Il 14 maggio scorso, un attacco informatico ha colpito il Programma Alimentare Mondiale (WFP), esponendo informazioni personali sensibili appartenenti a circa 600.000 famiglie palestinesi a Gaza. Si tratta, secondo The New Humanitarian, della più grande violazione conosciuta di dati di beneficiari umanitari nella storia. I dati esposti includono nomi, numeri di documento d'identità, numeri di telefono cellulare e informazioni sulla localizzazione di quartiere.

A renderlo pubblico è stata l'agenzia stessa, con un messaggio inviato via Telegram ai beneficiari il 31 maggio — diciassette giorni dopo l'attacco. Il WFP ha confermato la violazione spiegando che «attori non autorizzati» avevano avuto accesso alla sua applicazione di self-registration (SRA) per la Palestina — il sistema People Portal attraverso cui oltre 2 milioni di persone a Gaza si sono registrate per ricevere assistenza alimentare e in contanti. L'agenzia ha dichiarato di aver immediatamente disattivato la piattaforma e rafforzato i controlli di sicurezza. Nessuna organizzazione o gruppo ha finora rivendicato l'attacco.

Secondo una fonte anonima, il meccanismo di feedback dei beneficiari del WFP aveva ricevuto due giorni prima dell'attacco un avviso da un «esperto indipendente» sulle vulnerabilità del sistema SRA. Il team in Palestina aveva trasmesso l'allerta al quartier generale di Roma, dove il team di cyber-security aveva rassicurato lo staff che la vulnerabilità era stata risolta. La violazione è avvenuta lo stesso giorno, ma è stata rilevata solo uno o due giorni dopo.

Perché questi dati sono pericolosi se nelle mani sbagliate

Per comprendere la gravità della situazione bisogna ragionare su cosa significhi, concretamente, possedere un dataset di questo tipo in un contesto di conflitto attivo. Non si tratta di numeri di carte di credito o credenziali di accesso a un servizio online. Si tratta di un database di geolocalizzazione di una popolazione civile sotto assedio: nomi reali, documenti d'identità ufficiali, numeri di telefono attivi e informazioni sul quartiere di residenza, riferiti a una popolazione che — secondo le stime discusse nell'articolo — coincide quasi integralmente con i residenti ancora presenti a Gaza, attualmente meno di 2,1 milioni di persone.

Per un attore con capacità avanzate di intelligence un dataset di questo tipo non è semplicemente "dati personali esposti". È un layer di informazioni che, incrociato con altre fonti (intercettazioni di comunicazioni, immagini satellitari, segnali di geolocalizzazione dei dispositivi mobili), può contribuire a costruire un quadro estremamente dettagliato di dove si trovano specifiche persone o gruppi familiari in un determinato momento.

Non esiste, al momento, alcuna prova pubblica che collochi i servizi segreti o le forze armate di Israele come responsabili di questo specifico attacco al WFP, e nessuna rivendicazione è stata fatta da alcuna parte. Ma la domanda che gli operatori sul campo si pongono è se dati di questa natura, una volta in circolazione fuori dal controllo dell'agenzia che li ha raccolti, possano finire, direttamente o indirettamente, in mani capaci di utilizzarli per finalità di targeting militare o di sorveglianza di popolazione.

In un contesto in cui — come riportato dallo stesso articolo — Israele ha già imposto requisiti che obbligano le organizzazioni umanitarie a fornire informazioni personali sul proprio staff come condizione per operare in Cisgiordania e Gaza (requisito confermato dalla Corte Suprema israeliana il 20 maggio, con 30 giorni di tempo per le organizzazioni per conformarsi o cessare le operazioni), la preoccupazione che dati sensibili sui beneficiari possano seguire un percorso analogo — volontario o forzato — non è infondata. 

Il nodo della partership con Palantir

C'è un secondo livello di preoccupazione, distinto dalla violazione del 14 maggio ma rilevante per il quadro complessivo: la relazione del WFP con Palantir Technologies, l'azienda statunitense di analisi di big data e contractor militare. Palantir alimenta DOTS, la piattaforma di integrazione dati del WFP, attraverso la sua tecnologia Foundry, in una partnership avviata nel 2019.

Palantir è nominata specificamente nel rapporto delle Nazioni Unite "From economy of occupation to economy of genocide" tra le aziende che secondo l'ONU contribuiscono a sostenere l'occupazione israeliana della Palestina. Secondo Access Now, organizzazione che monitora i diritti digitali e che ha documentato la relazione WFP-Palantir, le organizzazioni umanitarie rischiano di perdere le proprie protezioni previste dal diritto internazionale quando stringono partnership con aziende tecnologiche legate al settore militare.

Il CEO di Palantir, Alex Karp, non ha fatto nulla per dissipare queste preoccupazioni: in una recente intervista alla CNBC ha dichiarato apertamente che la sua azienda «alimenta ogni singola potenza occidentale che è in guerra», attribuendo alla tecnologia Palantir il merito di aiutare gli americani a combattere «con grande precisione e a basso costo, in termini di vite e perdite». Parole che — come osservato dagli analisti — suonano in modo quantomeno stridente per un partner di un'agenzia che si definisce «emphatically neutral» (rigorosamente neutrale).

Il WFP ha tenuto a precisare pubblicamente che non vi è alcuna connessione tra il sistema violato (il People Portal) e Palantir — un audit del 2022 sulle operazioni del WFP in Palestina aveva già segnalato che i rischi legati alla raccolta di dati personali non erano stati valutati né mitigati per «limitata capacità tecnica interna». Ma la coesistenza, all'interno dello stesso ecosistema dati dell'agenzia, di un sistema vulnerabile come il People Portal e di una partnership strategica con un'azienda di intelligence militare integrata con le forze armate israeliane, alimenta inevitabilmente interrogativi sulla sicurezza complessiva dell'infrastruttura digitale umanitaria a Gaza.

Un rischio che non si può più sottovalutare

Questo episodio non è isolato. Aaron Martin, docente di media studies e data science all'Università della Virginia con un background in cyber-security nel settore finanziario, ha dichiarato di non essere sorpreso da un'altra violazione di dati che colpisce un'organizzazione umanitaria: il settore, nonostante lavori con popolazioni estremamente vulnerabili, ha pratiche di protezione dati che restano sistematicamente indietro rispetto al settore privato.

I precedenti lo confermano. Nel 2022, un attacco al Comitato Internazionale della Croce Rossa aveva esposto i dati di 515.000 persone. Nel 2023, una violazione ha colpito un database del Norwegian Refugee Council contenente informazioni su migliaia di partecipanti a progetti. Nel 2020, l'ONU è stata criticata per aver omesso di divulgare un attacco informatico subito.

Per quanto riguarda specificamente il WFP, un audit interno del 2021 aveva rilevato che il sistema globale di gestione delle identità dei beneficiari, SCOPE, conteneva 63,8 milioni di "identità" registrate, di cui circa 20 milioni gestite attivamente, ed era utilizzato nell'80% dei Paesi in cui il WFP è presente. Un audit precedente, del 2017, aveva già segnalato la necessità di miglioramenti significativi nella gestione dei dati dei beneficiari. Il WFP aveva pianificato il pieno rilascio di SCOPE in Palestina nel 2026 — l'agenzia ha precisato che la violazione di maggio non ha riguardato SCOPE né altri sistemi di gestione dati.