Ad aprile aveva scoperchiato un vero e proprio vaso di Pandora. Incaricato da una nota società calcistica (caduta vittima di un raggiro da parecchie decine di migliaia di euro) di capire in che modo i responsabili fossero entrati in possesso dei loro dati sensibili, Andrea Mavilla, di Monza, aveva scoperto enormi falle nella privacy: online, su determinati portali, si possono reperire (e acquistare per una cinquantina di euro ciascuno) informazioni le riservate di chiunque, comprese quelle delle più alte cariche dello Stato. Numeri di telefono, indirizzi, mail personali. Enormi database dai quali sarebbe facile – per chi ovviamente «mastica» di informatica – attingere ai dati dell’intera popolazione, non solo italiana.
Dal numero privato di Mattarella alla mail della Meloni
A partire dalle sue segnalazioni – e da una sua telefonata effettuata al Presidente della Repubblica Sergio Mattarella per provare la veridicità delle sue rivelazioni – si era mosso pure il Copasir (che ha aperto un’istruttoria), seguito dal Garante della Privacy, dalla Polizia Postale e dalla Procura di Roma. Un vero e proprio hacker etico, come è stato ribattezzato. Eppure lui, esperto di cybersicurezza – residente in zona San Donato dal 2013 (dove si è trasferito per motivi lavorativi) – si definisce «un semplice appassionato di informatica» che mette in guardia: le insidie, rimarca, si nascondono ovunque. Oltre allo «scandalo» dei dati personali facilmente trovabili sul web per poche decine di euro, Mavilla a giugno aveva anche denunciato la vulnerabilità legata alle telecamere domestiche acquistate online: le immagini interne alle residenze (e che dunque non dovrebbero travalicare i confini delle quattro mura in cui sono state installate) possono essere trovate con l’appoggio di portali e software. E addio privacy… Medesimo discorso, per gli indirizzi mail che, tramite test da lui effettuati, ha dimostrato essere facilmente replicabili.
“C’è un enorme problema sicurezza”
«In Italia esiste un enorme problema di sicurezza – ha spiegato il professionista monzese – Così come avevo segnalato ad aprile, è estremamente semplice trovare dati di tutti gli italiani online, tra cui pure i numeri di telefono privati delle più alte cariche dello Stato. Non mi credettero e allora chiamai direttamente Sergio Mattarella sul suo numero privato e gli dissi: “Sono Andrea Mavilla, un informatico, le volevo dire che ho il suo numero che ho reperito online. Lascio solo immaginare la sua sorpresa….e da lì scoppiò lo scandalo. Si aprirono una serie di indagini da parte del Copasir e della Polizia Postale che hanno cercato di tamponare questa falla». Ciò che il professionista ha scoperto proseguendo negli studi sulle vulnerabilità governative è che «ci sono delle profonde falle anche sui domini istituzionali- ha sottolineato – Si tratta di domini che vengono gestiti da società importanti, ma che presentano delle gravi criticità di sistema. Se i protocolli non vengono settati in maniera corretta da chi gestisce i domini, diventano praticamente dei passepartout: in pratica chiunque può scrivere a nome di un altro».
“Ecco come ho svelato lo scandalo dati”
Mavilla ha fatto una prova, replicando innumerevoli indirizzi istituzionali. «Ho cominciato a scrivere a nome della premier Giorgia Meloni, del ministro della Difesa Guido Crosetto e pure a nome della Procura di Monza – ha proseguito – Tutte mail che sono poi arrivate a destinazione, il che è molto grave perché i protocolli di sicurezza non li hanno identificati come falsi. Chiunque può impossessarsi dell’identità digitale di un altro. La tecnica si chiama spoofing ed è, tra l’altro, ampiamente utilizzata dai truffatori per ingannare le vittime, ottenendo l’accesso ai dati riservati». I danni, reali e potenziali, sono dunque enormi: oltre al rischio di trovarsi col conto prosciugato, replicando le mail si possono, ad esempio, carpire informazioni riservate di un’azienda concorrente, creare danni reputazionali, o diffondere malware. Rischi che aumentano in maniera esponenziale se si pensa agli indirizzi governativi che, se replicati, possono creare incidenti diplomatici e mettere a repentaglio la sicurezza nazionale.
“Servono protocolli più rigidi”
«Servono protocolli molto più rigidi – ha concluso Andrea Mavilla – I domini sono gestiti da provider importanti e queste società devono adottare accorgimenti più sofisticati sull’autentificazione delle mail e dunque per proteggere i dati. Ciò accade attualmente negli Stati Uniti, dove è più difficile che si possano replicare gli indirizzi. In America non è fattibile fare lo spoofing, mentre da noi sì e ciò è preoccupante, visto anche il dilagare di denunce di attacchi di phishing e truffe fraudolente. Quando questo sistema viene poi utilizzato con indirizzi governativi, le conseguenze possono potenzialmente essere molto gravi».