“Pronto, Presidente?”. Numeri di Stato a portata di plug-in: la voragine della cybersicurezza italiana

È bastato un plug-in. Nessuna password violata, nessun dark web, nessuna rete sotterranea. Solo un’estensione del browser, scaricabile da chiunque abbia un minimo di dimestichezza con la rete. E così, in pochi clic e con un abbonamento mensile da circa cinquanta euro, è possibile mettere le mani su qualcosa che dovrebbe essere, per definizione, intoccabile: i numeri privati dei vertici dello Stato italiano. Non i telefoni di servizio, non quelli visibili sugli organigrammi ufficiali, ma quelli personali, utilizzati per comunicazioni riservate con amici, parenti, collaboratori stretti.

A scoprire questa falla spaventosa è stato Andrea Mavilla, esperto di informatica e cybersecurity, con un passato in Apple e anni di esperienza nel settore della protezione dei dati. Mentre analizzava alcune piattaforme di lead generation — quei siti specializzati nella raccolta e nella rivendita di contatti — si è imbattuto in un’anomalia inquietante: accedendo da un account standard, gli venivano mostrati nomi, email e numeri di cellulare di politici, dirigenti pubblici, ufficiali delle forze dell’ordine. Non frammenti sparsi, ma una vera mappa della vulnerabilità istituzionale italiana.

Le piattaforme in questione non sono illegali. Offrono servizi perfettamente registrati, con sede in Paesi come Israele, Stati Uniti e Russia. Si rivolgono a chi lavora nel marketing o nel B2B, promettendo accesso diretto a potenziali clienti qualificati. In realtà, attraverso i plug-in installati sui browser, questi servizi aprono varchi inimmaginabili. Basta visitare il profilo LinkedIn di una persona per ricevere, in tempo reale, il numero di telefono e l’indirizzo email che l’utente ha magari inserito altrove in rete, dimenticandosi di aver dato il consenso al trattamento dei dati.

Nel caso segnalato da Mavilla, i profili colpiti non sono solo quelli di imprenditori o manager: ci sono anche i numeri personali di Sergio Mattarella, Giorgia Meloni, Matteo Piantedosi, Guido Crosetto. E poi, ancora, quelli di migliaia di funzionari dello Stato, dipendenti di ministeri, agenti della Polizia di Stato, militari dell’Arma e della Guardia di Finanza. Un database parallelo, disponibile alla luce del sole. Nessuna rete criminale. Nessun software spia. Solo la disattenzione di un sistema incapace di controllare la dispersione dei dati digitali.

Mavilla ha cercato di segnalare il problema usando tutti i canali informali che aveva a disposizione. Ha scritto direttamente al ministro dell’Interno Piantedosi, ha contattato la vicepresidente della CIA Juliane Gallina tramite LinkedIn, ha cercato un contatto con l’Agenzia per la cybersicurezza nazionale. Risposte? Poche. Laconiche. E spesso sminuenti. La frase più emblematica resta quella attribuita a un funzionario dell’Acn: “Bah, a noi pare una bufala”.

Ma non era una bufala. I dati erano lì, esposti, verificabili. Tanto che Mavilla — con l’aiuto di altri colleghi — è riuscito a confrontarli con numeri e indirizzi conosciuti, confermando la loro autenticità. E quando la questione è finalmente arrivata all’attenzione della Polizia postale, si è deciso di avviare un’indagine vera e propria, che ora proverà a risalire alle fonti e alle modalità con cui queste informazioni sono state raccolte, aggregate e distribuite.

Il punto è che, spesso, siamo noi stessi a mettere a rischio i nostri dati. Clicchiamo “accetto” su moduli online, autorizziamo accessi incondizionati, forniamo recapiti in cambio di uno sconto o di un eBook gratuito. Tutte queste tracce digitali finiscono in banche dati che si scambiano, si fondono, si vendono. E quando chi si occupa della sicurezza nazionale liquida con sufficienza una simile segnalazione, è legittimo domandarsi se sia l’arroganza o la sottovalutazione il vero punto debole del sistema.

Il caso sollevato da Andrea Mavilla non è una semplice storia di privacy violata. È la cartina di tornasole di un problema strutturale: l’assenza di una cultura della cybersicurezza che metta al centro non solo la protezione dei dati, ma anche la prontezza nell’ascoltare chi suona un campanello d’allarme. Stavolta è andata “bene”: i dati non sono finiti in mano a ricattatori, spie o gruppi criminali. Ma la porta è aperta. E lo è stata per troppo tempo, senza che nessuno se ne accorgesse.

Chi controlla la nostra sicurezza digitale? E soprattutto, chi ascolta chi la scopre in pericolo?