Privacy dei giornalisti sotto attacco: OdG del Lazio vittima di ransomware

lentepubblica.it

Sicurezza informatica e credibilità della categoria dei giornalisti al centro di un caso che apre interrogativi più ampi sulla gestione dei dati: l’ultimo attacco ransomware colpisce l’OdG del Lazio.

Un attacco informatico ha colpito l’Ordine dei Giornalisti del Lazio, compromettendo la riservatezza dei dati di centinaia di professionisti iscritti tra Roma e provincia. Un incidente che, oltre a suscitare legittime preoccupazioni per i diretti interessati, solleva interrogativi sull’efficacia delle misure di protezione adottate da istituzioni che, per loro natura, sono chiamate a vigilare sulla correttezza e la deontologia della categoria.

L’attacco ransomware all’OdG del Lazio: privacy dei giornalisti a rischio

Secondo le informazioni diffuse dall’ente, un ransomware – un tipo di malware capace di bloccare i sistemi informatici e “sequestrare” i dati in cambio di un riscatto – si sarebbe introdotto nei server dell’Ordine tra l’8 e il 28 agosto, periodo in cui la sede era chiusa. L’intrusione è stata scoperta soltanto con la riapertura degli uffici, quando i tecnici hanno rilevato l’anomalia. A rivendicare l’azione sarebbe stato un gruppo di hacker proveniente dall’Europa orientale, che avrebbe già avanzato la richiesta di pagamento necessaria per sbloccare le informazioni sottratte.

La conferma è arrivata tramite una PEC e un avviso sul sito ufficiale del portale dell’Odg firmati dal presidente Guido D’Ubaldo, nella quale si avvisano gli iscritti dell’accaduto e delle prime misure adottate: segnalazione immediata all’Agenzia per la Cybersicurezza Nazionale, comunicazione al Garante per la protezione dei dati personali e denuncia formale alla Polizia Postale. L’Ordine ha garantito aggiornamenti costanti agli interessati, impegnandosi a informare tempestivamente su eventuali sviluppi che riguardino i profili personali dei giornalisti coinvolti.

Un incidente che pesa sulla credibilità

Si tratta di un episodio grave non solo per la natura dei dati potenzialmente esposti – che potrebbero comprendere informazioni anagrafiche, recapiti e altri dettagli personali – ma anche per l’effetto che simili incidenti possono avere sulla fiducia dei professionisti nei confronti dell’ente di riferimento.

L’Ordine, infatti, è anche il soggetto che promuove la formazione continua dei giornalisti, compresi i corsi dedicati alla normativa sulla privacy e alla protezione dei dati, alcuni dei quali a pagamento e necessari per maturare i crediti formativi obbligatori. La coincidenza tra l’impegno a sensibilizzare la categoria su questi temi e la vulnerabilità emersa a livello interno è inevitabilmente fonte di riflessione.

Va però chiarito che nessuna organizzazione, pubblica o privata, è oggi immune da attacchi di questo tipo. Le intrusioni informatiche sono sempre più sofisticate, spesso condotte da gruppi internazionali ben organizzati e in grado di colpire anche strutture dotate di sistemi di difesa avanzati. In questo senso, l’accaduto non può essere interpretato solo come un fallimento dell’ente, ma anche come un sintomo di un problema più vasto: la difficoltà, a livello sistemico, di garantire una protezione completa in un contesto digitale in continua evoluzione.

Una categoria sempre più spesso “bersagliata”

Il timore per la sicurezza dei giornalisti non nasce nel vuoto. Negli ultimi mesi, diverse inchieste hanno portato alla luce episodi che hanno sconvolto il mondo dell’informazione e della tutela dei diritti civili. Un’indagine condotta da un centro di ricerca specializzato, il Citizen Lab, ha documentato per la prima volta prove concrete dell’uso di un sofisticato spyware chiamato “Graphite”, sviluppato dalla società israeliana Paragon Solutions, per infettare i telefoni di due reporter europei, tra cui un giornalista della testata italiana Fanpage, Ciro Pellegrino. Oltre a lui, sarebbero stati intercettati anche il direttore dello stesso giornale online, Francesco Cancellato, e un noto attivista impegnato nei soccorsi in mare con l’ong Mediterranea Saving Humans, Luca Casarini.

Il quadro delineato dai ricercatori è inquietante: si tratta di tecniche di intrusione così avanzate da risultare quasi impossibili da rilevare o prevenire per chi le subisce, perfino per utenti esperti.

Preoccupazione tra gli “addetti ai lavori”

La vicenda ha inoltre un delicato risvolto istituzionale, poiché l’azienda che sviluppa questo tipo di strumenti vende esclusivamente a clienti governativi o a corpi di sicurezza autorizzati. In Italia, come emerso, due soggetti in particolare avrebbero avuto accesso a questo software: un servizio segreto e una forza di polizia non specificata.

Le domande che ne sono seguite sono inevitabili: le attività di spionaggio che hanno colpito giornalisti e attivisti rientravano in operazioni autorizzate, o si è trattato di un uso improprio di strumenti concepiti per finalità diverse?

Il governo, interpellato, ha risposto solo in parte e con tempi giudicati da molti tardivi, lasciando irrisolti i dubbi sul livello di consapevolezza istituzionale rispetto a quanto accaduto. Secondo la piattaforma di messaggistica utilizzata per la compromissione, le persone coinvolte in queste intercettazioni illecite sarebbero state circa novanta, sette delle quali con numeri italiani. Un dato che rende la questione ancora più urgente per la protezione della libertà di stampa e dei diritti fondamentali.

Ovviamente tra i professionisti interessati, prevale una comprensibile preoccupazione. Non si tratta solo di ansia per l’uso potenziale dei dati sottratti, ma anche di dubbi sulla tenuta complessiva del sistema. Alcuni giornalisti hanno fatto notare l’incongruenza tra l’impegno richiesto per adempiere agli obblighi formativi, anche su materie come la riservatezza, e la vulnerabilità dimostrata dall’ente che dovrebbe essere d’esempio in materia di protezione dei dati.

Altri sottolineano però come nessun sistema possa dirsi completamente sicuro e che l’unico modo per limitare i danni è agire rapidamente, collaborare con le autorità e garantire trasparenza.

La sicurezza come priorità strategica

Ciò non toglie che l’episodio imponga un ripensamento delle strategie di sicurezza informatica adottate dagli ordini professionali e, più in generale, dalle istituzioni che custodiscono dati sensibili. Gli archivi degli iscritti, infatti, non contengono solo informazioni personali: spesso comprendono documenti, certificazioni, procedimenti disciplinari, tutto materiale che, se finisse in mani sbagliate, potrebbe essere usato in maniera impropria o addirittura per finalità di estorsione.

La protezione dei dati non può più essere trattata come un adempimento burocratico, ma va considerata parte integrante della credibilità istituzionale. Aggiornare le infrastrutture, effettuare audit periodici, predisporre piani di risposta agli incidenti e formare personale specializzato non sono attività opzionali: rappresentano una condizione necessaria per mantenere la fiducia di chi affida le proprie informazioni a un ente pubblico o di categoria.

Il quadro normativo: obblighi stringenti e responsabilità

Il Regolamento generale sulla protezione dei dati (GDPR), applicabile in tutta l’Unione Europea, richiede agli enti che trattano informazioni personali di adottare misure “adeguate e proporzionate” per proteggerle. In caso di violazione, non basta solo segnalare l’accaduto alle autorità: l’organizzazione è chiamata a dimostrare di aver fatto tutto quanto era ragionevolmente possibile per prevenire il danno.

Nel caso in esame, la tempestività nella comunicazione rappresenta un elemento positivo, in linea con gli obblighi normativi. Ma resta la necessità di chiarire quali misure fossero già in atto e quali verranno rafforzate in futuro. Trasparenza e comunicazione chiara possono aiutare a contenere l’impatto reputazionale, ma non eliminano le conseguenze pratiche di un’intrusione informatica: dai possibili rischi per gli iscritti fino all’eventuale esposizione dell’ente a sanzioni o contenziosi.

Iniziative a supporto della corretta gestione della privacy

L’episodio ha riacceso l’interesse per strumenti di orientamento e consulenza in materia di protezione dei dati, e sempre più spesso esperti rispondono ai dubbi di professionisti e cittadini. Iniziative come queste hanno il merito di tradurre norme complesse in indicazioni pratiche, fornendo chiarimenti su temi come la gestione dei consensi, la conservazione delle informazioni, i diritti degli interessati e le responsabilità degli enti.

Si tratta di un aiuto prezioso, perché evidenzia un punto spesso trascurato: la sicurezza non è solo tecnologia, ma anche conoscenza diffusa, procedure coerenti e attenzione costante. Prevenire gli errori è possibile solo quando chi gestisce e chi fornisce i dati condividono la stessa consapevolezza dei rischi e dei propri diritti.

“Il DPO risponde”: un esperto a disposizione di tutti 

Per rispondere in modo chiaro e autorevole a queste domande, Lentepubblica ha aperto la rubrica “Il DPO risponde”, mettendo a disposizione la competenza di Gianluca Lucarelli, professionista con una lunga esperienza nel campo della protezione dei dati, che ricopre il ruolo di Data Protection Officer (DPO) per la testata. Attraverso la rubrica, Lucarelli risponderà ai quesiti dei lettori su ogni aspetto legato al GDPR: dalla gestione dei consensi informati alla conservazione dei dati, dalle responsabilità degli enti pubblici ai diritti dei cittadini.

Il funzionamento della rubrica è semplice e accessibile: basta compilare un apposito form online con i propri dati e inviare il proprio quesito. Le risposte, pubblicate in una sezione dedicata del sito, saranno consultabili da tutti, contribuendo così a creare una sorta di FAQ aggiornata, utile a prevenire errori e lacune nella gestione dei dati.

• Compila il form e poni il tuo quesito
• Consulta la rubrica e le FAQ aggiornate

The post Privacy dei giornalisti sotto attacco: OdG del Lazio vittima di ransomware appeared first on lentepubblica.it.