Quando i dati escono di scena: cosa succede davvero in un data breach e come cambia la nostra vita digitale

Data Breach

Immagina di tornare a casa e di trovare la porta spalancata, l’armadio aperto e i cassetti rovesciati.

Non manca nulla di materiale, ma qualcuno ha fotocopiato tutto: documenti, foto, lettere d’amore, estratto conto, ricette della nonna.

Il furto non si vede, però è appena successo.

Un data breach è questo, solo che la casa è un server, i documenti sono i tuoi dati e il ladro non ha neppure dovuto forzare la serranda: è entrato da una finestra lasciata socchiusa da chi doveva aggiustarla.

Dal 2013 a oggi: il buco nero è più grande di San Francisco

Il primo studio che mise nero su bianco la portata del fenomeno fu quello di Gemalto nel 2014: oltre un miliardo di record compromessi in dodici mesi. Sembrava un bollettino di guerra, invece era solo l’antipasto.

Nel luglio 2023 lo stesso gruppo – oggi Thales – ha aggiornato i conti: 36 miliardi di record trafugati nel decennio.

Per dare un’idea, sono più di quattro volte la popolazione terrestre.

E il 2024 non sta facendo rimpiangere il passato: entro settembre sono già stati segnalati 5,3 miliardi di record compromessi, con picchi singoli come il breach di “National Public Data” (2,9 miliardi di record contenenti nomi, indirizzi, SSN e parentele) e quello di “Ticketmaster/Snowflake” (560 milioni di account di clienti di concerti e sport).

Perché il danno non è “solo” economico

Nel 2022 l’FBI ha registrato 800.944 denunce di cyber-crime per un totale di 10,3 miliardi di dollari di perdite, ma la cifra è una fotografia parziale: non include il tempo che passerai a spiegare alla banca che quel mutuo non l’hai chiesto tu, né l’ansia di vedere comparire la tua faccia su un deep-fake pornografico, né il ricatto subito da un adolescente il cui diario digitale è finito su un forum russo.

Nel Regno Unito, l’ICO (l’autorità privacy) ha stimato che il 32 % delle vittime di breach sanitari sviluppa sintomi di ansia o depressione entro sei mesi.

I dati non sono aggiornatissimi, ma nel 2023 l’NHS ha dovuto offrire assistenza psicologica a 12.000 pazienti dopo il ransomware di “NHS 111”.

La nuova geografia del rischio

Fino a qualche anno ago il mantra era “usa password lunghe e non cliccare sul principe nigeriano”.

Oggi il punto debole è spesso una catena di sub-fornitori che neanche l’azienda conosce.

Prendete il caso MOVEit: un software di trasferimento file usato da migliaia di enti pubblici e banche.

A maggio 2023 un bug zero-day ha esposto i dati di oltre 2.000 organizzazioni in un solo colpo, tra cui il Ministero della Difesa francese, la BBC, British Airways e la stessa Shell.

Il gruppo Cl0p non ha attaccato direttamente questi colossi: ha semplicemente trovato il punto più sottile della corda e l’ha tagliato.

GDPR: multe che fanno male, ma non bastano

Il regolamento europeo ha portato le sanzioni a sette cifre.

Nel 2024 Meta ha preso 1,2 miliardi di euro per il trasferimento illecito di dati personali verso gli USA; TikTok 345 milioni per il trattamento minorile; Clearview AI 305 milioni per aver creato un database biometrico senza consenso.

Le aziende però stanno imparando a “fare i conti”: se il costo atteso di una multa è inferiore al profitto derivante dal trattamento massiccio dei dati, il breach diventa un rischio calcolato.

Serve una svolta: in Italia la proposta di legge “Alessandroni” (DDL 2284/2022) chiede sanzioni penali personali per gli amministratori e l’obbligo di risarcimento immediato alle vittime, ma è ferma in commissione da un anno.

Cosa può fare una persona sola – e cosa non basta più

  1. Congelare i servizi di credito: in Italia si può chiedere la “frode alert” a Crif, Experian e CTC. Costa pochi euro ed è valido un anno.
  2. Password uniche + manager: ancora oggi il 68 % degli italiani riutilizza la stessa password. Se non vuoi un vault self-hosted, Bitwarden ha un piano gratuito open-source; se invece vuoi tenere tutto in casa, Vaultwarden si installa su un Raspberry Pi in mezz’ora.
  3. Verifica in tempo reale: il portale haveibeenpwned.com di Troy Hunt ora invia notifiche push se la tua mail finisce in un nuovo dump; in alternativa Firefox Monitor e Google Password Checkup scansionano automaticamente le credenziali salvate nel browser.
  4. Menomare il dato: dove possibile, dare informazioni incomplete. Il negozio online ha davvero bisogno della tua data di nascita? Il campo “nome” può diventare “G. Rossi” senza che nessuno si offenda.
  5. Backup criptati offline: quando il ransomware colpisce (e lo fa nel 40 % dei casi di breach aziendale), l’unico antidoto è un disco scollegato aggiornato almeno ogni settimana.

Il problema non è “se”, ma “quando”

Nel 2019 Bruce Schneier diceva: “I dati sono un sottoprodotto tossico del XXI secolo”.

Sei anni dopo la frase è ancora vera, solo che la tossicità è diventata cronica.

Non esiste un software, un consiglio o una legge che possa renderci immuni: l’unica difesa è ridurre la quantità di veleno che produciamo, chiedere conto a chi lo immagazzina e, quando il danno arriva, avere già in tasca il piano di fuga.

Perché il furto dei dati non è un episodio: è il prezzo d’ingresso a un mondo che ha scelto di conoscere tutto di noi, prima ancora che noi conoscessimo noi stessi.