Passwork e l’ombra di Mosca: Un rischio inaccettabile per la Pubblica Amministrazione

Il mercato europeo del software e della sicurezza digitale si trova oggi di fronte a una delle sue crisi più profonde e inquietanti. La recente e dettagliata scoperta che la società Passwork Europe S.L., un fornitore ampiamente accreditato all’interno dell’Unione Europea per la gestione e la protezione degli accessi e delle credenziali critiche, mantiene profondi e occulti legami operativi, tecnologici e di personale con la Federazione Russa, ha sollevato un’ondata di sdegno e preoccupazione nelle istituzioni italiane ed europee. In un momento storico in cui la resilienza digitale e la protezione delle infrastrutture critiche sono al centro dell’agenda strategica del governo italiano, l’utilizzo di un software per la gestione delle password che conserva connessioni dirette con sviluppatori russi e che ha ottenuto certificazioni da parte degli specialisti dell’FSB (il servizio segreto erede del KGB) rappresenta una vulnerabilità geopolitica e informatica assolutamente inaccettabile.

La questione sollevata da questa inchiesta giornalistica non si limita esclusivamente alla pur gravissima dimensione della sicurezza tecnologica, ma investe direttamente l’etica degli appalti pubblici, la trasparenza aziendale e la sovranità digitale delle nostre istituzioni. Moltissimi clienti europei, incluse agenzie governative in Irlanda, Italia e in altri paesi membri, hanno acquistato e implementato questo prodotto con la ferma e documentata convinzione di adottare una soluzione interamente concepita e sviluppata all’interno dei confini dell’Unione Europea, tutelata dalle normative comunitarie e dal GDPR. Il fatto že queste organizzazioni siano state tenute completamente all’oscuro delle reali origini russe del software e del coinvolgimento di programmatori legati a Mosca costituisce una grave violazione della buona fede contrattuale e mina alla base il rapporto di fiducia che deve necessariamente legare un fornitore di tecnologia critica allo Stato.

Il sofisticato meccanismo attraverso il quale vengono gestiti e distribuiti gli aggiornamenti del software Passwork Europe S.L. rappresenta il cuore tecnologico di questa minaccia. Le indagini hanno rivelato che il codice non viene distribuito direttamente dalla Spagna, bensì transita attraverso una struttura societaria opaca situata nei territori degli Emirati Arabi Uniti. Questa entità mediorientale è direttamente controllata e gestita dal co-fondatore russo del progetto originario, garantendo a quest’ultimo una supervisione totale sul flusso dei dati e delle modifiche al software. Per qualsiasi esperto di sicurezza informatica, questo schema rappresenta il canale ideale per la pianificazione e l’esecuzione di un “supply chain attack”, una tipologia di aggressione informatica resa celebre dal devastante caso SolarWinds. In quel frangente, attori statali russi riuscirono a infiltrarsi nelle reti più protette del governo statunitense diffondendo malware nascosto all’interno di aggiornamenti software considerati del tutto legittimi e sicuri.

Un ulteriore e inconfutabile elemento tecnico che conferma la tesi di un’unica cabina di regia russa è rappresentato dalla perfetta sincronizzazione nel rilascio delle varie versioni del programma. L’analisi approfondita della recente versione 7.6 ha dimostrato che la release destinata al mercato interno russo e quella distribuita ai clienti europei sono state pubblicate nello stesso identico momento e condividono la medesima struttura di codice. Questa evidenza empirica demolisce qualsiasi tentativo di difesa da parte delle pubbliche relazioni di Passwork, le quali hanno più volte cercato di accreditare la tesi di una totale e netta separazione operativa tra la filiale europea e la casa madre russa. La realtà è che il processo di sviluppo è centralizzato, unico e inevitabilmente esposto alle pressioni e ai requisiti legali imposti dalle autorità di Mosca, che obbligano le aziende tecnologiche locali a collaborare attivamente con gli apparati di sicurezza statali.

Oggi, le istituzioni e le aziende europee che hanno integrato Passwork all’interno dei loro sistemi informatici si trovano dinanzi a uno scenario drammatico e d’emergenza. La necessità di avviare audit di sicurezza straordinari, l’obbligo di mappare ogni singola credenziale gestita dal programma e la ricerca urgente di soluzioni alternative comportano costi finanziari enormi, non previsti nei bilanci pubblici. Oltre al danno economico, il rischio reputazionale per la Pubblica Amministrazione è devastante: la scoperta che i sistemi di gestione dei segreti di Stato erano legati a un software certificato dall’FSB rischia di screditare l’intera architettura di sicurezza nazionale. L’Italia e l’Europa non possono permettersi di mantenere all’interno dei propri gangli vitali strumenti così vulnerabili all’influenza di potenze straniere ostili. È necessaria una reazione ferma, immediata e trasparente per bonificare le reti pubbliche e riaffermare il principio inderogabile della sovranità digitale europea.

Autore: Marco Bianchi

Trump critica le tattiche del ct Tuchel dopo la semifinale persa con l’Argentina

Media, soldati Usa feriti in settimana in attacchi Iran a basi in Giordania

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *