Il giallo del cyber attacco alle Pec svela che il sistema è un colabrodo

Se 500.000 caselle sono saltate per un virus, cade il mito della posta certificata sicura. In realtà a essere compromessi non siano stati i sistemi del fornitore, ma le singole caselle di posta elettronica degli utenti con un «dito un po' troppo veloce».I numeri sono impressionanti: centinaia di migliaia di caselle di Posta elettronica certificata compromesse, migliaia appartenenti a magistrati e altre istituzioni. E si teme anche per dei parlamentari. Tutto questo diventa una notizia, ma è proprio tutto vero? È realistica l'ipotesi che un numero variabile tra le 300.000 e le 500.000 Pec siano finite nelle mani di criminali e in questo mucchio quelle di 9.000 magistrati?Vediamo, una volta tanto, i fatti. Il 12 novembre viene rilevata una campagna di messaggi di posta elettronica malevoli che interessa gli indirizzi Pec nazionali. Come afferma il Cert-pa, ovvero la struttura che ha il compito di supportare le pubbliche amministrazioni nella prevenzione e nella risposta agli incidenti di sicurezza informatica, questi messaggi veicolano un malware che «sembra aver sfruttato le credenziali di un account di posta Pec per inoltrare, all'intera rubrica della vittima, messaggi contenenti un allegato avente una nomenclatura tipo Nuovi 2018 11 546381.zip». In tutto questo la prima vera notizia, della quale nessuno sembra avere consapevolezza, è la possibilità di inviare virus informatici da una Pec a un'altra. Nel percepito comune la posta certificata è «sicura», ma nella realtà si tratta di una pietosa bugia. Il decreto ministeriale del 2 novembre 2005, titolato Regole tecniche per la formazione, la trasmissione e la validazione, anche temporale, della posta elettronica certificata, afferma che «il sistema che riceve il messaggio all'interno di un dominio di posta certificata» sia competente nella verifica della presenza di virus all'interno dei messaggi, ma si tratta di impresa impossibile perché il codice malevolo può essere sconosciuto, può essere nascosto in modo da risultare invisibile o può essere scaricato in momento successivo alla ricezione del messaggio. Quindi la prima vera notizia è quella che la Pec garantisce legalmente alcune cose (per esempio data e ora di invio), ma non il fatto che sia priva di virus. Pertanto sarebbe utile che tutti gli utenti di questo servizio iniziassero ad avere il giusto grado di attenzione. Veniamo alla seconda notizia. Il malware si nasconderebbe in un allegato composto di due file contenuti all'interno di un archivio compresso (l'estensione sarebbe zip). Questo significa che per attivarlo è necessario cliccare sull'archivio e poi sui file che vengono estratti. Di conseguenza, per poter affermare che sono state compromesse 300.000 caselle Pec, si deve ipotizzare che altrettanti individui abbiano effettivamente aperto gli allegati. Non possiamo considerare l'ipotesi impossibile, perché la maggior parte degli utenti sono afflitti da una sorta di «sindrome da clic ossessivo compulsiva» che diventa incontenibile se pensano che il messaggio sia «sicuro», per esempio perché ricevuto via Pec. Tuttavia forse il fenomeno andrebbe ridimensionato, immaginando che non proprio tutti i destinatari siano tanto sciagurati (non voglio nemmeno ipotizzare che 9.000 magistrati lo abbiano fatto). Tutto questo ci porta a ipotizzare che in realtà a essere compromessi non siano stati i sistemi del fornitore, ma le singole caselle di posta elettronica degli utenti con un «dito un po' troppo veloce». Se invece veramente fossero state trafugate in blocco le credenziali di mezzo milione di utenti, significa che i primi clic sarebbero stati effettuati da qualcuno interno alla struttura del provider, forse direttamente incaricato di gestire i sistemi. In tal caso avremmo assistito alla mancata applicazione delle più elementari regole di sicurezza. In tal caso si sarebbe dovuto parlare di «drammatico» incidente e non «grave».