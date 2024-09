C’è stata una comunicazione in particolare – che è stata riportata in esclusiva da Dagospia – che ha gettato più di un dubbio sull’effettivo ruolo di consulenza dell’imprenditrice Maria Rosaria Boccia presso il ministero della Cultura retto da Gennaro Sangiuliano. La comunicazione in questione è quella ormai divulgata da tutti del 5 giugno 2024, che il direttore degli scavi di Pompei Gabriel Zuchtriegel invia a una serie di indirizzi istituzionali e, per conoscenza, anche a quello della dottoressa Boccia. Mentre, però, i domini di tutte le persone coinvolte sono quelli istituzionali, riferibili al @cultura.gov.it, quello di Maria Rosaria Boccia è un indirizzo Gmail non istituzionale. Dunque, una comunicazione sensibile sull’organizzazione del G7 (diversi sono stati i materiali condivisi che potevano rappresentare un serio problema se finiti in mani diverse da quelle dell’organizzazione) che viene inoltrata anche a un indirizzo non istituzionale. Quali sono i rischi potenziali – a livello di cybersicurezza – di una operazione di questo tipo?

Mail Maria Rosaria Boccia, il problema dell’account non istituzionale

Lasciamo perdere, per un momento, le questioni collegate alla credibilità o all’attendibilità di un account: se stiamo parlando di un contesto istituzionale – in questo caso di una presunta consulenza – non è opportuno che un interlocutore qualificato non abbia a disposizione un dominio aziendale. Fornire a questo interlocutore un indirizzo mail coincidente con l’ecosistema dell’ambiente all’interno del quale lavora è una delle operazioni che, di solito, avvengono al giorno zero di un rapporto di lavoro, prima ancora dell’effettivo momento di entrata in servizio.

Passiamo, però, alle questioni di sicurezza. Ci sono dei vademecum, poi, che ogni società di gestione dei provider (o, banalmente, che si occupa delle infrastrutture IT di un’azienda) mette a disposizione dei propri clienti per evidenziare le pratiche da seguire quando si utilizza un dominio di posta e quali potrebbero essere, al contrario, i potenziali rischi. Innanzitutto, gli account personali sfuggono al controllo del dipartimento IT che si occupa – in questo caso – delle comunicazioni del ministero della Cultura. Ovviamente, questo significa anche che gli indirizzi privati non hanno l’avallo delle privacy policies dell’organizzazione di riferimento e – pertanto – il loro utilizzo potrebbe determinare una violazione anche nella privacy dei dati sensibili eventualmente trattati.

È evidente, poi, che utilizzare una mail privata in un contesto di riservatezza (come può essere sicuramente quello dell’organizzazione di una visita delle delegazioni del G7) possa esporre l’account a un furto di informazioni sensibili. L’igiene digitale minima che dovrebbe caratterizzare gli apparati istituzionali, infatti, suggerisce di stare molto attenti in questo particolare momento storico, in cui – anche in Italia – sono stati diversi gli attacchi hacker che hanno richiesto l’intervento a vario titolo dell’Agenzia per la Cybersicurezza Nazionale.

È molto strano che, sulla vicenda Sangiuliano-Boccia, ci si concentri moltissimo sul gossip e poco sull’effettivo rischio di cybersicurezza che comunicazioni così gestite avrebbero potuto provocare, mettendo a repentaglio la credibilità di un’istituzione (quella del ministero della Cultura) e di un Paese che, in questo 2024, sta alla guida di un G7 che evidenzia spesso – tra i temi affrontati – quelli del digitale, dell’intelligenza artificiale e della sicurezza informatica.