Tutto è cominciato con un messaggio su Telegram. Era il giorno prima di Pasqua quando Stefano Rocchi, amministratore unico di Axios Italia, ha capito che quelli che gli segnalavano non erano malfunzionamenti casuali, ma un vero e proprio attacco. Anzi, un sequestro.

Axios è l’azienda che gestisce i registri elettronici nel 40 percento delle scuole italiane (2.500 istituti), fino a ieri pomeriggio completamente inaccessibili a docenti, studenti e genitori. Tecnicamente si parla di ransomware, un tipo di virus informatico in grado di bloccare l’accesso al dispositivo che infetta. Chi ce lo mette, poi, chiede un riscatto da pagare perché tutto torni alla normalità. Ad Axios gli hacker avevano chiesto «decine di migliaia di euro» in bitcoin in cambio di un video tutorial che avrebbe spiegato come rimuovere il virus. In ogni caso, non ci sarebbero stati furti di dati, assicurano da Axios.

Rocchi non ha ceduto al ricatto. Ha chiamato la polizia postale e poi ha dato mandato ai suoi tecnici di fare l’unica cosa possibile in situazioni del genere: buttare giù tutto e rifare da capo. È solo così che, ieri, intorno all’ora di pranzo, i registri elettronici, sia pure con estrema lentezza, hanno ripreso a funzionare. I disagi, ad ogni buon conto, non sono finiti e serviranno ancora diversi giorni perché si possa dire che il pericolo sia finalmente passato. In tempi di didattica a distanza via webcam, ritorni tra i banchi a sprazzi e polemiche anche feroci sulle riaperture degli istituti, anche la burocrazia scolastica diventa un bersaglio.

Online, per la verità, la vicenda è stata seguita dagli interessati più con divertimento che con preoccupazione: tra studenti «molto dispiaciuti» per non aver potuto fare i compiti durante le vacanze di Pasqua e insegnanti che hanno dovuto riprendere la cara vecchia carta e la sempre affidabile penna per segnare voti e assenze, la dimensione del problema ancora sfugge.

I tempi sono liquidi, o forse addirittura gassosi, e allora è tra i clouds, i nuvoloni immateriali di dati, che si consumano battaglie, intrusioni, tentativi di ricatto.

Secondo l’ultimo rapporto di Clusit, l’associazione italiana di sicurezza informatica nata all’Università Statale di Milano, soltanto nel 2020 in Italia ci sono stati 115 attacchi di grandi dimensioni, con un’impennata tra marzo e aprile (18 casi contro i 7 registrati tra gennaio e febbraio), quando con l’inizio del lockdown tutte le aziende si sono convertite allo smartworking. E i computer di casa, scontato a dirsi, sono molto più vulnerabili di quelli dell’ufficio.

«Un’intrusione informatica è molto diversa da un’intrusione fisica», spiega al manifesto un hacker che preferisce rimanere anonimo. «Cioè, per entrarti in casa non devo per forza irrompere con le armi in pugno, basta soltanto che ti consegno un pacchetto. Lo apri e il virus è dentro».

Il caso di scuola fu il ransomware italiano «FuckUnicorn», che entrava in computer, smartphone e tablet presentandosi sotto forma di email con oggetto «Nuova App Immuni Anteprima». Per risolvere il problema bastavano 300 euro, sempre da pagare in bitcoin.

A finire nei guai, nelle scorse settimane, sono stati anche due comuni lombardi: Brescia e Rho. Nel primo caso per rimuovere il virus erano stati chiesti 1.3 milioni di euro, nel secondo 400mila euro, poi saliti a 650mila. Anche qui è prevalsa la linea della fermezza: nessuno ha pagato, anche perché, pure volendo, le amministrazioni pubbliche non potrebbero farlo.

A Brescia la situazione è ancora irrisolta: la denuncia è stata fatta soltanto due giorni fa e il Comune, vista l’impossibilità di lavorare, ha messo in ferie i suoi dipendenti, attirandosi le ire del sindacato. «Gestire così la situazione – dice Fabrizio Melorio della Cisl – significa far pagare chi non ha colpe».

Una soluzione non c’è: i ransomware e gli altri virus possono colpire in qualsiasi momento e prevenirli è molto difficile. Si può solo, col tempo, risolvere il problema ricostruendo da zero quanto fatto prigioniero dagli hacker. Anche le indagini non sono semplici da condurre per la polizia postale: le tracce sono flebili, quasi illeggibili e persino seguire i soldi alla vecchia maniera è quasi impossibile ai tempi dei bitcoin, la cui definizione – «criptovaluta» – già dice tutto sul fatto che si tratti di un qualcosa nato per stare nascosto.

Resta sospesa la parte più grande, quella dei dati personali che tutti mettiamo online per un motivo o per l’altro: quanto valgono sul mercato? Molto, in realtà.

Ma quelli in fondo li diamo via gratis ogni volta che, quasi sempre senza leggere, clicchiamo «accetta» sui moduli informativi sulla privacy di ogni sito che visitiamo.