No, non è uno scherzo. Su emule è sufficiente cercare “green pass” e senza troppi problemi si può accedere ad archivi con migliaia di certificazioni verdi in corso di validità e codice QR. Una compromissione senza eguali della confidenzialità dei documenti di migliaia di interessati, che rivela un data leak di magnitudo inquietante.
Le conseguenze riguardano sia gli interessati coinvolti che l’operatività stessa di tutto il sistema che si fonda sul Green Pass. Dopotutto, ce lo aveva detto il Garante Privacy quando ricordava il problema dei controlli anticipati e la potenziale formazione di database non sicuri che avrebbe potuto svilire o compromettere l’efficacia generale dello strumento. Formare database senza una corretta gestione della sicurezza comporta un elevato rischio di data breach. E quando ciò si realizza, non c’è norma o decreto che possano salvare dagli effetti disastrosi.
A questo punto negare il problema, i suoi effetti, né inventarsi manierismi normativi giova.
Forse in nome di pretese semplificazioni si è progressivamente voluto rinunciare ad una corretta gestione della sicurezza? Che il problema sia a monte, e dunque nel legislatore e nelle istituzioni o altrimenti a valle, e dunque nelle organizzazioni che spesso hanno operato di propria iniziativa in modo non conforme (come ad esempio gli uffici giudiziari), sarà l’analisi dell’incidente a dircelo.
Ma cosa si farà, adesso? Si urlerà per l’ennesima volta al cielo, a numi avversi di pretesi attacchi hacker, offrendo così non pochi ulteriori spunti per il databreach drinking game? O forse ci sarà un’analisi della violazione per comprendere la fonte del data leak che potrà andare ad individuare delle effettive responsabilità?
Non c’è dubbio: l’accaduto è grave, certamente interesserà anche il Garante Privacy. Ma ancor prima dovrebbe prevedere un atto di coscienza istituzionale da parte di coloro che invece negli ultimi anni tanto hanno voluto promuovere la creazione di task forces, agenzie cyber e roboanti annunci senza poi badare a verificare alcuna realizzazione di un concreto aumento della sicurezza delle informazioni.
Salvo aver dedicato qualche manciata di minuti al tema della cybersecurity, ovviamente.
