Che succede al ministero dello Sviluppo economico, che un mese fa ha resettato le password dei dipendenti, in seguito a una “possibile violazione di sicurezza”, finora mai divulgata, che “potrebbe aver portato l’accesso non autorizzato a dati personali di dipendenti, quali nomi utente e password di dominio, indirizzi email, codici fiscali, numeri di telefono”, rivela un’email ottenuta da Wired. Una debacle informatica, di cui Wired apprende da fonti qualificate e in seguito alla quale gli uffici tecnici di via Molise hanno dovuto accertare l’identità di alcuni utenti “tramite video”, nel caso in cui non fossero già stati “precedentemente certificati”. Misure di estrema cautela dunque, in conseguenza di un data breach probabilmente scoperto alla fine del 2020 – le informazioni più aggiornate tra quelle sottratte risalgono proprio a novembre – nel quale sono state compromesse le credenziali d’accesso dei dipendenti e che fa alzare l’allerta in uno dei palazzi più importanti della Repubblica italiana.

Nonostante la portata dell’incidente informatico, per il quale sono stati avvisati “tutti i dipendenti”, confermano da via Molise, la notizia non era mai emersa prima. Ma a rivelarlo è proprio quella mail, inviata nella terza settimana di febbraio e di cui Wired ha ottenuto una copia, con la quale si chiede al personale di modificare la password di accesso ai sistemi informatici del ministero e, qualora in uso anche su altri servizi online, di liberarsene definitivamente. 

Per le vie ufficiali il ministero gioca al ribasso, senza confermare né smentire l’attacco informatico e spiegando che la comunicazione era “preventiva” e unicamente volta a informare i dipendenti su quali siano le cautele da adottare per evitare di cadere vittima di un tentativo di phishing (così, debbotto). Quasi contemporaneamente però, sull’altra linea, è stata la stessa responsabile della Protezione dei dati (Rpd) del dicastero, Paola Picone, a confermare l’evento in una telefonata con Wired: “Sì, c’è stato un data breach e sono attualmente in corso le indagini delle autorità”, ha detto inequivocabimente Picone. 

“Il ministero dello Sviluppo economico è venuto a conoscenza di una possibile violazione”, esordisce a scanso di equivoci la comunicazione via email che abbiamo ottenuto: “Tale evento può comportare l’utilizzo degli stessi (dati, ndr) da parte di terzi per fini non autorizzati o illeciti ad esempio furto di identità e/o phishing”. Come confermato anche da Picone, non risulta che le informazioni sottratte siano state utilizzate per accedere illecitamente alle postazioni dei dipendenti, ma anche questo scenario è al vaglio delle autorità. Tuttavia, urge cautela: se tutte le informazioni del personale Mise sono finite in mani sbagliate, questo può comportare una grave vulnerabilità al sistema paese, che proprio in via Molise esercita alcune funzioni centrali in materia di lavoro e di sicurezza informatica. 

Guidato dal neo ministro della Lega Giancarlo Giorgetti, il dicastero conta oltre tremila impiegati e un bilancio che si aggira intorno ai 6 miliardi e mezzo di euro nel triennio 2020-2022. Una struttura cruciale, autorità competente sulla direttiva Nis (Network and Information Security, la direttiva del 2016 che fa da framework europeo per un ambiente digitale sicuro) per il settore dell’energia e delle infrastrutture digitali, e presso la quale è istituito il Centro di valutazione e certificazione nazionale (Cvcn) che, una volta attivo, dovrà accertare le condizioni di sicurezza e l’assenza di vulnerabilità di prodotti, apparati, e sistemi destinati a essere utilizzati per il funzionamento delle infrastrutture strategiche del paese. In parole povere, quelle dalle quali passano le informazioni più importanti d’Italia, spesso realizzate con hardware e software importati da altri stati e che, per la loro natura, devono godere del più ampio grado di protezione.  

A presidio delle operazioni di notifica nei riguardi delle vittime del furto di dati sembra sia intervenuta anche l’Autorità garante per la protezione dei dati personali, guidata da Pasquale Stanzione, con la quale si è “concordato il contenuto e le modalità di invio della comunicazione”, ci ha assicurato Picone. Si suppone quindi che gli uffici di piazza Venezia stiano lavorando sull’incidente informatico, del quale dovranno valutare eventuali responsabilità. 

Ma l’episodio potrebbe trasformarsi nell’ennesima tegola per il Mise, che pochi giorni fa, a marzo, è stato multato proprio dal Garante privacy per non aver nominato un Rpd nel 2018, con l’entrata in forze del Regolamento europeo per la protezione dei dati personali. Un assegno da 75 mila euro, con il quale il dicastero ora guidato da Giorgetti paga anche l’illecita esposizione online delle informazioni personali di 5mila manager, tra le quali i nominativi, le email e, in alcuni casi, i documenti d’identità.

Rimossi quei dati, come in un gioco di vasi comunicanti, emergono oggi quelli dei dipendenti: non erroneamente esposti ma proprio trafugati, in seguito all’operazione di qualche criminale informatico. Tra questi anche le password, che sembra non fossero cifrate e che quindi sarebbero definitivamente compromesse. Anche se nel Gdpr non compare un obbligo specifico in tal senso, la direttiva precisa che “Per mantenere la sicurezza e prevenire trattamenti in violazione al presente regolamento, il titolare del trattamento o il responsabile del trattamento dovrebbe valutare i rischi inerenti al trattamento e attuare misure per limitare tali rischi, quali la cifratura”: un metodo matematico per conservare delle informazioni rendendole accessibili solo ed esclusivamente a chi ne ha titolo. Sai mai che poi le rubano.

Interrogata sulla questione, Picone ha fatto spallucce, non conoscendo nel dettaglio il modo in cui le informazioni trafugate erano state protette. Se fossero state cifrate, il criminale informatico si troverebbe in mano dei dati pressoché inutilizzabili. Ma non sembra questo il caso: mettendo insieme la risposta dell’Rpd e il contenuto dell’informativa inviata ai dipendenti, dove non si fa alcun accenno a circostanze che possano rassicurare sullo stato delle informazioni rubate, sembra che anche le password fossero in chiaro, leggerezza che rende pressoché obbligatorio resettare le chiavi d’accesso nel minor tempo possibile, informando di conseguenza le vittime.    

“Generalmente quando un ladro ruba dei dati poi procura un danno, ma noi non abbiamo evidenza che sia successo”, rassicura Picone, precisando di aver agito “conformemente alle indicazioni del Garante”. Non è dato sapere però quando il Garante sia stato effettivamente chiamato in causa né quanto tempo sia passato tra la scoperta dell’accesso abusivo, il reset delle password e l’informativa inviata ai dipendenti. Ma quanto ha atteso il ministero prima di dire ai suoi che le loro credenziali erano state compromesse? A domanda diretta, Picone abbozza: “Dal momento che ci sono delle indagini in corso, abbiamo chiesto un parere preventivo al Garante sull’opportunità di diramare l’informativa agli interessati”. 

Allo stato dell’arte, nel momento in cui si verifica un data breach, il titolare del trattamento deve adottare tutte le cautele per “porre rimedio alla violazione dei dati personali e anche, se del caso, attenuarne gli effetti negativi”, secondo quanto disposto dal Gdpr. Ma esistono particolari circostanze per le quali, per ragioni investigative, potrebbe essere necessario agire diversamente: “In questi casi i tempi e le misure adottate per attenuare gli effetti del data breach potrebbero essere influenzati, almeno in parte, sia dai provvedimenti dell’autorità giudiziaria sia da quelli del Garante”, spiega Francesco Paolo Micozzi, avvocato e professore di informatica giuridica all’Università di Perugia: “Al riguardo, sia codice privacy che recenti protocolli di intesa disciplinano il necessario coordinamento tra autorità giudiziaria e Garante. Vi sono, infatti, da contemperare diversi interessi: da un lato l’esigenza di tutelare i diritti degli interessati e, dall’altro, la necessità di agevolare e non ostacolare le indagini dell’autorità giudiziaria”. Contattato da Wired, il Garante non ha commentato la notizia.

Cosa è stato fatto per correre ai ripari, da quel che sappiamo

Individuata la falla, il dipartimento informatico del Mise annuncia di aver adottato alcune misure di protezione per evitare che qualche criminale informatico potesse approfittare delle informazioni trafugate, per esempio impersonando un impiegato e ottenendo così l’accesso a ulteriori informazioni sensibili. 

È questo uno dei metodi più utilizzati per avere la meglio su un’infrastruttura informatica, guadagnando la possibilità di esplorarla per trafugare documenti o ottenere vantaggi economici. Il tutto inizia generalmente con una password e un nome utente, grazie ai quali il criminale informatico può prendere possesso dell’identità di un dipendente e, magari della sua casella di posta. Spesso utilizzata anche contro le aziende, in numerose occasioni questa metodologia ha dato prova della sua efficacia, con abili truffatori che si fingono dirigenti – via mail ma talvolta rinforzando con una telefonata nella quale imitano la voce del dirigente impersonato – per accedere a documenti preziosi o per disporre dei bonifici. Naturalmente a favore di conti schermati all’estero.

Oltre al reset delle password, si apprende dall’informativa, sono state introdotte l’autenticazione a due fattori e l’identificazione tramite video degli utenti non precedentemente verificati. Ulteriori azioni riguardano l’installazione di “agenti di monitoraggio attività”, il “confinamento delle risorse di rete” e la “migrazione o dismissione di server obsoleti”. Un riferimento, quest’ultimo, dal quale si trae conferma che il Mise aveva tra le sue dotazioni dei server orfani, i quali talvolta contengono informazioni preziose e che raramente rientrano nei radar degli uffici tecnici. Non avendo neppure riconosciuto che un data breach c’è stato, il ministero non ha risposto a una richiesta ufficiale di commento da parte di Wired, la quale, tuttavia non ha potuto accertare la reale identità dei suoi interlocutori.

Il CEO di Toyota Akio Toyoda ha lanciato un attacco a tutto tondo contro le auto elettriche in una riunione annuale delle case automobilistiche. Il numero uno della casa giapponese ha infatti criticato l’eccessiva spinta verso i veicoli elettrici, affermando che chi sostiene l’elettrificazione di massa del traffico stradale non ha considerato il carbonio emesso dalla generazione di elettricità oltre ai costi di una transizione totale ai mezzi cosiddetti “green”.

“Una rivoluzione da centinaia di miliardi di euro che lascerebbe il Giappone senza elettricità”

Il boss Toyota, facendo l’esempio del Giappone, ha evidenziato come il Paese del Sol Levante rimarrebbe senza elettricità in estate se tutte le auto funzionassero con energia elettrica. E che l’infrastruttura necessaria per supportare una mobilità composta solo da veicoli elettrici costerebbe al Giappone tra i 14 e i 37 trilioni di Yen, vale a dire tra i 110 miliardi e i 290 miliardi di euro.

“I veicoli elettrici aumentano le emissioni di anidride carbonica”

A ciò si andrebbe ad aggiungere anche il fatto che, a suo dire, i veicoli elettrici a batteria sono più inquinanti dei veicoli a benzina a causa della produzione di elettricità, ancora fortemente legata ai combustibili fossili, che produce emissioni nocive, sfatando dunque il mito delle auto elettriche come veicoli ‘carbon neutral’. “Più veicoli elettrici produciamo, più salgono le emissioni di anidride carbonica” ha detto infatti Toyoda spiegando che considerando la produzione delle batterie le emissioni totali di CO2 di un’auto elettrica sono quasi il doppio rispetto a quelle generate per la fabbricazione di un’auto termica o ibrida.

“Il passaggio all’elettrico farebbe crollare l’industria automobilistica”

Il messaggio del Ceo Toyota è stato ancora più chiaro nel momento in cui si è rivolto direttamente al Governo nipponico (che a breve dovrebbe vietare la vendita di auto a benzina e diesel dal 2035): “Quando i politici sono là fuori a dire: ‘Liberiamoci di tutte le auto che usano benzina’, capiscono tutto ciò?” ha proseguito infatti nella conferenza stampa di fine anno nella sua qualità di presidente della Japan Automobile Manufacturers Association. Toyoda ha poi messo in guardia l’attuale Governo anche sul fatto che se il Giappone sarà troppo frettoloso nel vietare le auto a benzina, “l’attuale modello di business dell’industria automobilistica crollerà”, causando inoltre la perdita di milioni di posti di lavoro.

L’aumento dell’attenzione per le politiche sostenibili e per l’ambiente spinge anche il contenzioso in ambito climatico e, più in generale, ecologico.
A partire dal fenomeno del greenwashing, vale a dire l’utilizzo di politiche di marketing eco-friendly non supportate da dati veri, su cui negli ultimi anni ha acceso i fari l’Autorità Antitrust, che più volte l’ha sanzionato come “pratica commerciale scorretta”.

La Climate change litigation è partita dagli Stati Uniti

In crescita sono anche le liti relative al cambiamento climatico, avviate contro gli Stati o contro le imprese, accusati, con argomentazioni diverse, di non avere impedito o di avere contribuito all’inquinamento e al surriscaldamento globale. Una tendenza consolidata negli Stati Uniti ma che si sta facendo spazio anche negli altri Paesi.

Secondo il Climate change litigation databases della Columbia University, le cause sul cambiamento climatico avviate negli Usa sono state oltre 1.600, contro le 450 del resto del mondo . «Oltre che negli Stati Uniti, il fenomeno è diffuso, ad esempio, anche in Australia e in Nuova Zelanda, dove la tradizione giuridica di common law si unisce a una sensibilità ambientale e sociale», osserva Gian Paolo Coppola, partner di Lca Studio Legale. La law firm ha indagato il fenomeno della climate change litigation in un ampio capitolo del proprio report «Law & sustainability», diffuso nelle scorse settimane.

Il contenzioso ora coinvolge anche lo Stato italiano

Il contenzioso climatico è partito contro gli Stati. A oggi questo è ancora il filone più battuto e si sta affacciando anche in Italia. Lo Stato italiano ha già incassato, a novembre 2020, la condanna della Corte di giustizia Ue nella causa (C-644/18) avviata dalla Commissione per il superamento dei limiti imposti dal diritto Ue sulla qualità dell’aria.

E, dopo un rinvio di un anno dovuto alla pandemia, dovrebbe essere avviata entro l’estate (probabilmente a giugno, di fronte al Tribunale di Roma) la causa dal nome evocativo «Giudizio universale», promossa da un gruppo di associazioni, comitati e cittadini per chiedere allo Stato italiano di ridurre le emissioni. Questa iniziativa si colloca nella scia delle controversie già promosse contro lo Stato olandese, che a dicembre 2019 è stato condannato dalla Corte dell’Aja a ridurre le emissioni inquinanti, e contro quello francese, che a febbraio è stato riconosciuto dal Tribunale amministrativo di Parigi responsabile per non avere agito contro il riscaldamento globale.

Il dipartimento del Tesoro degli Stati Uniti e altre autorità di regolazione sono al lavoro su un insieme di norme per aumentare il grado di comunicazione da parte delle aziende circa l’impatto ambientale delle loro attività. Le discussioni sono ancora in uno stato iniziale e non sono state rese pubbliche: ne ha scritto Bloomberg sulla base delle informazioni ricevute da alcune fonti.

FOCUS SUL “CARBON LEAKAGE”

Il lavoro dell’amministrazione Biden si starebbe concentrando sul cosiddetto fenomeno del carbon leakage (ovvero la delocalizzazione delle aziende in paesi che hanno regole meno restrittive sulle emissioni inquinanti) e sui criteri ESG (sigla che sta per Environmental, Social and Governance), utilizzati per la valutazione della sostenibilità ambientale, sociale e di governance di un investimento.

GLI OBIETTIVI

L’obiettivo di Washington – spiega Bloomberg – è sia favorire un aumento della domanda di asset dall’impatto climatico “positivo” da parte della finanza, sia evitare che le imprese si macchino di greenwashing attraverso un ecologismo “di facciata” costruito attraverso strategie di comunicazione ingannevoli.

I TIMORI DEGLI AMBIENTALISTI

Il timore degli ambientalisti è che, senza un efficace monitoraggio governativo, i settori industriali possano definire standard climatici “deboli”, che permettano alle aziende di proseguire con certe attività ad alta intensità di carbonio e di compensarle poi con pratiche di carbon offset poco incisive.

COSA FA LA SEC

La settimana scorsa la Securities and Exchange Commission (SEC), l’ente federale statunitense che si occupa di vigilare sulla borsa valori, ha detto che aprirà un appello per la presentazione di proposte per un eventuale cambiamento delle politiche sulla comunicazione dell’impatto climatico delle aziende. La SEC sta valutando la possibilità di istituire standard diversi a seconda del settore economico, tra le altre cose.

COSA FANNO LE BANCHE AMERICANE

Grandi banche americane come Citigroup e Goldman Sachs hanno annunciato l’impegno all’azzeramento delle emissioni nette, “pareggiando” cioè la quantità di gas serra generati con quelli che vengono rimossi o compensati in altro modo. Per raggiungere l’obiettivo dello zero netto, nota Bloomberg, sono però necessari “costosi cambiamenti strutturali”, visto che il focus dovrebbe essere innanzitutto sul taglio delle emissioni e solo successivamente sulle misure di compensazione delle quantità rimaste.

GLI OBIETTIVI CLIMATICI DI BIDEN

Il presidente degli Stati Uniti Joe Biden vuole che il paese raggiunga la neutralità carbonica entro il 2050. Per il prossimo 22 aprile il suo governo ha organizzato un vertice internazionale sul clima, durante il quale ci si aspetta che Biden annunci un obiettivo molto ambizioso per il taglio delle emissioni sul breve termine, al 2030, così da riportare l’America alla guida dell’azione climatica globale. Il predecessore di Biden, Donald Trump, si era ritirato dagli accordi di Parigi.

GLI STANDARD FINANZIARI E L’INFLUENZA INTERNAZIONALE

L’amministrazione Biden considera l’azione climatica anche una questione geopolitica, utile al rafforzamento dell’influenza internazionale degli Stati Uniti. Uno strumento utile allo scopo, oltre all’impegno per un taglio sostanzioso delle emissioni, è proprio la definizione di standard per la finanza e l’industria “verdi” che potrebbero venire adottati da altri paesi. Per Washington, l’occasione migliore per promuovere il suo eventuale set di regole – il carbon leakage è uno dei temi più caldi – è la COP26, la conferenza sui cambiamenti climatici delle Nazioni Unite che si terrà il prossimo novembre.

Amazon è ormai un colosso dell’ e-commerce, presente in tantissimi paesi di tutto il mondo e questa sua conquista, compiuta in pochissimi anni è stata fin da subito basata su un controllo maniacale di ogni aspetto, dalle spedizioni all’organizzazione dei magazzini fino alla gestione degli ordini e del servizio clienti.

Oggi compie un ulteriore passo avanti in nome dell’efficienza, ma sconfinando forse un po’ a sfavore del lato umano.

Già da qualche settimana negli USA ha installato delle telecamere di sorveglianza dotate di intelligenza artificiale ma solo adesso ha iniziato ad obbligare gli autisti ad accettare di essere letteralmente sorvegliati dall’AI. Pena? Il licenziamento.

Le informazioni raccolte dall’AI riguardano un po’ tutti gli aspetti della guida, dalla velocità alle miglia percorse, le accelerazioni, le frenate gli stop rispettati, l’utilizzo della cintura, la distanza mantenuta dal veicolo che precede.
Anche le immagini del guidatore, per verificarne l’identità, e stili di guida potenzialmente pericolosi perché imprudenti o distratti verranno collezionati dalle camere.

Il sistema, inoltre è in grado di dare feedback al guidatore in tempo reale, consigliando eventualmente di fare una sosta quando rileva particolare stanchezza.

Al momento la notizia non è stata presa bene da tutti i lavoratori, alcuni dei quali dichiarano un’eccessiva invasione della privacy.

Amazon non sembra però voler fare marcia indietro e difficilmente lo farà, vedremo come proseguirà la vicenda e soprattutto come andrà in Italia.