Quando un amico mi ha girato su WhatsApp il comunicato stampa dell’importantissimo Istituto di Credito ho pensato di conoscere davvero tanta gente simpatica. Mi sono pure chiesto perché avesse perso tanto tempo prezioso per confezionare un testo così bizzarro, ma tutto sommato l’ho considerato un contributo al buon umore, ingrediente – questo – che sembra destinato a scomparire.
Quando l’ho girato ad un carissimo amico, bancario di altri tempi e profondo conoscitore da oltre quarant’anni di questioni legate al computer crime, mi sono visto rispondere “Umberto, ma siamo sicuri che non sia un falso? Sembra un comunicato di condominio”.
La riflessione non era da poco, soprattutto perché proveniente da un vero esperto del settore e non da uno che (come Alberto Sordi nel film di Verdone “Troppo forte”), addormentatosi avvocato e poi ballerino classico, si è svegliato ieri guru della cybersecurity per esser domani notaio e dopodomani cardiochirurgo.
Ho pensato alla redazione de Il Male che confezionò la prima pagina di Paese Sera che titolava “Ugo Tognazzi capo delle Brigate Rosse” e ho sperato ardentemente che in un Rinascimento della goliardia.
La coscienza che i tempi sono cambiati (e certo non in meglio) ha risvegliato lo spirito investigativo, costringendomi a verificare sul sito web di Intesa Sanpaolo l’effettiva pubblicazione di un simile documento e naturalmente l’ho trovato online.
La curiosità (seconda solo a quella del dipendente licenziato) mi ha spinto a scaricare il documento e vederne le “proprietà”, scoprendo facilmente che il file è stato confezionato alle 19.04 del 13 ottobre. E così non ho resistito a leggere chi fosse la pregevole “penna” che aveva vergato il diplomatico testo e al contempo chi fosse lo stacanovista che era stato capace di sacrificare la domenica per la stesura di quella pagina.
Ho trovato (come chiunque può fare seguendo i miei stessi elementari passaggi) che alla voce “autore” compare il nome “Blasi Simone”. Molti mettono nomi di fantasia oppure lasciano in bianco quella voce e così sono andato a vedere la pagina dell’ufficio stampa di Intesa Sanpaolo, incappando nel nome dell’estensore e sincerandomi dell’autenticità assoluta del comunicato.
A questo punto non ho resistito ad esaminare con pazienza il contenuto di un “mea culpa” che ha evocato nel mio cuore sensibile le struggenti immagini di un Ministro costretto a cospargersi sul capo (peraltro ferito) tonnellate di cenere in diretta televisiva nel telegiornale dell’ammiraglia RAI.
La disamina attenta si rivela un’operazione interessante perché si notano alcune piccole ma significative imprecisioni che forse – testo alla mano – vale la pena vedere da vicino.
Intesa Sanpaolo spiega che il “dipendente infedele” ha semplicemente “consultato dati e informazioni”, dimenticando che la “consultazione” (già dai tempi della legge 675/96 che introdusse in Italia la disciplina della privacy) è una delle operazioni di “trattamento dei dati” che soggiacciono (al pari della copia o della stampa o di altre attività) a regole precise il cui venirne meno comporta un trattamento illecito opportunamente sanzionato.
La stessa frase ha scardinato una mia convinzione e persino la Treccani che a proposito di “alcuni”, nell’indicare indeterminatamente persona o cosa, dice essere espressione riferita a quantità limitata. La “modica quantità” (anche nel contrasto al traffico di stupefacenti) è concetto vago, ma oggi impariamo che “alcuni” vuol dire approssimativamente 3.500 persone, cliente più, cliente meno.
Il comunicato elenca un numero di azioni fatte scattare da Intesa Sanpaolo omettendo però il rispettivo riferimento temporale che – sembra una bazzecola – può ridurre il volume degli applausi che di solito spettano a chi si impegna con tutte le sue forze.
Cominciamo con il sistema interno di controlli. Un’efficacia rara. E’ stato capace di limitare le scorribande a sole 640 giornate lavorative (tra il 21 febbraio 2022 e il 24 aprile 2024) e fortunatamente all’esigua attività di 6.637 accessi «apparentemente non giustificati da esigenze lavorative su posizioni di clienti estranei al suo portafoglio commerciale e al di fuori del perimetro di competenza della Filiale Agribusiness di Barletta». Siccome c’è sempre da imparare, vorrei conoscere chi ha progettato un meccanismo così potente, chi lo ha comprato e chi se ne è vantato e giustamente continua a farlo visto che nel Comunicato Stampa si legge anche che “Confermiamo che non c’è stato alcun problema di sicurezza informatica rispetto alla quale Intesa Sanpaolo si colloca nelle migliori posizioni internazionali”.
Se è bello sapere che non ci sono stati problemi (figuriamoci se ci fossero stati) e che la banca si piazza in vetta alle classifiche mondiali (pensa come stanno messi quelli in zona retrocessione), è opportuno tornare a tempi e modi della reazione alla vicenda.
Il Regolamento Europeo in materia di riservatezza dei dati personali (al Considerando 86) sancisce che “Il titolare del trattamento dovrebbe comunicare all’interessato la violazione dei dati personali senza indebito ritardo, qualora questa violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà della persona fisica, al fine di consentirgli di prendere le precauzioni necessarie”.
Forse mi sbaglio, ma la clientela ha scoperto “non proprio subito” la violazione in proprio danno. Non credo che la Premier (e con lei tutti gli altri) sia stata informata immediatamente delle consultazioni indebite che la riguardavano, perché dal 9 maggio scorso (giorno del licenziamento del Coviello) la Meloni non avrebbe aspettato l’autunno per parlare di “dossieraggio quotidiano”…
Lo stesso Garante – cui deve essere notificata la violazione dei dati entro 72 ore dalla relativa scoperta – è stato informato solo il 17 luglio 2024 a due anni dal girovagare curioso e 69 giorni dopo la pietra tombale sul rapporto di lavoro del protagonista della scorreria digitale.
La denuncia in Procura è arrivata addirittura il 21 agosto, quando la magistratura era già al lavoro da tempo grazie all’esposto di un cliente di Intesa Sanpaolo sul cui conto erano state fatte decine di “visite”.
Prendiamo per buono il commovente chiedere scusa e il lacrimevole “Quanto avvenuto non dovrà più accadere”. Ma con la sicurezza informatica “nelle migliori posizioni internazionali” come ha potuto aver luogo un simile dramma?