{{feedLink}}

160.000 documenti rubati.

furto di identità Christian Bernieri
(Aggiornato il )

Sommario

 

 

CAUSA-EFFETTO

160.000 (and counting) scansioni integrali ad alta risoluzione di documenti di identità (cie, patenti, passaporti) sono stati rubati da una decina (and counting) di hotel e, in queste ore, sono attivamente sfruttati per ricatti, truffe, furti di identità e altre azioni criminali. Ma tranquilli, è stata fatta denuncia alle autorità ed è tutto sotto controllo!

Ma cosa sta succedendo? Da un punto di vista tecnico, la questione è già abbastanza chiara ed è stata descritta molto bene da Luca Bolognini in questi due articoli:

il primo articolo - analisi dell’accaduto, contesto e implicazioni

il secondo articolo - approfondimento tecnico e descrizione della vulnerabilità sfruttata.

Accanto ai fatti ci sono i comunicati che raccontano una storia rosea, fluffolosa e coccolosa: quelli degli hotel coinvolti, quello dell’azienda informatica compromessa, quello del Garante Privacy.

Tranquilli… il nostro è certamente il migliore dei mondi possibili, quello ideale, dove tutto funziona alla perfezione grazie a norme chiare, equilibrate e ben scritte, fatte per orientare i comportamenti e garantire l'ordine precostituito. Non si può evitare che esistano i malfattori, ne siamo tutti vittime, ma chi non si attiene alle regole viene rapidamente individuato, sanzionato e l'eventuale danno, sia sociale che individuale, trova pronto ristoro.

 

 

Hem… ma nemmeno per sogno!

Questa è una confortante coccola, talmente distante dal vero da suonare come una presa per il culo: non siamo nemmeno lontanamente in questa situazione.

Direi che, al contrario, giorno dopo giorno è sempre più evidente uno scenario ben diverso: la situazione è degenerata e per sopravvivere bisogna essere molto scafati e sempre pronti al peggio, “serve gente povera, furba e affamata, senza sentimenti. A volte vinci, a volte perdi, ma continui a combattere. E se vuoi un amico, prendi un cane.” (© Gordon Gekko)

Do il mio benvenuto nell’epoca della cibernetica a tutti gli spensierati ottimisti che pensano che quanto accaduto sia semplicemente un incidente informatico!    

(intermezzo musicale)

 

Welcome to the jungle🎵
We got fun n' games 🎵
We got everything you want 🎶
Honey, we know the names 🎵
We are the people that can find 🎶
Whatever you may need 🎵
If you got the money, honey 🎶
We got your disease🎵

Welcome to the jungle 🎶
Watch it bring you to your knees, knees 🎵
I wanna watch you bleed🎶

Welcome to the jungle 🎵
We take it day by day 🎶
If you want it you're gonna bleed 🎵
But it's the price you pay 🎶
And you're a very sexy girl 🎵
That's very hard to please 🎶
You can taste the bright lights 🎵
But you won't get them for free 🎶
In the jungle 🎵
Welcome to the jungle 🎶
Feel my, my, my serpentine 🎵
I, I wanna hear you scream 🎶

Welcome to the jungle 🎵
It gets worse here everyday 🎶
Ya learn ta live like an animal 🎵
In the jungle where we play 🎶
If you got a hunger for what you see 🎵
You'll take it eventually 🎵
You can have anything you want 🎶
But you better not take it from me 🎵

Welcome to the jungle - Guns’n’Roses
© Axl Rose, Slash, Izzy Stradlin, Duff McKagan, and Steven Adler

 

No, non sto esagerando, questa è esattamente la nostra situazione.

 

Come Dpo posso permettermi il lusso di prescindere dalla cronaca e dagli aspetti tecnici legati al singolo evento. Preferisco ragionare sulle cause, anche per capire come evitare che fatti simili si ripetano in futuro. Ce n’è molto bisogno anche perché ho la netta impressione che, in generale, si tende ad invertire la causa con l’effetto. Un errorino da poco!

Nel mio piccolo, vedo un errore di fondo: un mattoncino che, sgretolandosi, ha fatto crollare tutto, travolgendo anche le nostre illusioni. Lo riscontro ovunque, diffuso come un virus, una malefica tendenza generalizzata, mascherata da efficienza e necessità di digitalizzazione: negli enti della pubblica amministrazione quando viene chiesto ai cittadini di compilare estenuanti moduli online (o cartacei) con gli stessi dati che la pubblica amministrazione ha già; quando viaggiamo e facciamo il check-in online; quando affittiamo un appartamento e ci viene chiesto di anticipare i documenti di tutti coloro che vi alloggeranno; negli hotel che promettono incredibili risparmi di tempo se, dopo aver prenotato, si utilizza la procedura di registrazione online, quando si noleggia un auto e bisogna fornire informazioni irrilevanti in questa fase del servizio, ovunque. 

Mi capita in continuazione: provano tutti a farmi fare il lavoro di qualcun altro. Ma io non sono un funzionario del comune, né un addetto al check-in, né un concierge. Non percepisco il loro stipendio, non ho le loro competenze e non posso gestire le loro responsabilità. A pensarci bene, mi dispiace che queste persone abbiano meno lavoro a causa mia, specialmente perché, se smettono di essere necessarie, saranno probabilmente licenziate. Non voglio avere questo peso sulla coscienza, voglio aiutarle.

Ribadisco, non invertiamo la causa con l’effetto: tutto ciò non accade a causa della tecnologia, ma a causa di una perversa e perniciosa scelta umana, dell’idea partorita da chi non ha compreso il senso di “digitale” e ha pensato di poter scaricare la colpa di tutto sulla tecnologia. È esattamente questo che ci ha regalato portali della PA aperti solo in orari d’ufficio oppure a ricevere email con allegato un modulo da stampare, compilare, firmare, scansionare e restituire via email, allegando anche una copia scansionata di un documento di identità. Sublimi vette di idiozia.

La digitalizzazione acdc (© Renè Ferretti).

 

La nuova tendenza è trasferire il lavoro dai funzionari agli utenti, ammantare tutto di oscure tecnologie per rendere i processi meno trasparenti e farli apparire più fighi.

Si dice "efficientamento" ma significa “bastardata”. 

Quando si indìce una gara di bastardaggine divento competitivo e quindi mi trovo spesso a compilare questi moduli in modo coerente con al loro natura: acdc. Inserisco appositamente errori, inverto il nome con il cognome, la data in formato americano e non italiano, aggiungo lettere e typo di vario genere. Un bastardo da podio.

Non è altro che il mio modo per suggerire al mondo che questa non sia la strada giusta e che la tecnologia sia solo un mezzo, non una soluzione.

Il sottinteso è tanto ingenuo quanto disarmante: risparmiare tempo e lavoro, risparmiare sui costi, risparmiare fatica e, nel caso di errori, poter biasimare l’utente e non l’organizzazione stessa. 

È solo l’altra faccia di un'unica medaglia: da una parte c’è la pigrizia che porta le persone a commettere errori fatali che mettono in crisi la sicurezza individuale, come usare sempre la stessa password, scriverla sui post-it, rimandare gli aggiornamenti che richiedono il riavvio del sistema, ecc. Dall’altra parte c’è la pigrizia organizzativa, tipica di chi ha uno scopo limitato e miope: deve sembrare che tutto funzioni in modo efficiente e figo, ignorando ogni visione d’insieme, le conseguenze, i rischi, le ricadute.

Sciocchi!

Gli alti volumi, la complessità, e i grandi numeri richiedono gente che sappia gestire il carico di lavoro, non chi cerca ogni modo per evitare la fatica. Non si possono gestire i dati acdc, specialmente quando riguardano migliaia di persone.





DEDICATO A TE: PIGRO VACANZIERO VIAGGIATORE

Svegliati - ribellati - alza il culo dal divano

Sappilo: la legge non autorizza nessun abergatore a fotografare o scansionare  il tuo documento di identità. Non esiste norma che permetta un comportamento simile. L’unica cosa che ti può essere chiesta è di trascrivere i dati del documento: nome, cognome, genere, data di nascita, luogo di nascita, cittadinanza, il tipo di documento di identità, il numero e il luogo di rilascio, la data di arrivo e il numero di giorni di permanenza. Niente di più.

Se qualcuno vuole fotografarlo devi incazzarti come una bestia, puoi fare una scenata, urlare platealmente e bloccarlo,  perché è una violenza nei tuoi confronti alla quale devi resistere. Accetteresti che l’addetto alla reception pretenda di aprire le tue valigie, frugare tra gli abiti e farsi un giro con il tuo bel maglioncino Golden Goose? Accetteresti di dover dare accesso completo alle foto scattate con il tuo cellulare per poter soggiornare? Ecco, copiare il documento è altrettanto invasivo ed inaccettabile. Se tu stesso non fai niente per tutelarti, se sei così tonto da acconsentire ad ogni abuso, nessuno ti può aiutare e ti meriti il peggio di ciò che possa accadere.

Se ti senti dire: “le restituisco il documento appena registrato” va meglio ma occhi aperti, meglio una parola in più che una in meno, meglio chiedere espressamente che il documento non venga copiato, ma solo trascritto.

E se l’albergatore è figlio 'e 'ntrocchia ed insiste dicendo che lui “lo deve fare”, che lui “non può decidere”, che “il programma lo richiede”, che “deve mandare tutto alla questura”, e accampa altre fantasiosi scuse, sappi che sono tutte balle. La realtà è una sola e non è soggetta a interpretazione.

Non c’è nemmeno bisogno discutere, la questione è già chiusa: lo dice la Questura, lo dice il Garante, lo dice la norma:

Breve spiegone dalla Questura, a prova di imbecille:

https://questure.poliziadistato.it/statics/45/info-alloggiati.pdf 

Se tre pagine sono troppe, punta il ditino su questa riga: “I dati degli ospiti devono essere distrutti o cancellati non appena ottenuta la ricevuta”

Ecco la documentazione e le istruzioni per i gestori e i testi della norma:
https://alloggiatiweb.poliziadistato.it/PortaleAlloggiati/SupInfo.aspx 

Parere del Garante (2012) relativo alla norma:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2099252

Mic-drop.


DEDICATO A TE: PIGRO ALBERGATORE 

fai il tuo lavoro e cerca di farlo bene

Lo so, probabilmente ti hanno ingannato promettendoti miracoli e, per questo, stai usando un gestionale, un programma, una app mirabolande che sa fare tutto. Così dice. Sei stato suggestionato dalle solite buzzwords: cloud, blockchain, big data e data driven, deep learning, intelligenza artificiale, IOT, interconesso, saas, responsive e quantistico. Tutto bello, tutto fantastico, peccato che la colpa di ciò che sta accadendo sia tutta sulle tue spalle. Si, perché questo mondo è spietato e, se scegli un cialtrone come partner, ogni cialtronata riporta a te. Pigro albergatore che ti sei fidato di https://www.passportscan.net, tutto ciò che sta accadendo è colpa tua. I cialtroni esisteranno sempre, ma tu sei un imprenditore e li devi evitare. È una responsabilità tua, non di qualcun altro. Come hai fatto a credere che esistano soluzioni magiche, che eliminino la tua fatica, i tuoi costi, i tuoi rischi di impresa? Ma ti pare possibile? Se decidi di affidarti alla magia finirà sempre nello stesso modo: molto male. Ti hanno garantito che tutto è a norma e rispetta il GDPR e tu ci credi?

Svegliati, imbecille!

Hai fatto un casino!

Ora, per favore, rimedia:

  • togli quel sistema schifoso e inizia a fare meglio il tuo lavoro;
  • avverti tutte le persone che, negli ultimi anni, sono transitate nella tua struttura;
  • notifica il data breach al Garante Privacy;
  • contatta un DPO per sapere cos’altro stai sbagliando perché, ad occhio e croce, ne hai veramente bisogno.



DEDICATO A TE: PIGRO PROGRAMMATORE

Per te ho solo due parole che mi sgorgano dal cuore: cambia mestiere !

Tutti i giorni incontro gente con fantastiche idee che si fondano sul nulla: nessuna competenza, nessun metodo, nessuna capacità di gestione e di analisi. Solo una bella idea, di quelle che gli studenti di ingegneria cercano di trovare spremendosi il cervello al tavolino dell’aperitivo, a due passi dalla facoltà, quell’idea che cambierà il mondo e che li farà svoltare come, per esempio, il sottobicchiere (c’è già), la cannuccia (mannaggia, già inventata), il ghiaccio a forma di cubo (bastardi), il piattino con il buco portabicchiere (maledetto genio), l’ombrellino di carta colorata (ma perché è già stato tutto inventato?)! 

Peccato che non funzioni così, ne da studenti né da adulti. L’idea, da sola, è suggestiva ma rischia di fare molti danni… danni che saranno altri a sopportare.

Pigro programmatore devi fare bene il tuo mestiere: progettare, sviluppare, testare, verificare, migliorare. 

Ci sarebbe anche un ulteriore piccolo dettaglio da considerare: dovresti mantenere le promesse. Non puoi dichiarare che i dati saranno cancellati dopo 30 giorni e poi lasciare tutti i dati li dove sono, per anni.

Pigro programmatore, lo sai già ma fai finta di non saperlo perché è meglio passare per ciglione piuttosto che per criminale: i dati che non ti servono vanno cancellati!

Volendo, ma proprio proprio se volessimo esagerare, si potrebbe persino provare a fare questa incredibile nuova esperienza: rispettare la legge. Se la normativa ti dice che devi cancellare i dati appena ottenuta la ricevuta dell’invio alla Questura, tu quei dati li cancelli. Punto. Se li vuoi tenere deve sapere che:

  1. sei un coglione
  2. sei anche un malfattore
  3. stai violando la legge
  4. non potrai giustificare questa scelta
  5. ne pagherai le conseguenze
  6. farai molto male a molta gente e questo farà di te un farabutto.

Non so come tu possa dormire di notte sapendo che il tuo operato peggiora il mondo, giorno dopo giorno. 



DEDICATO A TE: PIGRO FUNZIONARIO DELL’IMPERO 

Ogni riferimento a questo comunicato è puramente intenzionale:  https://garanteprivacy.it/home/docweb/-/docweb-display/docweb/10158043 

 

Nel mondo ideale, le regole non servono a nulla.

Nel mondo ideale, le persone si comportano spontaneamente in modo corretto.

Nel mondo ideale tutto funziona alla perfezione.

 

Peccato che siamo molto lontani dal mondo ideale e le autorità di controllo dovrebbero prenderne atto.

Se la gente fa cazzate, non va punita per gli errori commessi, ma va prima aiutata ad evitare di sbagliare.

Ci sono tanti modi per farlo. Il peggiore di tutti è pubblicare un deprimente comunicato in burocratese, dicendo: “Si sollecitano, da ultimo, gli operatori di settore ad avvalersi delle modalità sicure di trattamento dei dati mediante l'utilizzo del portale “Alloggiati web” allocato presso l'infrastruttura informatica della Polizia di Stato.

Ricondurre tutto alla responsabilità dei titolari significa non voler aprire gli occhi: i titolari si fidano di partner che sanno bene come schivare le responsabilità sfruttando le pieghe del diritto,… e la connivenza delle autorità che privilegiano la forma sulla sostanza.

Punire i titolari che hanno usato un software schifoso significa farsi bastare un capro espiatorio per poter dire di aver applicato correttamente il GDPR, sanzionando i destinatari della norma. Non significa aver agito sulle cause ma solo sugli effetti.

Che tanti albergatori abbiano subìto un gigantesco data breach è solo un effetto, non una causa.

L'intervento del Garante potrà anche essere formalmente corretto, ma il mondo non migliorerà di una virgola, anzi, peggiorerà anche a causa di questo enforcement miope e farisaico.

La ragione per la quale oggi ci sono centinaia di migliaia di documenti di identità a spasso per il web è una sola: si commercializza merda, ben impacchettata e presentata come soluzione ideale e a norma del GDPR, alla luce del sole, sotto l'occhio vigile delle autorità di controllo.

Esattamente li il Garante dovrebbe rivolgere il proprio sguardo.

SPOILER: non accadrà, anche perché significherebbe contrastare i provider, sia i piccoli cialtroni che i grandi player che, però, sono abilissimi nell’attività di lobbying. 





DEDICATO A TE: PIGRO STRUZZO

Tu che pensi che la cosa non ti riguardi, perché tanto sanno già tutto di te, oppure perché non sei poi così importante nel contesto generale dell’universo… tu che ti senti protetto dalla massa, dalla confortante irrilevanza del singolo.

Tu che ti stai disinteressando della questione, che non fai una piega se ti fotocopiano il documento di identità, che sbuffi quando leggi che c’è stato un data breach… tu che sei tranquillo perché l’oroscopo ti ha detto che “per il capricorno sarà una giornata ricca di opportunità, con Venere di nuovo favorevole, risulterà ancora più semplice vivere ogni storia con intensità e gestire le discussioni d’amore e le divergenze lavorative”.

Svegliati!

Non funziona così.

Al contrario, tu sei la vittima designata perché i tuoi dati sono facili da recuperare, sono inclusi tra i dati coinvolti dal data breach e, quindi, sei nella lista.

Non c’è nessuno che scandaglierà il web alla ricerca dei tuoi documenti… ma invertendo il meccanismo, ci saranno tante persone che scaricheranno questi dati dal web e inizieranno ad utilizzarli in modo metodico, sistematico, da Abate, Abbondante, Abenante, Accardo, Adami … fino a Zucchi, Zucchinelli, Zuliani, Zunino, Zuniga. E tu sei nella lista.

I criminali informatici sanno fare molto bene una cosa: la macellazione del maiale. Indovina chi reciterà la parte del maiale?

Esatto!

 

Prosit.

 



Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...

Toggle darkmode