Corriere della Sera, 20 maggio 2019
L’hacker di 13 anni assunto dalla banca
All’inizio dello scorso aprile, l’Autorità nazionale per la protezione dei dati affibbiò al municipio di Bergen, in Norvegia, una solenne multa pari a 170 mila euro. Motivo: non aver sufficientemente protetto i computer di 35 mila cittadini, quasi tutti professori e studenti delle scuole pubbliche locali, violati da un misterioso hacker, un pirata informatico che aveva rubato le password, le parole d’ordine digitali, e copiato milioni di dati personali. In quel bottino, c’era qualcosa che sembrava aver attirato più di tutto il pirata: pagelle e voti, giudizi degli insegnanti sui loro studenti, e curricula degli stessi insegnanti.
Al momento non si seppe nient’altro. Ma ora si è appresa la verità: il pirata era ed è un genio informatico di 13 anni, che ha agito – sembra – per pura sfida. La polizia lo ha messo sotto indagine, sequestrando il suo computer: lui non ha da temere le manette, è un minorenne, ma si vuol capire bene se abbia agito per conto di qualcuno, magari dietro un compenso, e che fine abbiano fatto tutti i dati rubati. Il municipio non ha fatto ricorso contro la multa, le prove erano troppo evidenti.
Nel frattempo, il ragazzo si è messo a posto con il suo futuro, almeno immediato: una delle più note banche online della città, la Sbanken, lo ha assunto per le vacanze estive con il ruolo di consulente di fiducia, per fargli ricontrollare i sistemi di sicurezza e sottoporgli alcuni nuovi progetti digitali. «È chiaro che questo giovanotto ha un gran talento in un campo che ci vede molto impegnati – ha spiegato alla televisione norvegese il direttore digitale dell’istituto – ora questo stesso talento vorremo svilupparlo ancora di più, e penso che servirà a lui oltre che a noi». Il padre del ragazzino si è dichiarato «felice» davanti alle telecamere. «Wow! Bel colpo Sbanken!», è stato il commento di un cliente sul sito Web dell’istituto. Ma in municipio, e nelle stanze del dipartimento di polizia che si occupa di sicurezza digitale, non tutti sembrano altrettanto tranquilli e soddisfatti.
La falla nella rete di sicurezza è stata davvero clamorosa. Il sistema municipale che connette le scuole al web contiene informazioni sul nome, la data di nascita, l’indirizzo, il grado scolastico di chi lo usa. Quando – è stato spiegato – uno studente o un professore (o un hacker) vi accedono, accedono anche alla piattaforma centrale per l’apprendimento, che a sua volta custodisce non solo i programmi di studio ma anche i giudizi dei professori su ogni singolo allievo. Insomma, la privacy viene polverizzata.
Per qualunque motivo abbia agito, il ragazzo ha violato due articoli del regolamento generale dell’Ue per la protezione dei dati, che dal luglio 2018 viene applicato anche in Norvegia, nazione extra-Ue. Il regolamento definisce i minorenni come un gruppo particolarmente vulnerabile della società, cui deve essere garantita «una speciale protezione» dei dati personali. Scuole e municipi devono assumersi la responsabilità dei controlli, «ma in questo caso – come è stato spiegato dalle fonti ufficiali norvegesi – non sappiamo neppure se queste informazioni rubate siano state messe a disposizione di altri. E dovremmo poterci fidare delle nostre autorità pubbliche…».