TL;DR Una banale svista sui metadati di un PDF strategicamente rilevante sembrerebbe aver causato imbarazzo nell’Agenzia per la Cybersicurezza Nazionale, che prontamente lo ha sostituito, con i metadati corretti, poche ore dopo. Tuttavia, l’operazione non è passata inosservata.
«Quando leggemmo il disïato riso
esser basciato da cotanto amante,
questi, che mai da me non fia diviso,
la bocca mi basciò tutto tremante.
Galeotto fu ‘l libro e chi lo scrisse:
quel giorno più non vi leggemmo avante.»
Inferno, Canto V
Non avrei saputo trovare introduzione migliore per raccontare un episodio che, nella sua banalità tecnica, ha avuto delle conseguenze “mediatiche” degne di nota.
Dopo le dimissioni del Direttore Baldoni e l’insediamento del nuovo Direttore di ACN, dott. Frattasi, posso raccontare la mia versione sulla vicenda degli “strani” metadati su un PDF rilasciato dall’Agenzia Cybersicurezza Nazionale.
Tutto inizia dalla pubblicazione, sul sito web dell’Agenzia Nazionale Cybersecurity, del Manuale Operativo di implementazione della misura #84, relativo alla strategia nazionale di cybersicurezza 2022-2026, che contiene la definizione delle metriche e le Key Performance Indicator per misurare il percorso attuativo.
Come migliaia di altri addetti del settore, scarico il documento e inizio a leggermelo. Nel mentre (sarà una deformazione professionale, chissà!), vedendo che il titolo è “PowerPoint Presentation“, mi viene la curiosità di guardare le proprietà del PDF, i metadati.
Per chi non lo sapesse, i metadati di un file sono quelle informazioni tecniche che, nel caso di un PDF, contengono dati relativi all’autore, le date di creazione e modifica, il software con il quale è stato generato, l’impaginazione e molto altro.
Lo screenshot delle “proprietà” del file PDF originale “ACN Manuale Operativo implementazione misura-82.pdf” rivelano che il titolo del documento è “PowerPoint Presentation“, l’autore è “Nadia, Gullo” ed è stato realizzato con “Microsoft PowerPoint for Microsoft 365“.
Niente di male, ovviamente. Ma la curiosità, a questo punto, ha preso il sopravvento ed ho fatto una veloce ricerca su tale Nadia Gullo, immaginando che fosse una dipendente ACN. L’unica Nadia Gullo individuata su LinkedIn è una Security Consulting Consultant presso Accenture. E Accenture è presente, insieme ad altri, nel Comitato tecnico scientifico dell’Agenzia.
Coincidenze? Possibile. Se non fosse che il mio tweet delle 19:02 di Domenica 5 Marzo ha provocato, poco più di due ore dopo, l’aggiornamento del documento con la “rettifica” dei relativi metadati.
Che è successo? Non possiamo saperlo con esattezza, ovviamente, anche se la tempistica l’ho trovata personalmente piuttosto sospetta.
Il tutto è stato prontamente notato anche da altre figure della comunità cyber italiana, come Livio Varrale di Matrice Digitale che nel suo post “ACN copia e incolla da Accenture il Piano Strategico Nazionale di Cybersicurezza?“ getta delle ombre sulla reale paternità del documento strategico, prontamente riprese –a suo modo– da Umberto Rapetto nel suo articolo “AGENZIA CYBER: PRESIDENTE MELONI, “ACN” SI LEGGE ACIENNE O ACCENTURE?“.
Non credo ci sia molto altro da aggiungere: il resto lo hanno raccontato le agenzie di stampa. In ogni caso, rimane la brutta figura e l’insegnamento di come, talvolta, il rimedio sia peggiore del male: sostituire di soppiatto il PDF, senza alcuna nota o comunicazione ufficiale da parte di ACN (forse nella speranza che nessuno se ne accorgesse?) l’ho trovato poco professionale.
A questo punto, la speranza è che il nuovo corso dell’Agenza sappia dare una svolta in positivo anche sotto gli aspetti comunicativi, imparando dagli errori.