Passa ai contenuti principali

I governi devono poter vedere il codice

Ho letto con grande interesse la notizia secondo cui la Danimarca sta valutando seriamente l’idea di sostituire il software Microsoft nei suoi uffici pubblici con soluzioni open source come Linux e LibreOffice. E trovo che sia una decisione non solo coraggiosa, ma anche profondamente sensata dal punto di vista della sicurezza informatica.

Quando si parla di software governativo, si parla di infrastrutture critiche, di gestione dei dati dei cittadini, di processi decisionali delicatissimi. Eppure, per anni, molti governi hanno affidato tutto questo a software chiuso, spesso straniero, senza sapere davvero cosa ci sia sotto il cofano. Il codice sorgente, in questi casi, è una scatola nera. Nessuno può ispezionarlo, verificarne la qualità, controllare la presenza di vulnerabilità o — peggio — di comportamenti nascosti.

L’open source non è la soluzione magica a tutti i problemi, ma almeno offre un principio fondamentale: la trasparenza. Se posso leggere il codice, posso capire cosa fa il sistema. Posso auditare, posso correggere, posso rafforzare. E posso anche decidere di auto‑ospitare i servizi, mantenendo la sovranità sui dati, senza dover dipendere da cloud o server collocati all’estero.

In Germania, nello Schleswig‑Holstein, stanno già migrando migliaia di postazioni pubbliche a un intero ecosistema open: non solo LibreOffice, ma anche Nextcloud, Thunderbird, Univention e altro ancora. È una scelta politica, ma soprattutto strategica: evitare il vendor lock‑in, contenere i costi e aumentare la sicurezza. Perché fidarsi ciecamente di soluzioni chiuse significa anche esporsi a rischi che non si possono nemmeno misurare, perché non li puoi vedere.

In ambienti sensibili, il software deve essere verificabile. Non si può pretendere fiducia cieca da chi ha responsabilità pubbliche. Ed è proprio questo il punto: la sicurezza informatica non si compra in licenza, si costruisce — anche con scelte radicali come questa. Serve, ovviamente, un impegno serio sul fronte del supporto, della formazione e della manutenzione. L’open source non è gratis in senso assoluto, e pensare di usarlo senza investire è un errore. Ma nel lungo periodo, è un investimento che paga, anche in termini di resilienza e indipendenza.

Io credo che la strada sia questa. Se un governo non può vedere il codice che usa, allora quel codice non dovrebbe essere usato affatto.

Commenti

Popolari

Attacco informatico a MooneyGo, cosa sappiamo e cosa devono fare gli utenti

Il 22 agosto 2025 MooneyGo (ex myCicero), nota applicazione per la mobilità e i pagamenti digitali, ha comunicato ufficialmente ai propri utenti l’esito di ulteriori indagini riguardanti l’attacco informatico avvenuto tra marzo e aprile 2025. Cosa è successo Secondo quanto dichiarato dall’azienda, i sistemi sono stati colpiti da un attacco sofisticato che ha esposto alcuni dati personali degli utenti. MooneyGo ha subito presentato denuncia e ha avviato tutte le procedure di sicurezza, collaborando con l’Agenzia per la Cybersicurezza Nazionale (ACN) e con il Garante per la protezione dei dati personali. Quali dati sono stati coinvolti L’attacco avrebbe potuto compromettere: nome, cognome, email e numero di telefono degli utenti; eventuale codice fiscale o partita IVA; la password in versione crittografata (hash Bcrypt con salt a 128 bit e cost factor 11). Non sono stati esposti i dati delle carte di credito o di altri strumenti di pagamento. Perché la questione password è critica In una...

Apple rilascia iOS/iPadOS 18.6.2 e corregge una zero-day già sfruttata attivamente

Apple ha reso disponibile l’aggiornamento di sicurezza iOS e iPadOS 18.6.2 (rilasciato il 20 agosto 2025), che risolve una vulnerabilità zero-day critica nel framework Image I/O, già sfruttata in attacchi mirati riconosciuti come “estremamente sofisticati” verso specifici individui. La falla, identificata come CVE-2025-43300, riguarda una scrittura fuori dai limiti (“out-of-bounds write”): basta un’immagine malevola per corrompere la memoria, con potenziale esecuzione di codice dannoso. Gli aggiornamenti includono anche patch per altri sistemi Apple: oltre a iOS/iPadOS 18.6.2, sono stati rilasciati iPadOS 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 e Ventura 13.7.8. L’azienda ha migliorato i controlli sui limiti di memoria (“bounds checking”) per impedire lo sfruttamento della vulnerabilità. Apple ha sottolineato di essere a conoscenza di attacchi “estremamente sofisticati” che avrebbero sfruttato la falla. Gli analisti suggeriscono che tali campagne potrebbero implicare spyware evolu...

Linux e la trappola delle patch dimenticate, il blind spot che mette a rischio le aziende

Quando si parla di sicurezza informatica in ambienti Linux, il dibattito si concentra spesso sulla solidità del kernel e sull’affidabilità delle distribuzioni. Eppure, una delle minacce più insidiose non nasce da un exploit sofisticato o da un malware zero-day, ma da un problema ben più banale: le patch che arrivano tardi, o che non vengono mai applicate. Questo crea un vero e proprio “blind spot” nella sicurezza aziendale, una zona d’ombra in cui vulnerabilità già note restano aperte e sfruttabili. La notizia riportata da LinuxInsider e TechNewsWorld mette in evidenza una realtà che molti professionisti conoscono bene: la gestione incoerente delle patch è un tallone d’Achille. In troppi casi le organizzazioni faticano a mantenere processi di aggiornamento rapidi e centralizzati. L’automazione manca o è frammentata, i team IT devono mediare tra stabilità e sicurezza, e così la finestra di esposizione si allarga. Non serve un attaccante geniale per sfruttare queste falle: basta monitora...