Quaranta giorni.

Tanto ha impiegato l’amministrazione Conti per ammettere quello che abbiamo denunciato sin dal primo momento: l’attacco hacker del 10 maggio scorso rappresenta il più grave disastro informatico nella storia del Comune di Pisa, con conseguenze potenzialmente preoccupanti per l’intera cittadinanza.

La comunicazione di data breach pubblicata solo ieri, 18 giugno, svela una realtà sconcertante che la Giunta ha prima omesso e poi provato a sminuire. Non si tratta di un semplice incidente informatico, ma di una violazione massiva che ha esposto i dati personali e i documenti d’identità di tutti i residenti del Comune e degli utenti TARI nelle mani di criminali informatici del gruppo Nova, precedentemente noto come RALord.

Mentre l’assessora Porcaro minimizzava l’accaduto nel rispondere evasivamente al nostro question time nelle scorse settimane, mentre il sindaco Conti manteneva un totale silenzio, i dati di decine di migliaia di pisani erano già nel dark web. La comunicazione tardiva del Comune ammette che sono stati sottratti non solo dati anagrafici completi – nome, cognome, data e luogo di nascita, indirizzo di residenza, codice fiscale – ma anche e soprattutto copie digitali di documenti d’identità, visure catastali e un’infinità di pratiche d’ufficio.

Il Comune stesso è costretto ad ammettere l’impossibilità di contattare personalmente tutti i cittadini coinvolti “in quanto richiederebbe sforzi sproporzionati”. Tradotto: sono così tanti i cittadini i cui dati sono stati rubati che è impossibile anche solo avvisarli uno per uno. E ancora più inquietante è l’ammissione che “vi è la possibilità che, oltre a coloro che hanno operato la violazione, terzi non autorizzati possano visionarli e/o acquisirli”. I documenti d’identità dei pisani sono quindi potenzialmente alla mercé di chiunque sia in grado di accedere al dark web, per perpetrare truffe, furti d’identità o altri crimini.

La cronologia di questa vicenda è emblematica del modo di governare di questa amministrazione. L’attacco avviene il 10 maggio alle 14:25. I criminali pubblicano immediatamente alcuni dati e fissano un ultimatum di 14 giorni per il pagamento del riscatto, minacciando di divulgare tutti i 2 terabyte di dati sottratti. Il 19 maggio presentiamo la nostra interpellanza con nove domande precise sulla dinamica dell’attacco, sulle misure di sicurezza, sull’eventuale pagamento del riscatto, sulle azioni intraprese.

Nessuna risposta concreta. Solo rassicurazioni generiche e il tentativo di far passare l’incidente come limitato a “alcuni dipendenti comunali”. Ma la realtà era ben diversa: inizialmente il Comune aveva fatto filtrare che “i file rubati dal gruppo hacker sarebbero esclusivamente dati a uso interno e che i pirati informatici non sarebbero riusciti a impossessarsi dei dati custoditi dall’anagrafe”. Una versione completamente smentita dalla comunicazione del 18 giugno.

Il 23 maggio, come oggi sappiamo dalla stessa comunicazione del Comune, i criminali pubblicano un ulteriore archivio massiccio di dati. E cosa fa l’amministrazione? Continua a tacere. Per altre tre settimane e mezzo mantiene i cittadini all’oscuro mentre i loro documenti d’identità circolano nel dark web.

Questo non è solo e tanto un problema tecnico, è un fallimento politico totale. La nostra interpellanza chiedeva se fossero stati effettuati penetration test recenti, quali misure preventive fossero state adottate, quali vulnerabilità avessero permesso l’intrusione. Il silenzio dell’amministrazione è la risposta più eloquente.

La gestione opaca non ha riguardato solo i cittadini. Il sindacato CUB ha denunciato pubblicamente che “come sindacati e dipendenti del comune di Pisa non eravamo informati della sottrazione di dati riguardanti i dipendenti, tutto è stato minimizzato”. Un’ulteriore conferma del modus operandi di questa amministrazione: minimizzare, sperare che il problema si risolva da solo.

E’ bene ricordare che il GDPR prevede che il data breach venga notificato al Garante Privacy entro 72 ore e che i cittadini interessati vengano informati “senza ingiustificato ritardo” quando il rischio per i loro diritti è elevato. Il Comune afferma di aver notificato il Garante, ma ha atteso 40 giorni per informare i cittadini, violando palesemente l’articolo 34 del Regolamento europeo.

Ancora più sconcertante è il tentativo di giustificare il ritardo di 40 giorni. Nella comunicazione del 18 giugno, il Comune afferma che “concluse le complesse operazioni informatiche di decompressione dell’ulteriore archivio pubblicato, sono stati esaminati i dati compromessi con attività protrattasi fino ad oggi”. Una giustificazione insufficiente: anche ammettendo la complessità tecnica della decompressione di file di grandi dimensioni, un mese per analizzare dei dati è probabilmente un tempo troppo lungo.

Si sperava che la vicenda passasse sotto silenzio? Nel frattempo, per 40 giorni, i cittadini pisani sono rimasti esposti a potenziali furti d’identità senza saperlo e senza poter prendere le necessarie contromisure.

Di fronte a questa gravissima violazione, invitiamo tutti i cittadini pisani a esercitare i diritti previsti dal GDPR. Avete il diritto di sapere esattamente quali vostri dati sono stati compromessi, di ottenere una valutazione del rischio specifico che correte, di richiedere misure di protezione aggiuntive.

Scrivete all’indirizzo privacy@comune.pisa.it o all’indirizzo PEC comune.pisa@postacert.toscana.it chiedendo informazioni dettagliate sulla violazione che vi riguarda.

Qui il modulo di richiesta esercizio diritti data breach Comune di Pisa

Questa vicenda non può e non deve passare sotto silenzio. Chiediamo che l’assessora Porcaro venga urgentemente in Prima Commissione di Controllo e Garanzia come richiesto più di un mese fa, tanto più alla luce di questa comunicazione dell’amministrazione; vogliamo sapere quali vulnerabilità hanno permesso l’intrusione, se sono state implementate misure di sicurezza adeguate, chi ha deciso di mantenere il silenzio per 40 giorni.

La Giunta Conti ha dimostrato di non essere all’altezza di proteggere i dati e la sicurezza dei propri cittadini, gestendo nella comunicazione pubblica questa crisi nel peggiore dei modi possibili, aggiungendo al danno tecnico una beffa istituzionale.

La trasparenza che rivendichiamo da sempre non è un vezzo dell’opposizione, ma un diritto fondamentale dei cittadini, soprattutto quando in gioco c’è la loro sicurezza digitale e la possibilità di subire furti d’identità o truffe.

Mi piace: Mi piace Caricamento...