C’è stato un attacco al sistema di Posta Elettronica Certificata (PEC), che ha colpito circa mezzo milione di caselle. Roberto Baldoni, responsabile della cybersicurezza presso la Presidenza del Consiglio dei Ministri, invita chiunque abbia una casella PEC a cambiare la password il prima possibile.

Secondo le poche informazioni disponibili, infatti, tra le caselle colpite ce ne sono almeno 98.000 di operatori della Pubblica Amministrazione. Sono stati sottratti mail e password e dunque, a meno che sia attiva la protezione 2FA, i criminali hanno avuto accesso (o ce l’hanno ancora) ai messaggi. I bersagli erano probabilmente magistrati, militari e altri funzionari pubblici, ma tutti gli utenti coinvolti sono a rischio. In particolare, naturalmente, quelli che hanno la pessima abitudine di usare la stessa password per più di un servizio.

L’attacco risale allo scorso 12 novembre ed è stato individuato quasi immediatamente. La risposta ha visto non solo la chiusura dei servizi PEC ma anche quella di alcuni tribunali, i cui operatori erano tra i bersagli. Baldoni, che ha diffuso le informazioni in prima persona, sottolinea come “ci dovremo abituare a questo tipo di attacchi e diventare sempre più rapidi nella capacità di rispondergli limitando i danni. Da questo punto di vista è stata una grande esercitazione per il sistema paese a cui hanno collaborato con efficienza tutte le strutture deputate come il Cioc (il Centro Interforze Operazioni Cibernetiche) e il Cnaipic (Centro Anti Crimine Informatico e per la Protezione delle Infrastrutture Critiche)”.

Molti dettagli tuttavia non sono stati diffusi, probabilmente per non rischiare di inquinare le indagini in corso. Non sappiamo dunque chi è l’operatore telco coinvolto (La Repubblica suggerisce che sia stato colpito il centro dati Telecom di Pomezia), il sistema operativo, eventuali falle di sicurezza implicate. Baldoni dice però che l’attacco “pare provenire dall’estero e non dal territorio italiano, ha colpito un unico fornitore di servizi Pec, non ha prodotto perdite di dati”.

Cambiare la password non basta

Chi usa la PEC per scambiare comunicazioni con la PA dovrebbe fare molta attenzione nei prossimi giorni, perché i criminali potrebbero mandare messaggi falsi impersonando funzionari pubblici, e usando il loro legittimo indirizzo PEC. Nel caso di autorità civili e militari si potrebbe persino tentare di impartire falsi ordini, una possibilità – ricorda Arturo di Corinto su La Repubblica – a cui il nostro Paese è particolarmente vulnerabile. “In Italia”, scrive il giornalista, “mancano ancora gli automatismi tipici di certe organizzazioni. Quelli per cui, di fronte a una richiesta stramba, pur proveniente da un’autorità, chi deve eseguire l’ordine si attaccherà al telefono o risalirà la catena gerarchica per avere una conferma dell’ordine stesso”.

Il DIS (Dipartimento delle informazioni per la sicurezza) ha definito l’episodio “allarmante” perché ha colpito con successo infrastrutture che si consideravano sicure. Il Primo Ministro Giuseppe Conte ha dunque indetto immediatamente una riunione del Comitato Interministeriale per la Sicurezza della Repubblica. Tra le decisioni emerse da tale incontro, l’adozione di nuove misure di sicurezza “per proteggere la Pubblica amministrazione e gli operatori economici di servizi essenziali; la seconda l’inserimento nei contratti di acquisto di beni e servizi ICT clausole adeguate all’impatto che hanno sulla sicurezza nazionale quei beni acquistati; la terza, quella di fare finalmente partire il Centro di valutazione e certificazione nazionale per garantire la qualità dei beni acquisiti”.

Sembrerebbe, dunque, che non basterà più giocare al ribasso per aggiudicarsi una fornitura con la pubblica amministrazione. Nel caso di prodotti ICT bisognerà anche garantire che siano sicuri, e dovrebbe essere proprio il DIS a gestire tale certificazione.

Insomma, sotto la guida di Baldoni – sulla cui professionalità e competenza sarebbe difficile dubitare – un evento quasi catastrofico diventa occasione di spinta per aumentare la sicurezza digitale di tutta la pubblica amministrazione, e indirettamente tutti i cittadini. Sarebbe stato meglio se l’attacco non fosse andato a segno, certamente, ma se da una brutta esperienza si può imparare e migliorare, forse è solo una mezza sconfitta.

Il malware arriva anche via mail, ma un buon antivirus può aiutare a ridurre i rischi.

AGGIORNAMENTO: Telecom Italia Trust Technologies ha pubblicato un comunicato stampa, che trovate a questo indirizzo, in cui parla dell’attacco e delle contromisure da attuare.