La procura di Bari ha aperto un’inchiesta sulla presunta violazione di dati bancari da parte di un ex dipendente (poi licenziato) della filiale di Intesa Sanpaolo di Bitonto, che avrebbe ‘spiato’ i conti correnti di migliaia di persone, tra cui quelli del presidente del consiglio Giorgia Meloni, della sorella Arianna e dell’ex compagno Andrea Giambruno. Si parla di oltre 7mila accessi abusivi tra il febbraio del 2022 e l’aprile del 2024, per cui l’uomo è stato licenziato ad agosto dopo un procedimento disciplinare. Al momento non è chiaro quali fossero le intenzioni del bancario e del suo monitoraggio con cadenza giornaliera: semplice ossessione? O qualcosa di più, magari per conto di terzi? “Dacci oggi il nostro dossieraggio quotidiano” ha ironizzato la premier sui social commentando la vicenda.
A neanche un anno di distanza dal caso del finanziere Pasquale Striano, al centro dell’inchiesta aperta dalla procura di Perugia per indagare su migliaia di presunti accessi illeciti a banche dati – con oltre 230mila file scaricati – si ritorna quindi a discutere di dossieraggi e fughe di dati. Fortune Italia ne ha parlato con Giuliano Tavaroli, già responsabile della sicurezza di Pirelli e Telecom, oggi a capo di una società che analizza i rischi operativi aziendali.
Prima il caso Striano, poi l’hacker della Garbatella che ha navigato per due anni nel sistema giudiziario italiano online, adesso il bancario di Bitonto. Cosa sta succedendo?
In estrema sintesi sta succedendo che il valore delle informazioni è cresciuto. Non vorrei scomodare il luogo comune per cui i dati e le informazioni sono il nuovo petrolio, ma è così. Allo stesso tempo però diventano sempre più accessibili, perché stiamo digitalizzando tutto. La trasformazione digitale porta grandi benefici in termini di velocità, di accesso alle informazioni e di semplificazione, ma se non ha in parallelo gli investimenti e le competenze necessarie a garantire il controllo di chi ha legittimo accesso a quei dati, ecco che si crea un nuovo mercato illecito con i fini più vari, che vanno dalla curiosità al ricatto. Sul dark web i dati bancari su personalità di primo piano hanno un certo valore. Pensiamoci un momento, stiamo andando verso la digitalizzazione anche dei dati sanitari: se non si metteranno in campo le risorse adeguate, immaginiamo cosa vorrà dire avere accesso a quelle informazioni, sapere ad esempio se un premier prende farmaci o meno…
Quanto è comune il furto di dati?
Non sappiamo quante persone di preciso abbiano accesso a una mole enorme di dati: al livello internazionale ci sono state moltissime fughe di dati, anche lì dove c’è una maggiore trasparenza nel comunicare gli incidenti. Se tanto mi dà tanto è assai probabile che il fenomeno sia esteso anche da noi, che tra l’altro siamo meno diligenti nelle comunicazioni. Inoltre, veniamo a conoscenza di questi eventi sempre a posteriori, quando interviene la magistratura, ma non sappiamo di preciso a quanto tempo prima risalgano le fughe. Il fenomeno del furto quindi è potenzialmente estesissimo, l’utilizzo per scopi illeciti di influenza o ricatto voglio sperare invece sia molto limitato e in ogni caso dobbiamo imparare a circoscriverlo. Il rischio non si può portare a zero, ma bisogna avere un sistema di controlli adeguati per intervenire il più velocemente possibile.
Le banche dati sembrano il regno perfetto per chi vuole creare dossier e poi utilizzarli per ricattare. Come si fa a scongiurare il caso del funzionario infedele?
Dobbiamo progettare bene i nostri sistemi. La mia impressione, facendo questo di mestiere, è che il mercato vinca sulla progettazione: spesso si tende ad essere precipitosi per agire prima dei concorrenti, rimandando a un secondo momento la risoluzione di alcuni problemi importanti. La vera questione è sempre il costo della sicurezza. Nel caso del bancario l’ipotesi della semplice curiosità secondo me non sta in piedi e propenderei per credere a un interesse economico associato a questa sua attività. Poi mi domando: è normale che un dipendente di una banca di Bitonto possa accedere ai conti di clienti che non sono della sua filiale? C’è qualcosa che non funziona nella gestione delle deleghe associate ad alcuni ruoli. Per la sicurezza deve essere fatto di più, in termini di persone, tempo e attenzione. Gli allarmi dovrebbero essere più immediati. Pensiamo ai numeri del caso Striano: sono impressionanti ed è assurdo che non si sia accesa da nessuna parte una qualche luce rossa per segnalare cosa stava facendo. È una questione di prevenzione, che investe anche la formazione dei dipendenti delle aziende.
A proposito di aziende, spesso sono loro gli obiettivi principali degli hacker, che agiscono per chiedere un riscatto…
Esatto, noi siamo uno dei Paesi più colpiti in Europa da questo fenomeno, essenzialmente perché non spendiamo abbastanza in cybersecurity. È evidente che in Italia il furto di informazioni alle aziende sia molto diffuso (e in larga parte sommerso, perché spesso non viene denunciato). Questo succede anche perché la nostra struttura industriale è fatta per lo più di piccole e medie imprese, che hanno a disposizione poche risorse e sono per questo più vulnerabili. Trovare un bravo esperto di cybersecurity nel nostro Paese può essere complicato, specie se ci si sposta in provincia. Il problema è che questa è una guerra basata sulle conoscenze e sulle competenze, per cui, lo ripeto, occorre investire sulla formazione del personale delle aziende e degli specialisti. Pochissimi giovani però scelgono di specializzarsi nel mondo della tecnologia e questo è un problema per il futuro.
