Una nuova indagine condotta da NordPass in collaborazione con la piattaforma di gestione delle minacce NordStellar ha rivelato che 13.613 password appartenenti a funzionari pubblici italiani sono state esposte in fonti pubblicamente accessibili dall’inizio del 2024. Tra i dati compromessi figurano credenziali legate a ministeri e istituzioni nazionali di primo piano, con potenziali implicazioni per la sicurezza dello Stato.
Secondo lo studio, il Ministero dell’Istruzione e del Merito risulta il più colpito, con 7.033 password esposte, seguito dal Ministero della Giustizia (1.379) e dal Ministero delle Infrastrutture e dei Trasporti (1.020). Inoltre, sono state individuate 141 password compromesse riferibili alla Presidenza del Consiglio dei Ministri.
“L’esposizione di dati sensibili, comprese le password dei funzionari pubblici, rappresenta un pericolo significativo. Le password compromesse non minacciano solo le organizzazioni e i loro dipendenti, ma possono avere ripercussioni sui cittadini e sugli interessi strategici di un Paese”, spiega Karolis Arbačiauskas, Head of Product di NordPass.
I dati emersi: ministeri e regioni nel mirino
Le analisi di NordPass e NordStellar mostrano che, tra le 13.613 password totali, 1.502 risultano uniche, mentre molte altre si ripetono a causa di più violazioni legate allo stesso indirizzo email o a password identiche condivise tra dipendenti.
Ecco i principali risultati:
- Ministero dell’Istruzione e del Merito: 7.033 password totali / 481 uniche
- Ministero della Giustizia: 1.379 totali / 176 uniche
- Ministero delle Infrastrutture e dei Trasporti: 1.020 totali / 85 uniche
- Regione Siciliana: 652 totali / 70 uniche
- Regione Autonoma della Sardegna: 483 totali / 64 uniche
- Comune di Roma: 282 totali / 60 uniche
- Comune di Milano: 131 totali / 47 uniche
- ENEA: 262 totali / 36 uniche
- ISTAT: 52 totali / 30 uniche
- Ministero dell’Interno: 90 totali / 28 uniche
Contrariamente a quanto si potrebbe pensare, le istituzioni nazionali risultano più esposte di quelle locali. I ricercatori sottolineano che molte di queste credenziali non derivano da attacchi diretti alle infrastrutture governative, bensì da violazioni di siti terzi o da infezioni malware sui dispositivi personali dei dipendenti.
“Le vulnerabilità non dipendono solo dai sistemi interni”
“È importante notare che il numero di password trapelate non riflette direttamente la forza della sicurezza interna di un’organizzazione. Spesso, queste cifre derivano da fattori esterni come la compromissione di siti web di terze parti o la registrazione con email di lavoro su piattaforme non ufficiali”, spiega ancora Arbačiauskas.
Il report segnala inoltre che molte password deboli restano ancora in uso, ma una quota crescente rispetta criteri di sicurezza più rigorosi, segno di un miglioramento nelle politiche di protezione delle credenziali. Tuttavia, senza aggiornamenti tempestivi e autenticazione a più fattori (MFA), gli account restano a rischio di accesso non autorizzato.
Le raccomandazioni di NordPass
Per ridurre il rischio di compromissione, NordPass consiglia di:
- Creare password o passphrase complesse e lunghe almeno 20 caratteri.
- Non riutilizzare mai le stesse password per account diversi.
- Adottare gestori di password aziendali per definire regole e monitorare le violazioni.
- Abilitare sempre l’autenticazione a più fattori (MFA).
Metodologia della ricerca
Lo studio, condotto tra il 2024 e il 2025, ha analizzato oltre 5.500 organizzazioni pubbliche in sei Paesi: Italia, Francia, Germania, Regno Unito, Stati Uniti e Canada. I dati sono stati raccolti in base ai domini di posta elettronica istituzionali e tutte le organizzazioni coinvolte sono state informate dell’esposizione prima della pubblicazione dei risultati.
