Su una cosa rispetto al cyber attacco che da sabato sta paralizzando la Regione Lazio gli esperti informatici italiani sono concordi: «Non è ancora il tempo di temere per i propri dati sensibili. Al momento il solo rischio che corrono i cittadini è incappare in dei disservizi». Certo, un aspetto non da poco, considerando che i disservizi in questione riguardano il sistema di prenotazione delle vaccinazioni anti-Covid e quello delle visite mediche, ma che non attengono alla nostra privacy. 

«Da questo punto di vista è inutile fare allarmismo, per ora il rischio è quasi nullo» spiega Corrado Giustozzi, docente e decano degli esperti di cyber security italiani. «Anche perché - continua l’accademico - non sappiamo se sono stati esfiltrati (cioè sottratti ndr) o meno dei dati». Il tipo di software malevolo che ha colpito la Regione «cifra le informazioni, le blocca, ma non è detto che le sottragga. Lo appureranno le indagini oppure se vedremo comparire quel pacchetto di dati sul Dark web». Cioè se le informazioni finiranno in vendita sulla rete. 

Il dark web

«Solitamente questi attacchi si svolgono in due fasi - racconta infatti Riccardo Meggiato, esperto di sicurezza informatica e consulente forense - Prima i criminali bloccano i database e chiedono un riscatto in cambio della chiave necessaria per sbloccarli, se poi non paghi minacciano di cancellarli o di pubblicare le informazioni». Tuttavia per ora la Regione smentisce di aver ricevuto richieste di denaro e ad un primo sguardo sul Dark web dei dati laziali non vi è traccia. Potenzialmente però, potrebbero presto fare la propria comparsa su qualche bacheca digitale. «Poi possono essere usati per perpetrare altri attacchi informatici - dice ancora Meggiato - per il phishing o anche per campagne di marketing mirato molto profittevoli, perché questi blocchi di dati vengono venduti a tante aziende diverse». 

«Prima di fare un bilancio però - aggiunge invece Stefano Fratepietro, anche lui esperto di cyber security e volto noto del settore - bisognerebbe sapere di quali dati sono entrati in possesso e ci vorranno giorni per capirlo così come per definire la portata dell’attacco. Se come sembra si tratta solo delle informazioni per utilizzare il servizio di prenotazione, vuol dire che probabilmente hanno in mano nome, cognome, codice fiscale, email, data della vaccinazione e tipo di vaccino ricevuto». Dati tutto sommato «non rilevanti per il mercato» dice ancora, a meno che questi, «una volta nei server della Regione non fossero stati arricchiti con altre informazioni come il fascicolo sanitario. A quel punto le cose cambierebbero perché potrebbero essere associati a documenti di riconoscimento». Come spiega Giustozzi d’altronde «anche se è davvero improbabile che accada, non si può escludere nulla. E quindi quei dati sanitari magari, potrebbero essere venduti alle case farmaceutiche». Ma l’operazione messa in piedi contro la Regione «è davvero troppo articolata per pensare che dietro ci sia questo ragionamento» conclude. 

D’altro canto però, stando alle parole dell’assessore alla Sanità laziale Alessio D’Amato, la Regione «ha in mano un plafond di prenotazioni da smaltire fino al 13 agosto - ragiona Meggiato - per cui i problemi sono solo con le nuove vaccinazioni e quindi immagino sia stata colpita la rete dei nuovi dati e non quelli vecchi. Se confermata, sarebbe un’ottima notizia». In altre parole, ora «bisogna solo attendere le indagini» e intanto «riflettere» sull’importanza dei sistemi di sicurezza informatica. Un tema che a livello giuridico abbiamo iniziato ad affrontare da poco. «Solo da alcuni anni a questa parte - spiega Paolo Galdieri docente di diritto penale dell’informatica - prima a livello Ue e poi nazionale si è capito che tocca tutelare le reti e infrastrutture critiche a 360 gradi. E che quindi bisogna garantire degli standard alti in tutti i sistemi, anche quelli privati perché ognuno di questi può essere una porta d’accesso per accedere al settore pubblico».

Non a caso, proprio questa è una delle piste seguite dagli inquirenti. «Potrebbe trattarsi di un attacco alla supply chain - conclude Meggiato - anziché attaccare il mio obiettivo attacco un suo fornitore che, spesso ha un accesso privilegiato alla rete pubblica». Solitamente sono gli attacchi più difficili da contrastare, perché meno identificabili all’inizio e quindi più estesi.