Li hanno presi e riversati nel dark web. Poi, copiati e incollati, sono arrivati anche in chiaro, sorprendendo tutti. Si tratta di quasi 4000 nomi, numeri di telefono e ruoli di dirigenti e impiegati del mondo bancario e assicurativo italiano. Ma c’è un po’ di tutto quel che appartiene al pianeta delle infrastrutture critiche, il settore più delicato che costituisce la difesa di un Paese e della sua collettività. In parte è stato colpito anche il livello europeo. I beninformati tendono a sottolineare che non si tratta di un vero e proprio attacco di cui non si conosce la provenienza semmai di alcuni preparativi che potrebbe anticipare azioni successive.

L’Espresso è venuto a conoscenza di questo documento con nomi del settore finanziario ed oltre. Si va da Roberta Caveggia, responsabile di servizio della Banca Sella, a Roberto Andreoli, dirigente di Atm. Da Francesco Tozzato del Monte dei Paschi di Siena a Michele del Monaco del Cerved. Poi c’è Enrica Poggio, responsabile vendite di Intesa San Paolo fino agli impiegati della Banca d’Italia. Tutti nomi che esercitano un ruolo chiave all’interno della propria azienda. E, elencati con una linearità pari alla lista della spesa, tutti quelli che svolgono mansioni significative, con i dati sensibili messi a nudo, quasi a voler calibrare una minaccia con un’azione preventiva.

Non è il primo attacco che arriva in Italia: gli imprenditori ormai sono quotidianamente vittime di raid informatici che mettono in difficoltà la propria attività. Pochi mesi or sono c’è stato il colpo alla Regione Lazio. In questo caso si è in presenza di una manovra che sembra anticipare altre mosse anche se la circolazione della lista preoccupa non poco e potrebbe essere più grave del previsto con delle conseguenze imprevedibili.

Il phishing ben organizzato, attraverso il quale hacker sono riusciti ad impossessarsi di dati sensibili fa emergere un’azione mirata. Alla quale potrebbe seguire il ransomware, ovvero l’attacco che conduce a sequestrare i file di cui poi si richiede il riscatto per la liberazione.

Pur senza entrare nel merito delle indagini in corso, gli investigatori fanno notare che negli ultimi tempi sono mutate completamente le strategie dei malviventi e di chi si nasconde dietro. Ci s’impossessa dei computer per un po’ di tempo, se ne ispeziona il contenuto e solo dopo questa lunga attività di controllo si chiede il riscatto. Ma c’è anche un livello intermedio. Liste di dati sensibili vengono usate come esche sul dark web per attirare possibili compratori interessati a un pacchetto più completo di informazioni.

E non si esclude neppure che la diffusione sia una sorta di prima ritorsione finalizzata a forzare la resistenza al ricatto dei potenziali bersagli. 

L’unica cosa certa è che non si tratta di una bravata, vista la serietà con cui l’allarme è stato preso in considerazione.

Oltre il 60 pr cento dei siti che organizzano verso l’Italia il phishing sono geolocalizzati negli Stati Uniti. Questo non significa assolutamente che da lì partano materialmente gli attacchi ma che negli Usa è molto più facile che altrove allestire un dominio e dribblare con più facilità i controlli.

Allo stato attuale stabilire chi è stato o meglio ancora perché lo ha fatto è impossibile e sarà impossibile per il prossimo futuro. Occorrerà del tempo per verificare se al furto dei dati possa essere seguito dell’altro.