Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

La task force nazionale per la ripartenza nella fase 2 della pandemia di coronavirus ha scelto. L’app di contact tracing che gli italiani potranno scaricare volontariamente per mappare i possibili infetti e i loro contatti non sarà basata sul sistema centralizzato europeo del Consorzio Pepp-Pt, come sinora pareva certo, ma verrà gestita dal protocollo decentralizzato europeo Dp-3t. Così i dati di identità, invece che raccolti sempre su server centrali, saranno archiviati localmente sugli smartphone e inoltrati ai server solo se l’utente confermerà di essere positivo al Covid-19. Il ribaltamento di approccio, che ha convinto anche la Germania, è stato fortemente voluto da Apple e Google ma viene salutato con favore anche dalle associazioni per la privacy e le libertà fondamentali.
Dietro questa svolta però c’è un problema ben noto a Vittorio Colao, l’ex amministratore delegato del gigante mondiale delle telecomunicazioni Vodafone che oggi è a capo della task force che finisce il suo lavoro oggi. È il fenomeno dei data breach, le violazioni dei dati digitali di clienti o utenti che colpiscono i sistemi informatici di aziende, istituzioni, Governi. I data breach sono violazioni di sicurezza che causano – per caso o in modo illecito – la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso a dati personali e ne compromettono la riservatezza, integrità o disponibilità. Tra le tipologie più comuni ci sono quelle dovute a negligenza o errori dei dipendenti, attacchi o furti da parte del personale interno o di hacker esterni, smarrimento di apparecchiature, accessi non autorizzati, esposizione casuale dei dati, ransomware (ricatto informatico) o phishing, raccolta truffaldina di informazioni.
La violazione dei dati, come il coronavirus, è un’epidemia in crescita che ha costi stellari. Si prevede che quest’anno nel mondo i data breach costeranno oltre 1.900 miliardi a società e istituzioni colpite. Ogni caso d’altronde causa in media danni per 140 milioni a società colpita, tra spese informatiche, perdita di clienti e impatto reputazionale. Se si violano le regole europee, poi, i data breach possono causare multe enormi. Nel 2019 Google ne ha subita una da 50 milioni di dollari dalla Ue. Ma le sanzioni possono salire fino al 4% del fatturato annuo di un’azienda. Alphabet, la holding che controlla Google, nel 2019 ha fatturato 147,3 miliardi: dunque in teoria un data breach potrebbe costarle sino a 5,9 miliardi.
D’altronde il fenomeno è esplosivo. Secondo un database che raggruppa le violazioni di dati che hanno colpito almeno 30mila utenti, dal 2004 a oggi si sono verificati almeno 313 episodi, due terzi dei quali negli Usa, con la perdita di informazioni di almeno 15,6 miliardi di clienti. Ma la cifra è enormemente sottostimata perché mancano tutti i casi che non sono stati resi noti o non sono stati censiti. Le cinque maggiori violazioni della storia, secondo Cnbc, sono state quella di Yahoo che tra il 2013 e il 2014 ha visto alcuni hacker impossessarsi dei dati di 3 miliardi e mezzo di utenti, dell’assicurazione americana First American Financial nel 2019 (885 milioni di file), di Facebook sempre l’anno scorso quando per una falla di sicurezza furono svelati 540 milioni di dati, degli alberghi Marriott, 500 milioni di informazioni colpite nel 2018 per hacking, e di Friend Finder, società di dating online, che nel 2016 perse 412,2 milioni di dati. A luglio scorso, il data breach che ha colpito 100 milioni di americani e 6 milioni di canadesi titolari di carte di credito Capital One non è nemmeno entrato nella top ten dei casi maggiori. I data breach per il 56% sono dovuti ad attacchi di hacker, per il 15,7% a smarrimento o furto di supporti informatici e solo per il 12,8% a falle nella sicurezza informatica interna di aziende e istituzioni.
Sebbene le società di tlc siano colpite sono dal 4,5% di tutte le violazioni di dati note, vista la mole dei loro clienti i numeri sono impressionanti. A novembre 2016 la Tre nel Regno Unito vide diffusi i dati di 133mila clienti. A ottobre 2017 un data breach in Malesia colpì 46 milioni di utenti. Ad agosto 2018 T-Mobile, controllata di Deutsche Telekom, subì il furto delle informazioni di 2 milioni di clienti. L’anno scorso a maggio Freedom Mobile, in Canada, perse i dati di 5 milioni di clienti; a luglio fu la volta della società Usa Sprint; a novembre tornò nel mirino T-Mobile (oltre 1 milione di clienti colpiti) insieme all’indiana OnePlus. Quest’anno a marzo è toccato alla britannica Virgin Media (900mila clienti) ma il caso limite, ad aprile, è stato il gigantesco data breach che in Pakistan ha visto mettere in vendita sul dark web i dati di 115 milioni di utenti delle tlc.
Nemmeno Vodafone, negli anni in cui Colao ne era amministratore delegato, è riuscita a restare immune alle violazioni. Nel 2011 in Australia un database dei suoi clienti rimase accessibile a terzi e a settembre 2015 alcuni giornalisti australiani svelarono che sin da gennaio 2011 i loro dati in mano a Vodafone erano stati diffusi, tanto che se ne parlò persino all’Onu. A settembre 2013 in Germania un data breach colpì 2 milioni di clienti dell’azienda. Nel 2014 in Nuova Zelanda password e credit card dei clienti della società di tlc finirono visibili a terzi. Altri casi si verificarono a novembre 2015 nel Regno Unito e a settembre 2017 ancora in Nuova Zelanda per una vulnerabilità nella app della società.
Eppure, dopo i data breach delle società web (16,9% di tutte le violazioni), sono proprio i Governi (13,7%) e le aziende sanitarie (13,4%) le istituzioni più colpite dalle violazioni. Di certo è anche per questi motivi che la task force pubblica ha pensato bene di realizzare un’app italiana di tracciamento anti-Covid-19 basata su sistemi decentralizzati.

NICOLA BORZI