L’uso della mail istituzionale per iscriversi a servizi online, siti di ricerca e persino siti di incontri, ha portato 91 parlamentari italiani a esporre le proprie credenziali al rischio del dark web. Un recente rapporto della fondazione Proton, in collaborazione con Constella Intelligence, ha rivelato come queste mail e password siano state raccolte in rete dopo violazioni a siti come LinkedIn, Dropbox e alcune app di incontri. Di queste credenziali, 195 sono password in chiaro e le email istituzionali coinvolte sono state pubblicate 402 volte.
Si tratta di un caso molto particolare che ha coinvolto non solo gli indirizzi della Camera e di Palazzo Madama, ma anche altre figure del settore a livello internazionale, come politici spagnoli menzionati nel report stesso. Per il lato italiano, sono 73 onorevoli e 18 senatori coloro ai quali questi dati sono stati rubati e messi in vendita sul dark web, in quella che può essere considerata una dimostrazione di come non sia stata data abbastanza importanza alla sicurezza informatica.
Nonostante l’allarme, i parlamentari coinvolti non hanno risposto alla segnalazione di aggiornare le password. La superficialità nella protezione delle credenziali può portare a frodi finanziarie, furti di identità e persino a ricatti se queste credenziali fossero associate a iscrizioni su siti compromettenti. Il problema è aggravato dalla presenza di dati sensibili che, se violati, potrebbero creare seri problemi di sicurezza nazionale, come ipotizzato anche da un recente attacco russo che ha preso di mira istituzioni italiane e siti governativi.
Dal dark web al phishing e ad altre minacce digitali
Oltre al furto di credenziali, i parlamentari italiani sono vulnerabili a metodi di attacco come il phishing, tecniche che mirano a ingannare gli utenti tramite email o SMS fasulli. Cliccando su un link, la vittima può iniettare un malware sul dispositivo o essere condotta su un sito falso dove inserire le proprie credenziali. William Nonnis, esperto di digitalizzazione alla Presidenza del Consiglio, evidenzia che oltre alle password in chiaro su alcuni servizi, è la preparazione digitale della classe dirigente a destare preoccupazione. Senza un’adeguata formazione e infrastrutture sicure, le istituzioni restano vulnerabili.
Questo tipo di attacco non è limitato all’Italia: anche in Francia, Regno Unito e Parlamento europeo si registrano numerosi casi di dati pubblicati nel dark web. I parlamentari di questi Paesi, nonostante gli appelli alla prudenza, sembrano sottovalutare il rischio degli attacchi informatici. A Strasburgo si è discusso persino del divieto di TikTok, il social di origine cinese, per via delle possibili ingerenze di Russia e Cina.
Serve un cambio di mentalità verso la sicurezza digitale, a partire dalla regola base: evitare di usare la mail istituzionale per servizi esterni. Con un sistema di comunicazione sicuro e una formazione adeguata, si potrebbero ridurre i rischi e costruire una vera sovranità digitale, fondamentale per la protezione della sicurezza nazionale.