzi e-mail relativi a figure o uffici governativi. Una scoperta che, a prima vista, suscita allarme: si tratta di dati potenzialmente “sensibili”, che potrebbero offrire ai malintenzionati uno strumento utile per attacchi di phishing o social engineering. Da qui, il passaggio mediatico è breve: i media e la politica si accendono, coinvolgendo anche l’Agenzia Nazionale per la Cyber Sicurezza (ACN), che diventa bersaglio di accuse per la presunta scarsa vigilanza.
La frattura nella comunità della Cybersicurezza
Tuttavia, alcuni ricercatori e addetti ai lavori sostengono che la maggior parte di quei contatti provenga da un archivio B2B commerciale, o siano in buona parte già disponibili su fonti pubbliche. In altre parole, si tratterebbe di dati “accessibili” anche senza violare sistemi governativi o intelligence. È qui che si crea la frattura fra due posizioni:
- La narrazione allarmistica, secondo cui i database dei contatti dell’apparato di sicurezza italiano sarebbero “in chiaro” e immediatamente sfruttabili da cyber criminali.
- L’interpretazione ridimensionante, in cui il presunto “leak” coincide con un archivio B2B (o con informazioni raccolte da elenchi pubblici), comprendente sì qualche contatto più delicato, ma senza configurare un “furto” su vasta scala di dati classificati.
Questa spaccatura nel mondo della sicurezza informatica diventa ancora più evidente se si guarda al ruolo dell’ACN. L’Agenzia, accusata da alcuni di aver “ignorato” la segnalazione di Mavilla o di aver reagito in modo “superficiale”, si trova al centro di una polemica politica. La comunicazione istituzionale, definita da più parti “pessima” o “infelice”, ha contribuito ad alimentare la percezione di inadeguatezza. In sostanza, l’ACN avrebbe bollato l’allarme come “bufala” (o comunque lo avrebbe sottovalutato) senza prima condurre una verifica tecnica esaustiva. In un clima politico caldo, la vicenda è stata immediatamente sfruttata per sferrare attacchi contro l’Agenzia stessa e ipotizzare scenari di rinnovamento ai suoi vertici.
Garante Privacy chiede a Lusha informazioni
Il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni a Lusha Systems Inc, società statunitense che offre alle aziende indirizzi e-mail e numeri di telefono “arricchiti”. La piattaforma, accessibile anche dall’Italia, fornisce servizi a chiunque vi si colleghi e contiene dati di persone italiane, come emerso da segnalazioni all’Autorità che lamentano chiamate promozionali indesiderate. L’Autorità, considerati i rischi per chi vive in Italia, ha chiesto a Lusha di specificare quanti dati di cittadini italiani vengano trattati, chiarire le modalità di raccolta e fornire maggiori dettagli sulle fonti del proprio database. Inoltre, dovrà chiarire se tratta dati di utenti che non usano la piattaforma e, per indirizzi e-mail e numeri di telefono, indicare come vengono acquisiti, se esiste un consenso per comunicazioni commerciali e a quali finalità corrispondono i dati forniti. Da gennaio 2025, l’Autorità ha già sanzionato agenzie immobiliari che usavano numeri telefonici ottenuti da un servizio simile a quello gestito da Lusha, evidenziando l’attenzione costante su questo fenomeno.
Come funzionano gli aggregatori di dati B2B?
L’articolo pubblicato su On Cyber Security da Emanuele De Lucia esamina in dettaglio le metodologie con cui le piattaforme di lead generation reperiscono ed elaborano i dati personali di potenziali clienti. L’autore descrive in che modo pratiche come il web scraping consentano di raccogliere informazioni su larga scala mediante crawler e parser HTML, illustrando altresì il funzionamento delle API di terze parti, fondamentali per accedere a dataset di social media, motori di ricerca e altre applicazioni online. Particolare rilievo viene dato alla gestione dei cookie di prima e terza parte, sottolineando come la loro evoluzione e la limitazione graduale imposta dai principali browser rendano necessarie tecniche alternative di tracciamento come il browser fingerprinting, in grado di identificare un utente a prescindere dalla presenza dei cookie.
De Lucia analizza inoltre l’utilizzo di identificatori mobili quali IDFA e GAID, spiegando come i dispositivi iOS e Android permettano di tracciare in modo mirato le attività degli utenti, sebbene nuove norme sulla privacy (ad esempio l’App Tracking Transparency) ne stiano riducendo l’efficacia. Emanuele de Lucia ha evidenziato infine il ruolo del GDPR nel disciplinare la raccolta e l’utilizzo dei dati all’interno dell’Unione Europea, sottolineando l’importanza di garantire il consenso informato e di adottare una gestione etica delle informazioni, in equilibrio fra opportunità di business e tutela dei diritti individuali.
Matteo Renzi ci riprova
Non a caso, Matteo Renzi ha rilanciato l’idea, già circolata da tempo, di Nicola Gratteri come possibile nuova guida dell’ACN. Una proposta in parte anticipata come suggestione da Matrice Digitale, che vede nell’eventuale nomina del magistrato un modo per rimodellare l’Agenzia su basi più “giustizialiste”, magari più vicine a certe posizioni politiche visto che il leader di Italia Viva sta insistendo sulla figura del Procuratore di Napoli fortemente imbarazzato da questo endorsment. A prescindere dalla reale fattibilità, è chiaro che il dibattito si è spostato su un piano squisitamente politico, mentre la questione tecnico-forense — capire se vi sia stata una reale compromissione e a quali dati si possa accedere — passa in secondo piano. Il pallino della cybersecurity di Renzi, Matrice Digitale lo ha raccontato a suo tempo in solitudine quando scoppio lo scandalo RussiaGate negli USA con le mire del leader di Italia Viva per ottenere il controllo sull’intelligence italiana.
Dati di italiani di serie A e Serie B
Va poi detto che l’allarme sui “dati italiani in rete” è tutt’altro che nuovo. Da un paio di decenni si susseguono episodi di presunte o effettive fughe di dati, inclusi leak di natura sanitaria, finanziaria e persino militare. Il fenomeno va inquadrato in un contesto globale in cui, a causa dell’aumento delle superfici di attacco e della digitalizzazione pervasiva, diventa quasi fisiologico che informazioni pubbliche, semipubbliche o addirittura interne possano circolare su canali non ufficiali. Ciò non toglie che spetti alle istituzioni — ACN in testa — dimostrare reattività e chiarezza, indagando e informando con precisione il pubblico sulla reale portata dei rischi.
Concretamente, spetta ora alla Polizia Postale e, in generale, alle autorità investigative come il Garante della Privacy, fare luce su dove e come si collochino i contatti scoperti. Se davvero vi siano “spruzzi” di dati più riservati che andrebbero protetti in modo più rigido. Se la fonte primaria è, come sembra, un database commerciale, allora la “colpa” potrebbe non essere un “buco” informatico nelle intelligence, ma una gestione disinvolta dei dati da parte di fornitori esterni.
L’ACN è una gallina dalle uova d’oro
Al netto dei dettagli tecnici, il risvolto politico è evidente: ogniqualvolta emerge un caso di data leak (o presunto tale), l’argomento si trasforma in una leva per mettere in discussione la governance della cybersicurezza nazionale. Una governance che, come affermano molte voci critiche, oscilla fra la volontà di centralizzare il controllo nelle mani dell’Agenzia e una carenza di comunicazione strategica che alimenta dietrologie e allarmismi. E quando, in aggiunta, si inserisce la proposta “Gratteri all’ACN”, diventa chiaro che la partita non riguarda meramente la protezione dei dati, bensì la direzione politica da imprimere alla gestione della sicurezza informatica in Italia che oggi rappresenta il coacervo di interessi tutt’altro che di scarso rilievo.
In definitiva, è troppo presto per stabilire se siamo di fronte a un macro-leak altamente pericoloso o a un normale episodio di pubblicazione di archivi contact-based. Di certo, l’episodio rivela una volta di più che la cybersecurity nostrana subisce costanti interferenze politiche, e che, prima di fornire risposte solide e pacate, ciascun attore ha interesse a sfruttare mediaticamente la vicenda. Il tempo dirà se la verità tecnica riuscirà a prevalere sull’uso strumentale dei titoli di giornale che forniscono notizie non sempre conformi al clamore che suscitano.
