Dati personali di oltre 700.000 insegnanti a rischio su internet

Da qualche tempo il Ministero dell'Istruzione, nell'ottica di riduzione dei costi e di una maggiore snellezza amministrativa, ha cominciato a gestire l'invio della busta paga di ciascun docente italiano sulla sua casella di posta elettronica regolarmente registrata sul portale residente sui server ministeriali. La stessa viene spedita in chiaro nel formato adobe pdf tradizionale. Sappiamo benissimo che sulla busta sono presenti informazioni personali molto importanti, quali i propri dati anagrafici, l'indirizzo e soprattutto i dati relativi alla banca d'appoggio sulla quale appoggiare il pagamento. Per coloro che venissero dunque al corrente di queste informazioni, con in mano la copia della busta paga, potrebbe diventare un gioco da ragazzi poter attingere ad un finanziamento per l'acquisto ad esempio di un automobile o altro. E per hackers con cattive intenzioni riuscire ad arrivare al documento sulla propria casella di posta elettronica potrebbe non essere così difficile, soprattutto nel caso in cui il sistema dal quale ci si collega non fosse sufficentemente protetto. Fondamentale dunque che sul computer dal quale ci si collega ad internet sia installato un buon antivirus con funzioni di antikeylogger, un buon antispyware, un buon firewall opportunamente configurati e costantemente aggiornati. Il sistema operativo installato deve poi essere sempre aggiornato ogni qualvolta sono disponibili gli aggiornamenti sul sito Microsoft Security Central. Quando impostiamo la password della casella di posta elettronica facciamo poi in modo che sia almeno di 12 caratteri, alfanumerica e non riconducibile alla propria persona (utilizzare il metodo degli acronimi mediante una frase mnemonica che ci consenta di ricordare la password mediante le iniziali della stessa).
Keylogger, spyware e worm sono i principali pericoli. Se uno di questi riesce ad insinuarsi nel sistema da cui ci si collega a internet c'è la possibilità di carpire la password di accesso alla casella di posta elettronica andando dunque a "rubare" dati personali presenti all'interno della propria casella di posta elettronica. Altri consigli che posso dare sono quelli anzitutto del buon senso (non aprire allegati o link presenti all'interno di email inattese, non scaricare software gratuito da siti dei quali non si conosce l'affidabilità). Sconsiglio inoltre quando si vuole scaricare la posta di non farlo da computer "pubblici" presenti in uffici, internet-cafè, biblioteche o altri locali laddove non è possibile essere certi del livello di sicurezza che possono garantire. Nel caso in cui poi si utilizzasse a casa propria o in altri ambiti un sistema wi-fi (senza fili) importante evitarne l'uso non autorizzato. Ultimo consiglio: una volta scaricata ed eventualmente stampata la busta paga cancellatela.
Questo articolo non è scritto con l'intenzione di creare allarmismo bensì per mettere in guardia tutti i docenti che non vogliono trovarsi a proprio carico il pagamento a rate di un'acquisto eseguito da terze persone le quali hanno compiuto un vero e proprio furto d'identità partendo appunto da quanto trovato sulla casella di posta elettronica.

Infine termino il mio post con una raccomandazione all’ufficio governativo competente in tema di sicurezza informatica. Chi opera all’interno delle segreterie scolastiche oggi, per collegarsi al server farm del Ministero della Pubblica Istruzione, necessariamente deve avere un identificativo e una password di accesso (credenziali di autenticazione) onde evitare che terzi possano carpire dati personali e sensibili presenti sul database centralizzato del Ministero. La password udite udite può essere di 6 caratteri numerica e oggi non vi sono controlli che ne impediscano l’inserimento. Ancor peggio in alcune realtà è possibile che la password sia quella fornita dal Ministero agli albori (2 anni fà) senza mai essere stata modificata. Le leggi sulla Privacy prevedono che debba essere minimo di 8 caratteri e alfanumerica e aggiungo io, laddove il sistema non lo consentisse il buon senso onde evitare accessi indesiderati e furto di dati, sostituire il sistema con uno nuovo o vietare l’accesso dal sistema in quanto non idoneo.
Proporrei al Garante della Privacy di stabilire con il Ministero preposto una verifica on line dei sistemi della P.A. esistenti, quantomeno quelli che si integrano con i database centralizzati del Ministero, verificando che le procedure informatizzate utilizzate dai pubblici dipendenti rispettino quanto previsto dalle normative in tema di tutela della privacy/sicurezza dei dati. Quantomeno modificare la maschera di collegamento inibendone l’utilizzo se non previo modifica della password di accesso a norma di legge con l’obbligo di modifica nei tempi previsti dalla legge.