Un altro data breach colossale va ad aggiungersi all’impressionante elenco dei disastri informatici che quotidianamente ci ricordano quanto sia vulnerabile la infrastruttura digitale cui stiamo affidando il presente e il futuro della nostra società, del nostro vivere.

Dopo la sanità, le pubbliche amministrazioni, provider Internet e telefonici, giganti dell’e-commerce, banche, assicurazioni, e siti web da milioni di iscritti, ad essere colpito è un altro settore che tratta (e dovrebbe tenere al sicuro da occhi indiscreti) informazioni personali altamente critiche: il mondo del credit scoring. Il cyber attacco ha mirato al bersaglio grosso, una compagnia leader di mercato che – attraverso la raccolta di dati molto delicati – definisce l’affidabilità economica di milioni di individui.

Giovedì scorso Equifax – una delle più grandi agenzie di valutazione del credito al mondo, operante soprattutto negli USA e nei paesi anglosassoni (compreso il Regno Unito) – ha reso noto che un colossale data breach ha riguardato i propri sistemi informatici. L’intrusione è stata scoperta il 29 luglio e sarebbe andata avanti da maggio fino ad, appunto, luglio 2017.

Gli hacker hanno avuto accesso ai dati di ben 143 milioni di persone (quasi la metà della popolazione americana), quali: nome, data di nascita, indirizzi, Social Security Number, e – laddove presenti – numeri di patenti di guida. Oltre a ciò sono stati violati i numeri delle carte di credito di 209.000 individui e oltre 100.000 pratiche di contenzioso.

Le dimensioni del problema sono tali da aver indotto Equifax ad implementare un sito apposito per informare gli utenti e aiutarli a capire se e come siano stati coinvolti. Nella homepage del sito compare anche un video in cui il CEO di Equifax con occhi lucidi spiega l’accaduto e promette – primo caso al mondo, spontaneamente e gratuitamente – alle vittime statunitensi un pacchetto (della validità di un anno) di protezione contro il furto di identità e di monitoraggio del credito bancario per contrastare operazioni non autorizzate.

Ci sono alcuni aspetti di questa vicenda che destano qualche perplessità. Innanzitutto, il pacchetto di protezione identità e monitoraggio del credito di un anno non appare essere una copertura adeguatamente estesa perché non tiene conto che l’accaduto potrebbe produrre danni agli interessati vita natural durante. Se, infatti, è vero che una carta di credito si può bloccare e sostituire, non altrettanto si può dire per il Social Security Number che è assegnato a vita ad ogni cittadino USA (è utilizzato come strumento di identificazione univoca delle persone fisiche) e che deve rimanere segreto, anche perché tramite esso si può accedere a molteplici servizi governativi o offerti da privati (ad esempio, un mutuo). Ebbene, è indubbio che i servizi del pacchetto sicurezza offerti da Equifax sono molto costosi e che l’azienda non potrebbe mai permettersi di estendere tale copertura a tutta l’esistenza di ciascuna delle 143 milioni di persone colpite, ma nell’annunciare il “gentile omaggio” sarebbe stato opportuno ricordare agli interessati che nulla potrà metterli al riparo da un futuro uso fraudolento dei dati rubati.

Oltre a ciò un dubbio: perché Equifax ha atteso tanto (quasi un mese e mezzo) prima di rendere pubblica la notizia? Un’ombra al cui fianco se ne staglia un’altra, forse ancor più inquietante: perché – come riportato da Bloomberg – tre senior executives di Equifax hanno venduto azioni per il valore di quasi 2 milioni di USD nei giorni seguenti all’attacco mentre il pubblico era ignaro di tutto? Si è trattato, come sostenuto dall’azienda, soltanto di una mera coincidenza?