Tra il 24 e il 25 luglio 2022 una notizia ha destato molto allarme: l’Agenzia delle Entrate è stata hackerata. L’attacco, si diceva, sarebbe stato portato a termine dal gruppo cyber criminale LockBit 3.0, con un risultato clamoroso: l’esfiltrazione di 100 GB di documenti riservati.
L’Agenzia delle Entrate gestisce i profili fiscali delle aziende e dei privati italiani, cioè un patrimonio di dati sensibili gigantesco e preziosissimo. Vederlo finire nelle mani di una gang criminale non può che generare panico e la diffusione di notizie incontrollate. Infatti, la dinamica dell’attacco è ben diversa.
Cominciamo dicendo che la stessa Agenzia non ha mai confermato l’attacco, comunque rivendicato da LockBit 3.0. Aggiungiamo poi che Sogei, la società che gestisce le infrastrutture dell’amministrazione finanziaria, ha smentito l’attacco con un comunicato stampa in cui si legge che «dalle prime analisi effettuate non risultano essersi verificati attacchi cyber né essere stati sottratti dati» da piattaforme e sistemi dell’Agenzia escludendo così ogni ipotesi di violazione. Infine Roberto Baldoni, direttore dell’ACN (Agenzia per la Cybersicurezza Nazionale), ha spiegato che l’attacco possa essere stato rivolto a un ente terzo.
L’attacco allo studio Teruzzi
E così pare sia andata. LV, altro gruppo criminale, ha rivendicato sul proprio blog un attacco ransomware contro lo Studio Teruzzi Commercialisti Gesis Srl. La conferma è arrivata proprio dalla stessa Gesis, con una nota ufficiale riferita a quanto la stampa ha riportato sull’attacco all’Agenzia. Nella nota, in particolare, si legge che «i dati pubblicati in detti articoli, da quanto ci risulta, non provengono da server dell’Agenzia delle Entrate ma da un nostro server che è stato oggetto di un recente tentativo di intrusione hacker finalizzato alla criptazione dei nostri file ed esfiltrazione di dati, con relativa richiesta di riscatto».
Sempre lo studio Teruzzi specifica, in un comunicato, la portata dell’attacco: esfiltrazione di dati limitata al 7% del totale. Di questi, il 90% sarebbe inutilizzabile perché riferito al database di vecchie versioni di programmi gestionali. «Pertanto non ci sono state conseguenze significative sulle attività nostre e dei nostri clienti», recita il comunicato.
I punti da chiarire
La vicenda è certamente meno eclatante di come è stata presentata appena se n’è avuta notizia: un attacco a uno studio di commercialisti, per quanto grande, non è equiparabile a uno all’Agenzia delle Entrate. Tuttavia, un minimo di esfiltrazione dati c’è stata, e di quel minimo una parte è fatta di dati comunque utilizzabili.
Quel che non è chiaro, però, è perché uno dei gruppi di cybercriminali più noti – LockBit 3.0 – rivendichi un clamoroso attacco, ancorché inesistente, all’Agenzia delle Entrate e non abbia ritirato la rivendicazione, lasciando attivo il countdown per il pagamento del riscatto. Ciò è ancor più difficile da comprendere alla luce della certezza che un altro gruppo, LV, ha attaccato lo studio coinvolto nella vicenda.
L’incidente, quindi, non può dirsi ancora concluso.