Il ricatto dell’hacker: 46 mila euro per 46 mila profili online

La banca dati di Visure Italia è stata hackerata e l’amministratore unico di Trust srl che la governa, Paolo Baita, è affranto. L’uomo è stanco e dispiaciuto. Da quando i nomi di 46 mila suoi clienti sono stati diffusi sul web passa il tempo a scrivere email e rispondere al telefono per rassicurarli.

Quando l’abbiamo raggiunto al telefono ci ha confessato di saperlo da qualche giorno. Temeva che sarebbe finita così. Nonostante tutto ci conferma di avere fatto una denuncia alla Polizia Postale e di avere avvertito il Cnaipic, il Centro Nazionale Anti Crimine Informatico e per la Protezione delle Infrastrutture Critiche. “Non potevo e non volevo pagare.” Ci ha detto. “Lo sapevamo dall’11 marzo.”

Non abbiamo visto l’email, ma nella nostra ricostruzione dei fatti questo elemento è coerente con l’accaduto: un hacker malevolo ha provato a ricattarlo, con un’email in cui pretendeva il pagamento di un euro per ogni nominativo presente nel database trafugato. Un tentativo di estorsione: “Trivial”, questo il nome del delinquente, gli ha chiesto 46.000 euro per non divulgare i dati di oltre 46 mila utenti del servizio di Baita che consente ad avvocati, notai e investigatori privati di ricostruire la storia fiscale e creditizia di un qualsiasi soggetto, singolo, pubblico o associato. Visure Italia, servizio di Trust Srl, società a responsabilità limitata di Quartu Sant’Elena (Cagliari), è concessionario della Banca dati delle Camere di Commercio: un “mondo” di dati.

La richiesta sarebbe arrivata via email, attraverso un indirizzo “Proton Mail”, il servizio di mailbox creato in Svizzera dai ricercatori che lavorano nello stesso luogo dove è stato inventato il web trent’anni fa, il 12 marzo, e di cui abbiamo appena festeggiato il trentennale. Proton Mail offre in via gratuita, e a pagamento, un servizio email sicuro: protetto dalla crittografia, protetto dalle leggi della neutrale Svizzera, protetto da un codice efficiente e favorito da un design pulito e leggero.

L’email di Trivial è una delle piste che gli investigatori seguono per dare un nome e un volto al ricattatore.

Dicevamo che Paolo Baita, “si pronuncia come le case di montagna”, ci ha detto al telefono l’amministratore del servizio bucato dall’hacker, è ancora sconvolto, ma non sconfitto. “Abbiamo fatto tutto quello che la legge chiede subito dopo avere saputo dell’accaduto.” Da noi contattati, i clienti di Visure Italia però non erano sempre edotti dell’accaduto, e cioè che l’hacker, non avendo ricevuto alcun riscatto ha deciso di posizionare “in the wild”, nella prateria del web, quei loro dati così preziosi, dati che tagliano la vita delle persone in due dimensioni: inferno e paradiso.

L’inferno è quando i tuoi dati finiscono in mano a malfattori che grazie al furto della password ti chiudono fuori dalla posta elettronica con cui lavori, prenoti le visite dal medico e ti parli con l’avvocato; malfattori che si spacciamo per essere te, ordinando una stampante su Amazon o peggio: risalgono al tuo conto corrente, fino al codice segreto della carta di credito, per svuotarti il conto.

Non è difficile se sfrutti l’umana tendenza a fidarti degli altri. Si chiama ingegneria sociale. Bene, anzi male. Quello che è successo a Paolo Baita non vorremmo accadesse a nessuno.

“Ho cominciato con le visure immobiliari, poi è arrivata l’era del commercio elettronico, ho aperto una vetrina sul web e adesso forniamo servizi digitali.” Quando gli chiediamo come è potuto succedere, dice: “Prima mi affidavo a un’agenzia esterna, da poco abbiamo degli sviluppatori che lavorano al sito. Avranno sbagliato qualcosa. A chi non succede?” e chiude: “mi dispiace tanto, ma non mi arrendo.”

Denunciare la scarsa sicurezza dei dati digitali è un conto, scoprire la falla di un database, infilartici dentro, copiarlo e diffonderlo sul web un altro. Piuttosto, se scopri una falla, c’è da invocare la tutela della privacy e il Garante Antonello Soro, fin qui fonte di certezza nel perseguire un uso disinvolto dei dati degli italiani. Lui è la persona giusta a cui notificare le falle e gli errori della gestione privata e commerciale dei nostri dati personali, quelli che ci identificano e precedono nel cyberspace dove tutti viviamo gran parte delle nostre vite.