La violazione dei dati del Centro dei Registri della Lituania è uno degli attacchi informatici a livello statale più gravi nella storia europea. Hacker — sospettati di agire per conto di uno Stato ostile — hanno sottratto i dati di circa 600.000 cittadini lituani, equivalenti a quasi un quinto dell'intera popolazione. La violazione è emersa tra il 25 e il 27 maggio 2026 e ha esposto nomi, codici di identificazione personale, date di nascita e dati sulla proprietà immobiliare; potrebbe inoltre aver compromesso gli indirizzi del personale dei servizi di intelligence e delle forze dell'ordine.
Violazione dei dati in Lituania: cosa è stato sottratto dal Centro dei Registri
Il Centro dei Registri (Registrų centras) è un'impresa statale che gestisce le principali banche dati civili e catastali della Lituania. Conserva informazioni giuridicamente sensibili su quasi tutti i cittadini adulti: numeri di codice fiscale personale (asmens kodas), storia della proprietà, indirizzi e dati biografici. Gli aggressori hanno estratto i record di circa 600.000 persone — il 20% circa della popolazione lituana di 2,9 milioni di abitanti — in quella che gli investigatori considerano un'operazione coordinata con il sostegno di uno Stato.
L'aspetto più allarmante è la potenziale esposizione dei dati personali di membri del Dipartimento della Sicurezza di Stato (VSD), della polizia e dell'intelligence militare. Le autorità hanno avvertito che il dataset sottratto include probabilmente indirizzi di casa e codici personali di persone in ruoli sensibili per la sicurezza, creando rischi che vanno ben oltre il normale furto di identità.
Come è stato possibile l'attacco: credenziali rubate del Dipartimento di Migrazione
L'analisi forense iniziale ha evidenziato un fallimento fondamentale della sicurezza: gli account dei dipendenti del Centro dei Registri non disponevano di autenticazione a due fattori. Gli investigatori ritengono che gli aggressori abbiano utilizzato credenziali compromesse — probabilmente ottenute tramite phishing o credential stuffing — per accedere direttamente ai database di produzione. L'assenza di 2FA significava che non esisteva alcuna barriera secondaria per bloccare l'intrusione una volta ottenuti i dati di accesso.
L'attacco evidenzia una vulnerabilità ricorrente nelle infrastrutture informatiche governative: la dipendenza dall'autenticazione con nome utente e password per sistemi che ospitano i dati civili più sensibili. I ricercatori di sicurezza hanno osservato che il 2FA obbligatorio su tutti gli account privilegiati avrebbe potuto prevenire o ritardare significativamente la violazione.
Il presidente della Lituania incolpa gli Stati ostili
Il presidente lituano Gitanas Nauseda ha pubblicamente attribuito l'attacco a uno «Stato ostile», un termine che nel contesto baltico è ampiamente inteso come riferimento alla Russia. La Lituania è uno dei critici più fermi del Cremlino nell'UE e nella NATO, e le sue istituzioni statali sono state oggetto di persistenti operazioni informatiche per anni. La dichiarazione del presidente è stata insolitamente diretta per un capo di Stato in carica, riflettendo la gravità della violazione e le sue potenziali implicazioni per la sicurezza nazionale.
Il direttore Adrijus Jusas si è dimesso sotto la pressione del Primo Ministro e del Ministro dell'Economia. Le autorità lituane hanno aperto un'indagine penale, con il coordinamento tra procuratori e Dipartimento della Sicurezza di Stato. Il governo ha annunciato un audit completo dell'implementazione del 2FA in tutte le istituzioni statali.
Perché questa violazione è diversa dalle tipiche fughe di dati
La maggior parte delle violazioni di dati su larga scala prende di mira entità commerciali a scopo di lucro. Il caso lituano è strutturalmente diverso. Il Centro dei Registri detiene dati autorevoli, legalmente verificati, che i cittadini non possono modificare. Un cittadino non può semplicemente «cambiare il proprio codice personale» come resetterebbe una password violata. I numeri di identificazione e le date di nascita sottratti rimangono validi e utilizzabili per richieste fraudolente di documenti, ingegneria sociale e molestie mirate a tempo indeterminato.
La possibile inclusione degli indirizzi del personale di sicurezza introduce una dimensione di rischio fisico. La probabilità che avversari statali usino tali dati per sorveglianza o ricatto è concreta. Casi come questo illustrano perché i ricercatori di sicurezza raccomandano sempre più l'uso di VPN per proteggere le informazioni personali online.
