Immagine creata con l'intelligenza artificiale Copilot
Introduzione
Salvatore, dopo otto anni di lavoro come consulente informatico presso vari enti pubblici della capitale, torna nella sua Sicilia. È il 29 febbraio, giorno che secondo la tradizione italiana porta con sé presagi poco rassicuranti. E infatti, i notiziari di tutta Italia raccontano eventi inquietanti:
- quattro caccia militari precipitati durante le prove,
- un noto mafioso prosciolto perché le prove digitali sono “misteriosamente” scomparse,
- un comune piemontese sommerso dopo il cedimento di una diga,
- contribuenti improvvisamente “a credito” perché i debiti risultano cancellati nei sistemi dell’Agenzia delle Entrate.
Cosa sta succedendo?
Un errore informatico. Un errore costato caro.
Salvatore ha venduto a criminali le chiavi per entrare nei sistemi informativi della Pubblica Amministrazione italiana.
Sembra la trama di un film americano, ma è uno scenario più realistico di quanto si creda.
La PA italiana e il problema delle credenziali condivise
In oltre trent’anni di esperienza nella Pubblica Amministrazione, ho visto spesso una gestione superficiale delle credenziali di accesso. In molti enti, i consulenti esterni, anche di aziende importanti, ricevono accessi a informazioni sensibili e persino agli ambienti di produzione.
Una pratica rischiosa.
Per quanto una persona possa essere onesta, le credenziali dovrebbero rimanere solo a personale interno: funzionari, dirigenti, responsabili dei sistemi.
E invece, password, riferimenti ai server, accessi privilegiati vengono consegnati a esterni.
Un errore sistemico.
Il falso senso di sicurezza del 2FA
Negli ultimi anni, l’autenticazione a due fattori (2FA) è diventata la norma.
Peccato che venga spesso implementata nel modo sbagliato.
Molti enti pubblici installano l’app di autenticazione sul telefono privato del consulente esterno.
Risultato?
- Il consulente può accedere ai sistemi ovunque,
- può farlo in qualunque momento,
- può farlo anche dopo la fine dell’incarico,
- e in alcuni casi, l’utenza non viene disattivata per giorni, settimane… o mesi.
Durante un caffè con un amico, ho notato sul suo smartphone l’app di autenticazione.
“È per un cliente della PA”, mi ha detto.
Ecco la vulnerabilità: la sicurezza dipende da un dispositivo privato, non controllato dall’ente.
Un caso reale: quando il consulente diventa un rischio
Qualche anno fa, un consulente di una grande azienda IT ha “hackerato” dei sistemi informatici proprio perché aveva ancora le credenziali.
Il danno fu contenuto, ma il precedente resta.
La domanda è semplice:
perché un esterno dovrebbe avere le chiavi digitali di un ente pubblico?
La soluzione? Semplice, economica, immediata
Basterebbe che ogni ente pubblico acquistasse un solo smartphone dedicato al 2FA:
- senza SIM,
- collegato alla rete interna,
- custodito in ufficio,
- utilizzato solo dal personale interno,
- mai affidato a consulenti esterni.
Un dispositivo controllato, tracciato, gestito.
Il 2FA tornerebbe ad essere una misura di sicurezza reale, non un’illusione.
Una domanda che vale più di mille normative
Daresti le chiavi di casa a una persona estranea?
O le credenziali del tuo conto bancario?
Allo stesso modo, la Pubblica Amministrazione non dovrebbe consegnare le chiavi dei propri sistemi informativi a chi non fa parte dell’ente.
Conclusione
La sicurezza informatica non è un dettaglio tecnico: è una responsabilità civile.
E la PA italiana deve comprenderlo, prima che un errore, o una leggerezza costi molto più di quanto si possa immaginare.

Nessun commento:
Posta un commento