Cybercriminali rubano le foto di 8.000 bambini: Radiant chiede scusa dopo lo scandalo

Nei giorni scorsi è accaduto qualcosa di strano, ma non troppo, perché capitato anche in altre circostanze. Dei novelli criminali cyber nascosti sotto il nome di Radiant hanno violato i sistemi di una piattaforma educativa inglese Famly e sottratto le foto di circa 8.000 bambini, nonché i recapiti dei genitori. Fatto questo li hanno divulgati ne dark web salvo poi, di fronte all’indignazione pubblica, cancellarli con tanto di scuse. Quello a cui abbiamo assistito non è stato un colpo di teatro etico, ma una forma di grottesca strategia di comunicazione. È come se un ladro entrasse in casa, portasse via gli album di famiglia, li mostrasse in piazza, e infine si giustificasse: “Scusate, non volevo esagerare”. Non restituisce nulla, dice che li ha bruciati, ma lascia solo la certezza che qualcun altro potrebbe avere fatto una copia.

Il caso delle Kido Schools, catena di asili nido britannica, ha una dinamica quasi da manuale. Non si è trattato di un “sofisticato attacco”, ma di quello che invece capita sistematicamente: una tipica organizzazione criminale, tecnicamente un initial access broker, ha venduto le credenziali di un dipendente delle Kido Schools. Da lì, Radiant ha trovato la strada spianata per arrivare alle foto, ai dati anagrafici, ai contatti dei genitori. Gran parte della refurtiva, infatti, proveniva da un account aziendale su Famly, piattaforma mai compromessa in sé.

Il fatto che i criminali abbiano deciso di fare marcia indietro non deve ingannare. Non è la prima volta che si fermano davanti a bersagli “sensibili”: ospedali bloccati in piena pandemia, comuni incapaci di erogare servizi minimi, scuole paralizzate. È la conferma che perfino nel mercato del crimine esiste un calcolo reputazionale: il rischio non è tanto la galera, quanto finire etichettati come “mostri” agli occhi dell’opinione pubblica. La retromarcia di Radiant, più che di pentimento, sa di correzione di un errore di marketing.

La fragilità che emerge, invece, è sistemica. Pensiamo alle famiglie coinvolte: hanno affidato ricordi e dettagli dei propri figli a una piattaforma che si propone come sicura, senza sospettare che il punto debole potesse essere un singolo computer aziendale. È la dimostrazione che la catena della sicurezza non è mai più forte dell’anello più fragile: in questo caso, la password di un dipendente.

Ci sarebbe da chiedersi se l’indignazione basti come scudo. In realtà, la vera protezione risiede in una combinazione di consapevolezza e vigilanza: ridurre la quantità di dati raccolti, formare chi li gestisce, abituarsi a non credere alle promesse assolute di sicurezza. Altrimenti continueremo a oscillare tra rabbia e sollievo momentaneo, come chi scopre che il ladro ha sì portato via qualcosa, ma almeno non ha incendiato la casa.

Nel teatro opaco della rete, anche il pentimento ha valore di moneta: ma la fiducia, una volta rubata, non si ricompra al mercato nero. E se c’è una regola che il caso Radiant conferma è questa: i dati dei bambini, ma non solo, non si dovrebbero trattare come un bottino, ma come un pezzo della vita di una persona. Chi dimentica questa differenza, anche chiedendo scusa, resta pur sempre un ladro.