di M.T.
L’inchiesta pubblicata da Fanpage.it e firmata dal giornalista Andrea Mavilla ha rivelato una vulnerabilità informatica che riguarda direttamente il cuore delle istituzioni italiane. Mavilla, esperto informatico, è riuscito a dimostrare come sia tecnicamente possibile clonare un indirizzo e-mail istituzionale — compreso quello della presidente del Consiglio Giorgia Meloni — senza violare alcun account e senza lasciare tracce evidenti. L’esperimento, condotto in modo etico e documentato dalla testata, mostra quanto fragile sia oggi la sicurezza digitale di ministeri, procure e amministrazioni pubbliche.
Il test, raccontato da Fanpage, ha avuto esiti che destano preoccupazione. È stato infatti possibile simulare l’invio di messaggi apparentemente provenienti da indirizzi reali della Camera dei deputati, del Governo, del ministero dell’Interno e persino di procure della Repubblica. Si tratta di un fenomeno noto come mail spoofing, una tecnica di falsificazione dell’identità del mittente che sfrutta configurazioni deboli o incoerenti dei server di posta. Nella maggior parte dei casi, spiegano gli esperti, non serve violare l’account: basta agire sui protocolli che verificano l’autenticità del dominio da cui parte la comunicazione.
Secondo Mavilla, la falla nasce dalla frammentazione e dalla scarsa centralizzazione della gestione informatica nelle istituzioni pubbliche. Troppi fornitori, troppi server diversi e politiche di sicurezza non uniformi rendono possibile inviare messaggi che sembrano ufficiali. In alcuni casi, persino la Posta elettronica certificata (Pec), che dovrebbe garantire integrità e autenticità, può essere soggetta ad attacchi di questo tipo se le configurazioni non sono pienamente enforce.
Le conseguenze potenziali sono enormi. Un messaggio apparentemente inviato da una procura o da un ministero potrebbe indurre professionisti, avvocati o funzionari a condividere informazioni riservate o a eseguire ordini che in realtà provengono da soggetti malevoli. È il principio alla base del spear-phishing e delle truffe note come business email compromise, che nel settore privato hanno già causato danni per miliardi di euro. In ambito pubblico, uno scenario del genere può minacciare la riservatezza di indagini giudiziarie, piani strategici o comunicazioni sensibili in materia di sicurezza nazionale.
L’inchiesta di Fanpage ha inoltre evidenziato un paradosso: se alcuni sistemi internazionali come Gmail riescono a bloccare parte delle mail false in ingresso, molti domini istituzionali italiani non dispongono di protezioni equivalenti. «Non basta avere regole di autenticazione impostate — ha spiegato Mavilla — bisogna farle rispettare. In molti casi i controlli ci sono, ma restano in modalità di monitoraggio, senza bloccare davvero nulla».
Da un punto di vista tecnico, la soluzione passa da una maggiore centralizzazione dei servizi e da una governance più rigorosa dei domini pubblici. Tutti gli esperti concordano sull’importanza di configurare correttamente i protocolli SPF, DKIM e DMARC, strumenti che permettono di autenticare il mittente e impedire che un dominio venga usato per scopi fraudolenti. Ma c’è anche un problema culturale: la formazione del personale e la consapevolezza dei rischi restano spesso limitate, con procedure di verifica e risposta ancora insufficienti.
L’allarme lanciato dall’inchiesta non riguarda solo Roma o le grandi istituzioni centrali. Anche in Umbria, dove sono attivi centinaia di indirizzi di posta elettronica legati a enti regionali, sanitari e comunali, la questione della sicurezza digitale si presenta con la stessa urgenza. Le piattaforme di gestione documentale, le Pec degli uffici tecnici e le comunicazioni con le imprese sono quotidianamente esposte a tentativi di spoofing o phishing. Secondo i dati forniti dal Clusit, l’Associazione italiana per la sicurezza informatica, nel 2024 gli attacchi informatici contro enti pubblici italiani sono cresciuti del 40 %, con una concentrazione significativa proprio nel Centro Italia.
La Regione Umbria ha avviato negli ultimi mesi un piano di revisione dei propri sistemi informatici, ma resta aperta la questione della formazione diffusa e del controllo sui fornitori. I protocolli di autenticazione, se non uniformemente applicati, possono trasformarsi in anelli deboli di una catena che coinvolge anche le Asl, le aziende partecipate e gli uffici giudiziari.
La vicenda sollevata da Fanpage, è il segnale di una vulnerabilità sistemica che coinvolge procure, regioni e istituzioni di ogni livello. E chiama in causa la necessità, non più rinviabile, di una politica nazionale di sicurezza digitale realmente unificata, capace di garantire la fiducia dei cittadini nelle comunicazioni ufficiali e di proteggere il patrimonio informativo del Paese.