Non c’è soltanto il tornado Irma a terrorizzare gli americani in queste ore. Una sorta di tifone cyber, infatti, ha appena travolto Equifax, una delle tre grandi agenzie statunitensi di controllo dei crediti. Nessun problema meteorologico o climatico: è stata la furia dei pirati informatici che sono riusciti ad aprire un’incredibile breccia in uno dei caveaux digitali a più elevata criticità.

143 milioni di persone – consumatori e risparmiatori – corrono il concreto rischio del furto di identità, perché chi è penetrato abusivamente nei sistemi di Equifax è scappato con un bottino informatico dalle mille potenzialità fraudolente. Il saccheggio virtuale ha riguardato ogni informazione possa essere rinvenuta nei delicati archivi di una realtà finanziaria: il Social security number (equivalente previdenziale del nostrano codice fiscale, impiegato in ogni contratto o atto pubblico), i dati anagrafici e i riferimenti puntuali ai documenti rilasciati all’interessato (numero, scadenza di validità e così via), coordinate complete di carte di credito e conti bancari, e così a seguire.

Equifax ha creato online un apposito sito web per offrire assistenza ai propri clienti, garantendo loro il totale supporto per contrastare le fin troppo scontate conseguenze di un simile disastro. L’amministratore delegato Rochard F. Smith affida a un video una specie di mea culpa, ma le accorate espressioni suonano come lacrime di coccodrillo e il rammentare il grande impegno riversato sul fronte della cyber security è tristemente sbugiardato dall’evidenza dei fatti che costituiscono uno dei più gravi incidenti informatici della storia.

Queste catastrofi vengono chiamate “databreach” e, analogamente agli uragani, “scoperchiano” le strutture che ospitano masse consistenti di informazioni personali. A differenza di cicloni e bufere non fanno rumore e “non spettinano” chi è nei dintorni. La loro silenziosissima dinamica e la circostanza che i dati rimangano, solo apparentemente, al loro posto sono i fattori che comportano una sempre troppo tardiva scoperta dell’accaduto.

Anche in questo caso, il calendario è dannatamente impietoso. L’intrusione risalirebbe al maggio scorso e i banditi si sarebbero tranquillamente intrattenuti all’interno dei sistemi per oltre due mesi (avendo tutto il tempo di piazzare backdoor o altre istruzioni maligne per tornare, con comodo, in un secondo momento e per pregiudicare in maniera persistente l’affidabilità dell’architettura telematica del bersaglio colpito e affondato). La constatazione di questa drammatica circostanza sarebbe avvenuta il 29 luglio scorso e la comunicazione pubblica della situazione – imbarazzante per Equifax ma spaventosa per i soggetti cui si riferiscono i dati sottratti – è soltanto di poche ore fa.

Non è naturalmente dato sapere cosa possa esser stato fatto con le informazioni carpite illegalmente, ma lascia impietriti il ritardo non solo della scoperta ma anche e soprattutto dell’informazione agli interessati.

Casi di questo genere rientrano nella disciplina della privacy definita dal Regolamento europeo sulla riservatezza dei dati personali che entrerà in vigore nel maggio 2018. La normativa comunitaria prevede una tempestiva comunicazione al Garante nazionale e l’immediata e capillare informazione ai soggetti che rappresentano le vere vittime di simili disastri. Ma la legge fa scattare il cronometro (e non può fare diversamente) dall’istante in cui si appura quel che è successo e – se quel momento arriva dopo mesi – la sollecitudine ad allertare Autorità e clienti serve davvero a poco.

La tutela dei dati custoditi nei ciclopici archivi elettronici si basa sulla sensibilità a certe problematiche ogni giorno più impegnative, sulla competenza e sul relativo ininterrotto aggiornamento, perfino sul più banale buon senso. Purtroppo, questi ingredienti non possono esser resi obbligatori da codici o disposizioni legislative.

@Umberto_Rapetto