• 27/10/2025
Facebook-f Linkedin Twitter Youtube Pinterest Rss
mcl logo header - DTT. Indennizzi diritti d’uso a operatori di rete locali. Dopo sentenze CdS partono richieste revisione. Il nodo degli effetti ultra partes

Web. Sicurezza digitale: falla di Google denunciata da Cristiano Vaccaroni. “In un minuto ho perso tutto”

Cristiano Vaccaroni
Stampa 🖨

Un attacco interno ad una sessione Gmail attiva avrebbe consentito la modifica dei parametri di sicurezza senza richiesta di OTP o password.
L’episodio, raccontato a Newslinet e documentato in una trasmissione di Radio 24, evidenzia una vulnerabilità sistemica del modello di autenticazione di Big G ed una carenza strutturale di assistenza diretta.

Sintesi

In un contesto in cui i servizi cloud sono divenuti lo snodo vitale delle attività professionali e personali, il caso segnalato da Cristiano Vaccaroni – noto operatore del settore radiotelevisivo e informatico – mette in luce una falla potenzialmente devastante nella gestione degli account Google.
In meno di sessanta secondi, un hacker ha sostituito i parametri di sicurezza dell’account Gmail dell’utente, disattivato l’autenticazione a due fattori e assunto il pieno controllo della posta, dei file e dei canali YouTube associati.
La denuncia solleva interrogativi tecnici, giuridici e regolamentari: quanto è realmente sicuro un ecosistema centralizzato in cui l’utente, una volta violato, non trova più alcuna porta gestionale?

Il caso: “Sono stato estromesso dall’ecosistema in 60 secondi

«Sabato scorso, in meno di un minuto, ho perso tutto», racconta Cristiano Vaccaroni (nella foto d’apertura presso gli studi di Radio Arancia) a Newslinet. «Mi sono trovato disconnesso dal mio account Gmail e, nell’arco di pochi istanti, ho visto cambiare la mail di recupero, il numero di telefono associato agli OTP, la passkey e perfino i codici di sicurezza. Tutto è avvenuto in tempo reale, senza che mi fosse chiesta alcuna conferma».

L’inerzia di Google

L’operatore – noto nel comparto radiotelevisivo per il suo background tecnico – ci ha spiegato di aver immediatamente tentato la procedura di recupero, senza successo: «Google mi ha offerto soltanto risposte automatiche. Gli operatori telefonici, gentili ma impotenti, mi hanno spiegato che non possono intervenire direttamente sugli account violati. Ho persino inviato copia della denuncia per furto d’identità; tuttavia nulla si è mosso».

Il test che conferma la vulnerabilità

Dopo l’attacco, Vaccaroni ha replicato la procedura su un secondo account di prova, documentando il tutto con un video.
«Mi sono accorto – ci ha illustrato – che se si opera da un browser già loggato, è possibile modificare i parametri di sicurezza senza digitare né password né OTP.

Falla enorme

In pratica, se un malintenzionato accede al mio computer già autenticato, può cambiare tutto: email di recupero, numeri, passkey. È una falla enorme».

A Radio 24

Intervenendo in una trasmissione di Radio 24 (qui il catch up dell’intervento), l’operatore parla con tono amaro: «È come avere una cassaforte aperta perché la chiave è già nella toppa. L’autenticazione a due fattori serve solo per entrare, non per proteggere ciò che c’è dentro».

Il punto debole della “sessione attiva”

Il meccanismo descritto tocca un aspetto noto, ma poco dibattuto: la persistenza della sessione loggata.
Per comodità, Google mantiene attivi gli accessi su browser e dispositivi mobili per settimane, permettendo all’utente di evitare continue autenticazioni.

 Vettore di vulnerabilità

Tuttavia, questo sistema – utile per l’usabilità – diventa un vettore di vulnerabilità se l’aggressore ottiene accesso al dispositivo o alla sessione di rete in corso.

Session hijacking

Gli specialisti di cybersecurity interpellati da Newslinet evidenziano che la cosiddetta session hijacking non è una novità; tuttavia, il caso Vaccaroni ne mostra la dimensione pratica e, soprattutto, l’assenza di contromisure efficaci.
«Le grandi piattaforme – ci ha spiegato un esperto di digital forensics vicino a Google sotto garanzia di anonimato – dovrebbero introdurre un’ulteriore verifica per le modifiche critiche.

Chi è dentro, comanda

Oggi invece il principio è “chi è dentro comanda”. È un modello pensato per la produttività, non per la resilienza».

La sicurezza come “illusione d’accesso”

La vicenda accaduta a Cristiano Vaccaroni dimostra che l’architettura della sicurezza basata su fattori di accesso (password, OTP, passkey) può crollare nel momento in cui l’attaccante agisce dall’interno. Una volta autenticato, il sistema presume la legittimità dell’utente e non richiede ulteriori conferme per azioni considerate “di manutenzione”, come la modifica dei contatti di recupero.

Blindare la porta d’ingresso e lasciare aperte tutte le finestre

Il paradosso è evidente: la protezione si concentra sull’ingresso, ma non sulla permanenza. È come blindare la porta d’ingresso e lasciare aperte tutte le finestre.

Frictionless

La logica frictionless – l’eliminazione di attriti per favorire la user experience – finisce per indebolire la sicurezza. E, nel mondo cloud, dove un unico account controlla posta, archivi, dispositivi e identità digitali, questo compromesso può tradursi in una perdita totale.

L’assistenza che non assiste

Altro elemento critico, secondo Vaccaroni, è la mancanza di un supporto umano nei processi di emergenza.
«Parli con bot o con operatori che non hanno strumenti tecnici. Ti dicono di compilare un modulo o attendere una mail automatica. Ma se l’account è già stato preso, tutto quel sistema si chiude e si inizia a girare come in un labirinto».

Difficoltà di comunicazione

La difficoltà di comunicazione tra utente e piattaforma non è nuova. Già in precedenti segnalazioni, alcune associazioni di consumatori avevano denunciato l’impossibilità di recuperare account compromessi nonostante la denuncia alle autorità.

Giurisdizione

Per un’azienda globale come Google, con sede europea in Irlanda, anche la giurisdizione rappresenta un ostacolo: il GDPR prevede obblighi di tutela, ma la scala operativa rende difficile far valere un reclamo individuale.

Impatto sul settore media e professionale

Nel caso specifico, la perdita dell’account Gmail ha comportato anche l’impossibilità per l’operatore radiotelevisivo di accedere a Google Drive e YouTube, strumenti di lavoro quotidiano per chi opera nel broadcasting e nella produzione audiovisiva. Vaccaroni sottolinea come l’evento non riguardi solo la privacy personale: «In quei cloud ci sono documenti, progetti, contatti di lavoro, persino dati sensibili di terzi. È come se un ladro entrasse in un archivio redazionale e portasse via tutto».

Rilievo generale

La vicenda, quindi, assume anche un rilievo per il comparto radiotelevisivo e per i creator digitali, sempre più dipendenti da piattaforme esterne per la gestione dei propri contenuti. L’interruzione di accesso o la compromissione di un profilo YouTube può comportare perdite economiche, violazioni contrattuali e danni reputazionali.

L’asimmetria informativa tra utente e piattaforma

Il caso Vaccaroni riporta al centro un nodo irrisolto: la sproporzione di potere tra utente e fornitore del servizio.
Nel modello SaaS (Software as a Service), l’utente non possiede più realmente i propri dati: li affida in licenza, secondo termini di servizio che prevedono clausole di esclusione di responsabilità per la perdita di accesso.
Di conseguenza, anche in presenza di una violazione manifesta, la possibilità di ripristinare un account resta una concessione, non un diritto effettivo.

Mancata trasparenza delle big tech

A ciò si aggiunge il fatto che Google, come altre big tech, opera con politiche di sicurezza non pubblicamente verificabili. L’utente non può conoscere l’algoritmo che decide se una richiesta di recupero è sospetta, né come vengono gestite le segnalazioni di furto identitario.

Le implicazioni regolamentari

Dal punto di vista giuridico, il furto dell’account rientra nella fattispecie dell’accesso abusivo a sistema informatico (art. 615-ter c.p.), perseguibile anche se l’attacco avviene “dall’interno” del dispositivo dell’utente. Ma la vicenda solleva anche questioni di responsabilità del titolare del trattamento, ai sensi del Regolamento (UE) 2016/679 (GDPR).

GDPR e “diritto alla sicurezza”

L’art. 32 impone al titolare di “adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio”. Se, come documentato, è possibile modificare i dati di recupero senza ulteriore autenticazione, si potrebbe configurare una violazione di tale obbligo.

Armi spuntate

Tuttavia, l’azione legale contro un gigante con sede extra-nazionale risulta spesso sproporzionata perché concretamente inaccessibile per un singolo cittadino. Il Garante della privacy italiano, in teoria, potrebbe intervenire d’ufficio, ma la prassi mostra che solo in presenza di casistiche ripetute e documentate si attiva un’istruttoria.

Le reazioni (ed i silenzi) di Google

Al momento, Google non risulta aver rilasciato dichiarazioni specifiche sul caso Vaccaroni. In passato, il gruppo ha risposto a episodi simili sottolineando che “la sicurezza degli account dipende in primo luogo dal mantenimento del controllo fisico dei dispositivi e dalla protezione delle credenziali”.

Sessione autenticata

Una posizione corretta in linea teorica, ma che non tiene conto degli attacchi eseguiti dalla stessa sessione autenticata. In termini tecnici, si tratta di un vettore di tipo local privilege escalation, ma in ambito consumer il rischio è amplificato dal fatto che milioni di utenti mantengono sessioni aperte permanentemente.

Le soluzioni possibili: più sicurezza, meno automatismi

Diversi esperti suggeriscono contromisure pratiche: re-autenticazione obbligatoria per la modifica dei contatti di recupero o per la disattivazione del 2FA; timeout automatico delle sessioni loggate, soprattutto su browser condivisi; avvisi immediati via SMS ed email secondaria in caso di variazione dei parametri di sicurezza; canale di emergenza umano per utenti con documentata denuncia di furto identitario.

Google prenda atto

Vaccaroni, dal canto suo, chiede un intervento diretto: «Non chiedo un risarcimento, ma che quantomeno Google prenda atto di questa falla e aiuti chi, come me, ha perso anni di vita digitale in pochi secondi».

Analisi critica generale: l’etica del “dato in affitto”

Quello di Vaccaroni non è un semplice incidente informatico: è la fotografia di una dipendenza strutturale dal cloud privato. In un’epoca in cui la posta, i documenti, i contatti e perfino la memoria familiare sono ospitati su server esterni, la perdita di un account è paragonabile alla perdita di un’identità.

Responsabilizzazione

Ma, soprattutto, mette in discussione la narrativa della sicurezza “totale” propagandata dalle big tech. L’utente è responsabilizzato nel proteggere la propria password, ma non ha alcun controllo sulle modalità con cui la piattaforma gestisce la sicurezza interna.

Asimmetria etica e tecnologica

Si tratta di una asimmetria etica e tecnologica: l’individuo è vulnerabile, la piattaforma è inespugnabile non dal punto di vista tecnico, ma da quello burocratico. La sicurezza diventa così una promessa unilaterale, più utile al marketing che alla tutela reale. Nel settore media e broadcast, dove l’identità digitale coincide con la firma editoriale, questa fragilità assume un significato ancora più profondo: non è solo una questione di privacy, ma di libertà professionale e di continuità operativa. (M.L. per NL)

Immagine di Redazione
Redazione

Questo sito utilizza cookie per gestire la navigazione, la personalizzazione di contenuti, per analizzare il traffico. Per ottenere maggiori informazioni sulle categorie di cookie, sulle finalità e sulle modalità di disattivazione degli stessi clicca qui. Con la chiusura del banner acconsenti all’utilizzo dei soli cookie tecnici. La scelta può essere modificata in qualsiasi momento.

Accetto Preferenze Rifiuto
Centro Privacy Informativa sui cookie
Privacy Settings saved!
Impostazioni

Quando visiti un sito Web, esso può archiviare o recuperare informazioni sul tuo browser, principalmente sotto forma di cookies. Controlla qui i tuoi servizi di cookie personali.

Strettamente necessari Integrità e funzionalità Targeting e pubblicità Centro Privacy Informativa sulla privacy Informativa sui cookie
Questi strumenti di tracciamento sono strettamente necessari per garantire il funzionamento e la fornitura del servizio che ci hai richiesto e, pertanto, non richiedono il tuo consenso.
Cookie tecnici
Questi cookie sono impostati dal servizio recaptcha di Google per identificare i bot per proteggere il sito Web da attacchi di spam dannosi e per testare se il browser è in grado di ricevere cookies.
  • wordpress_test_cookie
  • wp_lang
  • PHPSESSID
Accettazione/Rifiuto Gdpr
Questi cookie memorizzano le scelte e le impostazioni decise dal visitatore in conformità al GDPR.
  • wordpress_gdpr_cookies_declined
  • wordpress_gdpr_cookies_allowed
  • wordpress_gdpr_allowed_services
Rifiuta tutti i Servizi
Accetta tutti i Servizi

Ricevi gratis la newsletter di NL!

SIT ONLINE abbonamento circolari Consultmedia su scadenze ordinarie e straordinarie settore radio-tv-editoria: [email protected]

ISCRIVITI ALLA NEWSLETTER