Principali punti da ricordare
- La recente violazione di dati dell'ANTS ha esposto dati personali di quasi 12 milioni di cittadini francesi.
- L'Europa è all’avanguardia in termini di regolamentazione della sicurezza informatica, tuttavia l'applicazione di policy di rifiuto DMARC non è ancora uniforme all'interno delle amministrazioni pubbliche.
- Questa lacuna può esporre i domini governativi vulnerabili a rischi di furto di identità tramite gli stessi canali email utilizzati per le notifiche post-violazione.
L'Agence Nationale des Titres Sécurisés (ANTS), nota dal 2024 come France Titres, è l'ente pubblico che rilascia e gestisce i principali documenti d'identità, inclusi passaporti, carte d'identità nazionali e patenti di guida.
Un recente attacco informatico contro l’ANTS è stato rilevato il 15 aprile 2026. Secondo quanto riportato dalla stampa l'incidente potrebbe interessare quasi 12 milioni di cittadini e comportare la divulgazione dei loro dati personali come nomi, indirizzi email e date di nascita, tratti dai loro account individuali e professionali.
Da allora, la situazione si è evoluta rapidamente. Un sospetto è stato identificato e arrestato. Per precauzione, il portale ANTS è stato brevemente disattivato e poi riaperto dopo l’installazione di aggiornamenti di sicurezza. Il Primo Ministro francese ha recentemente annunciato un piano nazionale per rafforzare la resilienza in materia di sicurezza informatica nei servizi pubblici.
La risposta iniziale è stata rapida, controllata e in linea con le best practice per la gestione della comunicazione in situazioni di crisi, con la diffusione di un comunicato pubblico cinque giorni dopo il rilevamento dell'incidente. Ironia della sorte, le persone interessate sono state avvisate tramite un’email non autenticata.
Le email di notifica a seguito dell’incidente osservate sembravano provenire dall’indirizzo no-reply[@]comm.ants.gouv.fr. L'analisi del DNS pubblico di ants.gouv.fr al momento della pubblicazione ha rivelato la presenza di un record DMARC in modalità monitoraggio: v=DMARC1; p=none; adkim=r; aspf=r; sp=none.
In altre parole, i messaggi di notifica provenivano dallo stesso canale che un criminale informatico userebbe per sfruttare proprio i dati compromessi.
Dalla violazione dei dati alle campagne di phishing: una catena prevedibile
Nell’attuale panorama delle minacce, una violazione dei dati raramente è l'obiettivo finale. Più spesso, è il punto di partenza di attacchi a catena che possono scalare rapidamente. Nel caso dell’ANTS, le stesse autorità hanno invitato gli utenti a prestare particolare attenzione ai messaggi sospetti, in particolare email che fingevano di provenire dall’agenzia.
Questo riflette uno schema ben consolidato:
- I dati rubati alimentano attacchi mirati.
- I dettagli personali rendono l'esca più credibile.
- Istituzioni di fiducia subiscono un furto d’identità.
- L’attacco viene trasmesso all’obiettivo tramite email
Le ricerche condotte da Proofpoint dimostrano costantemente che l'email rimane il principale vettore di minaccia e un punto d'ingresso privilegiato per gli attacchi informatici.
In incidenti come la violazione dell’ANTS, i criminali informatici non devono procedere per tentativi. Dispongono già dei seguenti elementi:
- Identità verificate
- Rilevanza contestuale
- Un'istituzione di fiducia da violare
Il loro successo dipende da quanto convincenti appaiono le email successive.
In gran parte dell'Europa, queste email possono essere piuttosto difficili da individuare. Questo perché le comunicazioni degli enti pubblici sono spesso relativamente facili da falsificare. Mentre Paesi come Danimarca e Regno Unito hanno adottato misure per applicare policy di rifiuto DMARC ai domini della pubblica amministrazione, molti Stati europei continuano a attenersi a raccomandazioni piuttosto che stabilire obblighi. Il risultato è un panorama frammentato in cui la fiducia nelle istituzioni non è, da un punto di vista tecnico, garantita.
DMARC: un controllo che ancora non viene applicato
Gli standard di autenticazione dell’email (SPF, DKIM e DMARC) non sono nuovi. Il protocollo DMARC permette ai proprietari dei domini di istruire i sistemi destinatari di rifiutare tutti i messaggi che non superano questi controlli.
Eppure il problema non è la sensibilizzazione, bensì l'applicazione rigorosa. Nel settore pubblico, molti domini funzionano ancora in modalità monitoraggio, il che lascia la porta aperta al furto di identità. Un dominio senza una rigorosa applicazione del protocollo DMARC non impone ai sistemi di posta destinatari di rifiutare i messaggi che non superano i controlli DMARC, aumentando i rischi di furto d’identità.
Il paradosso cibernetico dell’Europa: una normativa rigorosa, ma un’attuazione inefficace
La violazione subita dall’ANTS evidenzia un problema più ampio di fiducia nelle comunicazioni digitali del settore pubblico: quando l'autenticazione via email non viene applicata, ai cittadini viene chiesto di fidarsi di un canale che i criminali informatici possono imitare.
L'Europa ha creato uno dei quadri normativi più avanzati al mondo, che comprende in particolare le seguenti normative:
- GDPR
- NIS2
- DORA
E ora, a seguito di incidenti come la violazione dell’ANTS, i governi stanno adottano delle misure. La Francia ha recentemente annunciato un piano nazionale di cybersecurity volto a rafforzare le difese del settore pubblico.
Tuttavia, questi quadri presentano un limite strutturale comune: regolano la responsabilità, ma non sempre tengono conto della realtà tecnica. I criminali informatici non sfruttano i framework di governance, bensì le lacune nella loro applicazione.
Nella violazione stessa dell’ANTS, la contraddizione è chiara:
- Le autorità avvisano le vittime via email.
- Le autorità avvertono di eventuali attività di phishing usando la stessa identità.
- Ma i controlli tecnici che renderebbero il furto d’identità molto più difficile non sono però applicati ovunque.
ANTS: un caso di studio sull'esposizione strutturale
La comunicazione ufficiale del Ministero dell'Interno francese conferma diversi elementi chiave:
- Sono stati esposti i dati di identità personale.
- Le autorità hanno iniziato a avvisare gli utenti interessati.
- Gli utenti sono stati chiaramente avvertiti dei rischi di phishing.
- Non è stata richiesta alcuna azione immediata da parte degli utenti.
Il paradosso è sorprendente: la stessa istituzione che mette in guardia contro il phishing si basa su un canale che può essere contraffatto usando dati rubati. Ciò significa che, per la maggior parte degli utenti, potrebbe non esistere un modo ovvio per capire se un messaggio ricevuto sia legittimo o fraudolento.
Una prospettiva globale sul divario crescente
Il problema non è generalizzato. Negli Stati Uniti, le direttive federali impongono alle agenzie di implementare e applicare le policy di autenticazione delle email, incluso DMARC, e non solo di monitorarle. La differenza si manifesta nella pratica:
- Negli Stati Uniti, il furto d’identità di un dominio governativo è sempre più difficile.
- In Europa, spesso rimane tecnicamente possibile.
Non si tratta di una questione di capacità, ma di priorità. Sebbene l'Europa sia all'avanguardia sul piano normativo, la fiducia nell’applicazione di tali regole non è uniforme.
Il punto di vista di Proofpoint: se qualcuno può violare la tua identità, la fiducia nei tuoi confronti è a rischio
I criminali informatici non cercano più di violare i sistemi a tutti i costi. Sempre più spesso prendono di mira le persone.
- Il social engineering prende il sopravvento sul malware.
- L'identità è il nuovo perimetro.
- L'email rimane il principale vettore di attacco.
Questo porta a una conclusione semplice ma inquietante: dal punto di vista della fiducia, se un criminale informatico riesce a usurpare la tua identità, potrebbe non aver bisogno di violare il tuo sistema.
La fase successiva è già iniziata
Il rischio generato dalla violazione ANTS non è finito. Sebbene il presunto autore dell’attacco sia stato identificato, siano stati effettuati degli arresti, i sistemi siano stati temporaneamente messi fuori servizio e le piattaforme siano state rimesse in funzione con misure di sicurezza rafforzate, il problema fondamentale rimane lo stesso: i dati sono già stati esposti.
Questo significa che gli obiettivi sono noti e che, senza dubbio, seguiranno nuovi incidenti. Le misure strategiche — siano esse operative, giudiziarie o politiche — non consentono di porre fine alle possibilità offerte dalla violazione d’identità.
L'unica domanda in sospeso è sapere se i messaggi fraudolenti inviati a nome di istituzioni europee saranno segnalati o consegnati. Oggi, in gran parte dell'Europa, la risposta è ancora incerta—e l'incertezza è esattamente ciò su cui fanno affidamento i criminali informatici.
Proteggi la fiducia alla base di ogni messaggio. Scopri come Proofpoint aiuta le aziende a implementare il protocollo DMARC, a proteggersi dallo spoofing del dominio e a bloccare i tentativi di furto d’identità via email prima che raggiunga gli utenti.