Nel caos ordinato del mondo digitale, basta poco per accendere un’allerta nazionale. È quanto accaduto recentemente in Italia, dove diversi quotidiani, tra cui testate di primo piano come Il Fatto Quotidiano, hanno riportato la notizia di un presunto massiccio data breach ai danni di figure istituzionali di rilievo come il presidente della Repubblica Sergio Mattarella e la premier Giorgia Meloni. Secondo la narrazione iniziale, sarebbero finiti online migliaia di numeri di telefono e dati personali appartenenti a membri del governo, delle forze armate, della Guardia di Finanza, Polizia e Carabinieri. Un colpo da manuale, a detta di molti. Ma la verità è che non c’è stato alcun colpo.
A far scattare il panico è stata una segnalazione pubblicata su LinkedIn dall’informatico Andrea Mavilla, che dichiarava di aver individuato un database “rubato” contenente migliaia di contatti sensibili. Il post originale è poi sparito, ma nel frattempo la macchina della disinformazione aveva già ingranato la quarta. Il punto d’innesco della vicenda è stato proprio il tono allarmistico e la presunta portata dell’evento, capace di trascinare nel vortice l’opinione pubblica e perfino alcuni enti istituzionali. In particolare, l’Agenzia per la Cybersicurezza Nazionale (ACN) aveva risposto in modo tanto secco quanto efficace: “A noi pare una bufala”.
Eppure, quella stessa risposta era stata criticata per i toni considerati troppo “colloquiali”. Con il senno di poi, però, aveva perfettamente centrato la questione. Nessun attacco hacker. Nessuna penetrazione nei database statali. Solo una raccolta massiva e legale di dati pubblici, effettuata da un’azienda specializzata: Lusha, piattaforma che aggrega informazioni B2B da fonti pubbliche per rivenderle a chi lavora nel marketing, nella vendita o nel recruiting. In altre parole, una forma di scraping di dati già accessibili (e spesso datati o incompleti), provenienti da LinkedIn, pagine contatti di siti istituzionali, comunicati stampa o elenchi ufficiali.
Il presunto data breach come monito sulla disinformazione e il clickbait: quando l’allarme è costruito a tavolino
A sbrogliare l’intricata matassa ci ha pensato Andrea Draghetti, esperto di cybersecurity e responsabile dell’intelligence per la società D3Lab. La sua analisi ha dimostrato che i dati provenivano proprio da Lusha, e che gli screenshot condivisi per “dimostrare” l’esistenza del leak erano riconducibili all’interfaccia grafica del portale. Non solo: sembrerebbe che chi ha sollevato il polverone abbia deliberatamente manipolato le prove, omettendo l’origine reale delle informazioni e alimentando un allarme mediatico infondato. Una sorta di campagna personale in cerca di visibilità, smontata solo quando i media e le persone più attente hanno iniziato a scavare oltre i titoli.
Nonostante tutto, il Garante per la Protezione dei Dati ha comunque avviato un’istruttoria, ma non per indagare su un furto di dati: piuttosto, per approfondire la facilità con cui aziende come Lusha riescono a raccogliere e vendere informazioni personali senza che le persone interessate ne siano sempre consapevoli. Una questione che rimanda più a un tema di “privacy by design” che a una vera emergenza di sicurezza nazionale.
Nel frattempo, il sedicente esperto ha disattivato i commenti sui propri post, ma non ha smesso di insistere sulla validità delle sue scoperte, benché ampiamente smentite dai fatti. La macchina del sensazionalismo, però, aveva già fatto danni. Numerosi giornali avevano riportato la notizia come veritiera, innescando il classico effetto domino della stampa.
Un conto è riportare una notizia, infondata o meno, ma specificando il suo non essere confermata; un conto, invece, è fare allarmismo e non verificare adeguatamente le fonti, specialmente da testate che hanno contatti e accessi ben più ampi e affidabili rispetto al sito comune. La lezione? Nel mondo della cybersicurezza, non tutto ciò che brilla è un leak. E a volte, i veri buchi non sono nei server, ma nell’approccio alla verifica delle fonti.
