C’è una pista che lega l’attacco ransomware Lockbit 2.0 alla regione Lazio alla marea di attacchi cyber che sta mettendo in ginocchio l’Olanda? È una domanda che sia l’intelligence italiana sia la Polizia postale si stanno ponendo.

Nelle ore scorse, proprio mentre l’Italia faceva i conti con il crittaggio dei server della regione guidata da Nicola Zingaretti, i direttori delle tre principali società di cybersecurity olandesi, Eye, Hunt&Hackett e Northwave, hanno chiesto al governo di Mark Rutte di considerare un’“emergenza nazionale” l’escalation di attacchi tutt’ora in corso e di intervenire di conseguenza.

“Siamo costretti a dire di no ai nostri clienti, nel mirino dei ransomware ci sono anche larghe istituzioni”, ha confessato al Volkskrant il fondatore di Hunt&Hackett, Ronald Prins. Non è da escludere che si tratti di due piste separate, ma chi sta indagando sull’origine del ransowmare che ha messo in ginocchio la PA del Lazio sta studiando anche il caso olandese.

Sulla vicenda italiana sono al lavoro, insieme alla Procura di Roma, anche l’Fbi e l’Europol. Oggi il Copasir, il comitato parlamentare di controllo dell’intelligence, ha acceso un nuovo faro. Dopo l’audizione del ministro dell’Interno Luciana Lamorgese questo martedì, a Palazzo San Macuto è stato il turno del direttore generale e del vicedirettore del Dis, Elisabetta Belloni e Roberto Baldoni.

“Una relazione circostanziata sull’evento – ha fatto sapere a margine il presidente del comitato e senatore di Fdi Adolfo Urso – l’intelligence si è mossa subito per capire come contrastare meglio e nel contempo l’amministrazione sta agendo per ripristinare in efficienza il sistema”.

L’emergenza però è tutt’altro che scampata. Il collettivo responsabile dell’attacco ha crittato i dati dei server e il conto alla rovescia è già partito. La linea del governo, ribadita da Lamorgese e dai vertici dell’intelligence, non è cambiata: con i criminali non si tratta, né si pagano riscatti (la cifra richiesta sarebbe di 5 milioni di euro).

Quale sia l’esito, l’intrusione cyber dentro alla regione è un caso di scuola. Perché tutta l’operazione è partita dal più temibile degli errori, quello umano. Ad aprire involontariamente le porte dei server agli intrusi sarebbe stato, secondo le prime indagini, un dipendente della società gestrice Lazio Crea, in smart working nella provincia di Frosinone.

Ma l’attacco hacker suona più di un campanello d’allarme. Sull’inadeguatezza, ad esempio, del codice penale italiano nel sanzionare e perseguire i reati cibernetici, o quando possibile prevenirli. Una riflessione più ampia a Palazzo San Macuto è stata fatta sui poteri speciali che la legge, almeno sulla carta, prevede per il presidente del Consiglio in caso di emergenza nazionale a seguito di un attacco cyber.

Questa volta nel mirino degli hacker sono finiti dati sensibili, alcuni dei quali riguardanti alte cariche dello Stato, ma la posta in gioco può essere ancora più alta. Che succede se i server del Viminale, o della Difesa diventano ostaggio di un gruppo cyber-criminale?

Come nel caso della regione Lazio, anche queste amministrazioni rientrano nell’elenco dei “soggetti essenziali” difesi dal “Perimetro cyber”, pronto a passare sotto il controllo dell’Agenzia nazionale per la cybersicurezza (Acn) che il governo dovrebbe inaugurare nel Cdm di questo giovedì.

Finché non sarà operativa, però, il Dis, cioè l’intelligence, continuerà a monitorare sulla sicurezza delle infrastrutture critiche. In casi estremi la legge-quadro sul comparto approvata dal governo Monti, la 133 del 2012, prevede per il premier la possibilità di impartire all’intelligence “direttive per rafforzare le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali”. Un vero e proprio interruttore in mano a Palazzo Chigi per “spegnere” il sistema in caso di compromissione esterna di strutture essenziali. Come dimostra l’aggressione di questi giorni alla regione Lazio, non si tratta di fantascienza..