Il caso di Napoli non è isolato, ma si inserisce in un pattern ormai evidente: l’insider threat e l’esfiltrazione di dati da parte di utenti autorizzati sono oggi una delle principali superfici d’attacco per aziende e istituzioni.

Dai dossieraggi ai dati venduti: perché il vero problema non è l’accesso, ma ciò che accade dopo

L’operazione coordinata dalla Procura di Napoli ha portato a 29 misure cautelari contro una rete che, secondo le accuse, avrebbe effettuato oltre un milione di accessi abusivi alle banche dati di forze dell’ordine ed enti pubblici per rivendere informazioni sensibili su imprenditori, vip, calciatori e cittadini comuni. Nel mirino sono finite in particolare le banche dati utilizzate dalla polizia e da altre amministrazioni, da cui venivano estratti dati giudiziari, fiscali, contributivi e bancari, poi ceduti a pagamento a clienti come agenzie investigative e società di recupero crediti.

Secondo gli inquirenti, parte centrale del sistema erano proprio alcuni funzionari pubblici infedeli, che utilizzavano le proprie credenziali – dunque perfettamente legittime – per effettuare ricerche prive di qualunque giustificazione di servizio. Non si è trattato, quindi, di sofisticati attacchi esterni alle infrastrutture, ma dell’ennesimo caso in cui il perimetro tecnologico regge, mentre crolla la fiducia verso chi è già dentro.

Un pattern che si ripete: il caso Intesa Sanpaolo e altri episodi di insider threat

Il caso di Napoli non è isolato, ma si inserisce in un pattern ormai evidente: l’insider threat e l’esfiltrazione di dati da parte di utenti autorizzati sono oggi una delle principali superfici d’attacco per aziende e istituzioni.

Nel provvedimento con cui il Garante Privacy ha sanzionato Intesa Sanpaolo per oltre 31 milioni di euro, al centro c’è un dipendente che, per oltre due anni, ha effettuato 6.637 accessi abusivi ai dati di 3.573 clienti, inclusi politici e figure ad alto rischio, senza alcuna motivazione lavorativa. Anche in questo caso, credenziali corrette, sistemi funzionanti, controlli di accesso formalmente in ordine: ciò che è mancato è stata la capacità di riconoscere che quel comportamento, pur tecnicamente consentito, era anomalo e privo di senso rispetto al ruolo dell’operatore.

Altri procedimenti giudiziari degli ultimi anni hanno mostrato dinamiche analoghe: strutture criminali o singoli insider che “esfiltrano” dati sensibili da banche dati strategiche nazionali – come SDI, Serpico, Inps – sfruttando accessi legittimi per finalità del tutto illecite. Il denominatore comune è sempre lo stesso: il problema non è solo chi entra, ma come si comporta una volta entrato.

Perché non basta più proteggere la porta d’ingresso

Per anni la cybersecurity si è concentrata quasi esclusivamente su autenticazione, autorizzazione e controllo degli accessi: chi può entrare, da dove, con quali fattori di autenticazione. Questo rimane essenziale, ma i casi citati dimostrano che, da solo, non basta più. Quando l’attaccante è “di casa” – un dipendente, un collaboratore, un funzionario pubblico – tutte le difese basate sul bloccare l’ingresso diventano inefficaci. L’insider dispone di credenziali valide, conosce i sistemi, sa come muoversi per non attirare l’attenzione e, spesso, opera in orari e modalità perfettamente compatibili con la normale operatività.

In questo contesto, limitarsi a configurare diritti di accesso e a fare audit periodici significa accettare un enorme punto cieco: tutto ciò che avviene dopo il login. È esattamente in quella zona grigia che si collocano i casi di dossieraggio, di spionaggio interno, di vendita di dati sensibili.

La chiave è il comportamento: analizzare ciò che avviene dopo il login

Per ridurre davvero il rischio di insider threat non basta chiedersi “chi può accedere a cosa?”, ma “come si comportano nel tempo gli utenti che accedono a queste risorse?”. Qui entra in gioco l’analisi comportamentale post-accesso. Un approccio moderno alla sicurezza delle identità prevede la costruzione di una baseline di comportamento per ogni identità – umana e non umana – su tutti i sistemi critici: quali applicazioni usa tipicamente, quali tipi di dati consulta, in quali fasce orarie, con quali volumi e frequenze. Ogni deviazione significativa da questo profilo – nuove banche dati interrogate, volumi di ricerca inusuali, consultazioni ripetute di posizioni “sensibili” o fuori contesto rispetto al ruolo – diventa un segnale debole da analizzare e, se necessario, da bloccare.

Nel caso di Napoli, una sorveglianza comportamentale matura avrebbe potuto evidenziare rapidamente:

• pattern di interrogazione ricorrenti su soggetti noti (vip, imprenditori, personaggi esposti) da parte di operatori che non avevano alcuna ragione operativa per farlo;

• volumi di accesso anomali, distribuiti nel tempo ma coerenti con un’attività sistematica di estrazione dati;

• correlazioni tra accessi a banche dati diverse (giudiziarie, fiscali, contributive) riconducibili sempre alle stesse credenziali.

Lo stesso vale per il caso Intesa Sanpaolo: migliaia di accessi distribuiti su anni verso clienti senza relazione operativa con l’operatore sono, di fatto, un comportamento anomalo che un sistema di analisi comportamentale avrebbe dovuto riconoscere molto prima dell’intervento del Garante.

Dai segnali deboli all’evidenza dell’attacco

La sfida, oggi, non è individuare le poche azioni chiaramente malevole (come un attacco a forza bruta o centinaia di login falliti), ma mettere a sistema una costellazione di anomalie deboli che, prese singolarmente, potrebbero sembrare innocue.

In altre parole, non si tratta solo di “riconoscere il male” quando si manifesta in forme eclatanti, ma di capire quando un comportamento formalmente legittimo smette di essere coerente con il contesto. È esattamente la zona grigia in cui prosperano i casi di dossieraggio e di vendita di dati riservati.

In uno scenario come quello delle banche dati delle forze dell’ordine, questo significa poter per esempio individuare rapidamente chi sta effettuando interrogazioni su soggetti “sensibili” fuori dal proprio perimetro di responsabilità, riconoscere schemi di accesso ripetuti nel tempo che suggeriscono un’attività sistematica di raccolta informazioni, applicare misure automatiche di contenimento (ad esempio la sospensione di credenziali ad alto rischio o l’innesco di controlli aggiuntivi) prima che il danno diventi irreversibile.

Dalla reazione alla prevenzione: cosa imparare dal caso di Napoli

Il caso di Napoli, come quello di Intesa Sanpaolo e altri episodi di accesso indebito alle banche dati strategiche, manda un messaggio molto chiaro a chi si occupa di sicurezza: non è più sufficiente progettare barriere all’ingresso. Bisogna imparare a leggere, in profondità, il comportamento di chi è già dentro. Questo implica spostare il focus dalla sola autentificazione all’osservabilità continua delle identità, affiancare ai controlli di compliance (chi è autorizzato ad accedere) una analisi comportamentale (come viene utilizzato davvero quell’accesso), dotarsi di strumenti in grado di correlare segnali deboli su orizzonti temporali lunghi, perché molti insider threat non esplodono in un singolo evento, ma si manifestano come una serie di micro-abusi ripetuti.

Il caso della banda che rubava e vendeva dati dalle banche dati delle forze dell’ordine non è un incidente isolato, ma l’ennesimo promemoria di quanto il fattore umano e l’abuso di accessi legittimi restino, nel 2026, una delle più grandi sfide aperte per la cybersecurity. La tecnologia per leggere quei comportamenti e fermarli in tempo, però, esiste già: il passo successivo è decidere di adottarla.

Vai al sito di Cybersecurity Italia.

L'articolo Dai dossieraggi ai dati venduti, il vero problema non è l’accesso: sì alla tecnologia anti-dipendenti infedeli sembra essere il primo su CyberSecurity Italia.