Nelle scorse settimane, oltre diecimila milanesi – come riportato dall’edizione lombarda di Repubblica e dal quotidiano on line Open – inizialmente risultati positivi al Covid e poi negativizzatisi, si sono ritrovati per molti giorni sprovvisti del Green Pass. Ciò è avvenuto ben oltre le 48 ore previste – a partire dal tampone negativo – per il rinnovo del lasciapassare verde, a causa di alcuni problemi legati alla trasmissione, inserimento e aggiornamento dei dati nella piattaforma informatica di gestione. Casi analoghi, anche se in numero inferiore, sono stati segnalati e si continuano a segnalare in tutta la penisola.
Dunque, decine di migliaia di italiani – non ascrivibili alla tanto vituperata categoria dei “Novax” – hanno oggi inattese difficoltà nel poter accedere a servizi essenziali, o nel potersi recare al lavoro – con il rischio di effettuare assenze che potrebbero risultare ingiustificate e dunque passibili di ammende o addirittura di una sospensione o di una rescissione del contratto – a causa del malfunzionamento pratico di un servizio informatico. Un servizio diventato indispensabile per i principali aspetti della vita quotidiana.
Stiamo perciò assistendo al primo – e, per fortuna, tra i meno gravi – dei rischi che porta con sé l’affidare a un sistema digitale la gestione e il controllo dei più importanti aspetti della vita. Una minaccia ben più grande di quella verificatasi in questi giorni a Milano e nel resto del paese, e niente affatto remota – sebbene per ora non ancora verificatasi – è infatti quella relativa alle possibili falle nella sicurezza contro ipotetici attacchi hacker, intenzionati a modificare o a cancellare il sistema e i relativi dati.
Certo, è ovvio che alcune importanti misure di sicurezza siano state adottate, sia da parte del governo italiano che da parte delle società di gestione, ma forse qualcuno di voi ricorda che, solo pochi mesi fa, nell’estate del 2021, un attacco simile provocò il down improvviso dell’intero sistema informatico della Regione Lazio, inclusi i dati relativi alle vaccinazioni in corso e a quelle già effettuate.
In quel caso, fra le ipotesi più accreditate, al vaglio degli inquirenti, ci fu quella per cui gli hacker fossero potuti penetrare grazie ad alcuni malware, scaricati attraverso un computer di proprietà della Regione Lazio, in uso da parte di un dipendente in smartworking.
Quest’ultimo parrebbe poi essersi giustificato, affermando che l’uso improprio del PC di lavoro non fosse dovuto a lui, bensì al figlio, collegatosi nottetempo ad alcuni siti porno, usando proprio quel computer. A dimostrazione di quanto possa essere semplice e banale mettere a rischio dati sensibili e fondamentali per la vita dei cittadini.
D’altronde, che la sicurezza informatica, anche quella delle piattaforme istituzionali, sia un colabrodo, non dovrebbe stupirci. Alcuni mesi fa, fu addirittura il ministro dell’Innovazione, Vittorio Colao, a dichiarare pubblicamente che il 95% delle strutture informatiche della pubblica amministrazione sono “prive dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”. Sì, avete letto bene: il 95%. Detto dalla più autorevole delle fonti.
Anche in un paese solitamente considerato più serio, più tecnologicamente competente, più organizzato e più disciplinato del nostro, come l’Olanda, nel corso del 2021 alcuni siti istituzionali sono stati presi d’assalto, al punto che i direttori delle maggiori società olandesi di sicurezza informatica, hanno parlato di “crisi nazionale” e hanno chiesto un intervento urgente del governo.
È, ovviamente, uno di quei casi in cui il mal comune non può darci nessun mezzo gaudio. Anzi, direi che ciò rende ancora più inquietante la situazione. Significa, infatti, che non c’è solo un problema d’imperizia del singolo stato o dipartimento, o del singolo sito più o meno sicuro e ben fatto. È il sistema in sé, con la sua complessità e la sua smaterializzazione, che comporta notevoli rischi, con probabilità molto maggiori di essere aggredito, rispetto a un qualsiasi archivio fisico dei dati.
Attacchi pirata il cui grado di pericolosità aumenta in modo esponenziale, via via che cresce la disponibilità di strumenti avanzati che ci permettono di effettuare operazioni complesse in tutti i settori della vita: dai pagamenti elettronici, alle cure mediche, allo studio, al lavoro.
E, ovviamente, al Green Pass, strumento oggi indispensabile per accedere al lavoro e a numerosi servizi fondamentali. Tutte cose che stanno, anche in questo istante, necessariamente passando attraverso una centrale informatica, remota, ignota e, probabilmente, potenzialmente sottoposta a mille possibili attacchi.
L’impressione è che, attraverso l’implementazione rapida dei nuovi sistemi digitali, stiamo costruendo una nuova casa, apparentemente funzionale, comoda, tecnologicamente avanzata, ma praticamente priva di porte. Una casa in cui, perciò, è facilissimo introdursi per rubare i nostri beni, i nostri mobili, i nostri arredi, o, nel caso del Green Pass, la nostra vita.
Chi andrebbe a vivere in una casa così? Forse nessuno. Eppure è quanto stiamo facendo con stupefacente rapidità e inconsapevolezza, affidando dati sensibili e privatissimi a piattaforme informatiche, le cui difese sono spesso ignote anche a chi le gestisce. Il tutto in un imbarazzante silenzio sul problema, sia da parte del mondo politico che del dibattito pubblico.
È imbarazzante, ad esempio, nel caso del Green Pass, vedere come quasi tutta la discussione si sia concentrata in un confronto – spesso fazioso – fra pro vax e no vax. Qualche discussione, appena un po’ più sofisticata, si è arrischiata a discutere dei possibili vulnus giuridici e rischi democratici insiti nell’adozione del passaporto verde. Quasi nessuno ha però affrontato l’argomento dal punto di vista della sicurezza informatica.
Eppure, comunque la si pensi sull’efficacia dei vaccini o sull’utilità sociale e sanitaria della nuova tessera, è innegabile che il suo utilizzo sta producendo una grande messe di dati, relativi a informazioni più o meno intime che riguardano la vita di ciascuno di noi. Dati che vengono gestiti come? Che finiscono dove? Con quale garanzia per la loro sicurezza e riservatezza?
Ecco, oltre alle accese e un po’ stucchevoli discussioni fra improvvisati virologi, relative al vaccini sì, vaccini no, non mi dispiacerebbe se qualcuno, tanto più se dotato di autorità pubblica, affrontasse pubblicamente anche queste questioni.
Un ipotetico attacco hacker al sistema di gestione dei Green Pass – analogo a quello avvenuto lo scorso anno sui siti del governo olandese e della Regione Lazio -, provocherebbe oggi la paralisi di un’intera nazione, con milioni di persone impossibilitate a prendere una metropolitana, a recarsi al lavoro, a scuola, a fare shopping, insomma costrette a non uscire di casa. Praticamente un gigantesco rapimento di massa, effettuato senza colpo ferire.
Visto che non parliamo di un’ipotesi da fantascienza, ma di qualcosa che si è già verificato – e di recente – in diversi siti sensibili e super controllati, non sarebbe il caso che, da parte di tutti noi, si cominci a chiedere conto al governo e alle autorità, su cosa si stia facendo, in concreto, per scongiurare questa agghiacciante, ma non troppo remota, eventualità?
