Per alcuni un episodio banale e del quale devo scusarmi.
Per altri, purtroppo, un episodio utile.
Per qualcuno, forse, un episodio con un consiglio prezioso per quanto scontato per i primi.
Pagare o non pagare il riscatto richiesto a chi ha violato i nostri dati personali.
Ecco, questa è la domanda di oggi.
Un episodio che rimbalza dal Canada suggerisce la risposta.

La sigla e ne parliamo. PowerSchool è la società produttrice di uno dei software più utilizzati nell’universo scolastico in tutto il mondo.
A dicembre ha subito un breach e i dati personali di almeno sessanta milioni di persone, tra studenti e insegnanti, sono finiti nelle mani sbagliate, di chi non si sa ma di qualcuno che si è dichiarato disponibile a cancellarli se PowerSchool avesse pagato tanti, tanti soldi.
Quanto, non si sa.
Quello che si sa, però, è che in PowerSchool, terrorizzati per il danno reputazionale in agguato con i dati di adulti e, soprattutto, bambini, anche di carattere sanitario, in giro per il web, hanno pensato che non ci fosse soluzione diversa e migliore che pagare il riscatto richiesto dagli aggressori.
Detto, fatto.
Noi paghiamo quanto ci chiedete, voi cancellate tutto.
Questo l’oggetto del pactum sceleris all’epoca concluso. Segue qualche mese di tranquillità, il tempo delle vacanze di Natale e di quelle di Pasqua.
Poi una scuola di Toronto, in un comunicato di qualche giorno fa, racconta alla sua comunità che qualcuno le sta chiedendo dei soldi perché i dati trafugati da PowerSchool e che avrebbero dovuto essere cancellati secondo quanto promesso a quest’ultima, in effetti, continuano a essere nelle mani degli aggressori.
E PowerSchool non ha potuto che dichiarare di non essere in grado di escludere questa eventualità anche perché gli estortori, autori della prima estorsione in suo danno, sembrerebbero aver mostrato alle scuole che ora sono passati a estorcere un campione dei dati in loro possesso che, in effetti, sembra sovrapponibile a quello oggetto dell’estorsione originaria.
Brutta, bruttissima storia.
Ma, appunto, come dicevo in apertura, una storia niente affatto originale e, anzi, banale per gli addetti ai lavori.
E, però, giacché non siamo tutti addetti ai lavori e a livelli diversi la tentazione di pagare davanti a chi ci minaccia, in caso contrario, di rendere pubblici taluni dati personali, è sempre forte, vale, forse, la pena ripeterlo una volta di più: pagare non è la soluzione, a prescindere da qualsiasi considerazione legale ed etica – che pure un peso dovrebbero avere – il punto è che nell’universo digitale immateriale è impossibile avere la prova che un criminale che si impegni a cancellare il bottino di un suo crimine poi lo cancelli davvero.
Come si fa, d’altra parte, a fidarsi di chi è entrato dentro casa nostra senza che noi lo invitassimo e poi ci ha chiesto dei soldi per uscire, per restituirci la refurtiva o per distruggerla?
E, attenzione, la stessa identica buona regola vale anche per chi, come accade sempre più di frequente, è vittima di sextortion, ovvero della minaccia di divulgare proprie immagini sessualmente esplicite se non paga il riscatto.
Se si paga la prima volta, si entra in una spirale infinita, nella quale alla prima seguirà una seconda richiesta di riscatto e alla seconda una terza.
Tante scuse a chi è arrivato sin qui per sentire o leggere delle ovvietà e un “fate attenzione e datemi retta!” a tutti gli altri.
Buona giornata e, naturalmente, good morning privacy.