By Marco Hugo Barsotti MHB 
L’agenzia che gestisce le carte d’identità, i passaporti e le patenti di guida dei cittadini francesi è stata compromessa il 15 aprile 2026. La notizia è arrivata al pubblico cinque giorni dopo, quando il Ministero dell’Interno ha confermato l’incidente con un comunicato. Nel frattempo, su forum criminali specializzati circolava già la presunta base dati in vendita — con campioni, campi tecnici e una battuta beffarda sull’incapacità difensiva dello stato francese: “Il governo francese farebbe meglio ad attenersi alle arti culinarie. Le sue difese digitali sono sfogliabili quanto i suoi croissant.”
Sintesi
• France Titres (ex ANTS), il portale statale per carte d’identità, passaporti e patenti, ha subito un’intrusione il 15 aprile 2026, resa pubblica solo cinque giorni dopo.
• I dati esposti includono: nome, cognome, data e luogo di nascita, indirizzo email, indirizzo postale, numero di telefono, e un indicatore di certificazione governativa — un campo che segnala se l’identità è stata verificata dallo stato.
• La base dati messa in vendita su forum criminali conta fino a 19 milioni di record. L’Eliseo ha in seguito confermato 11,7 milioni di account compromessi.
• La falla sfruttata sarebbe di tipo IDOR (Insecure Direct Object Reference): modificando un identificatore nelle richieste a un’API, era possibile estrarre le schede utente sistematicamente, senza alcun controllo di autorizzazione.
• In parallelo, l’Unione Europea ha presentato la sua nuova app di age verification, descritta come “tecnicamente pronta” dalla presidente von der Leyen. Un ricercatore di sicurezza l’ha violata in meno di due minuti.
• Pavel Durov di Telegram ha commentato entrambi gli episodi, avvertendo: “Le future violazioni saranno ancora più catastrofiche se il governo francese otterrà ciò che vuole: accesso alle chat cifrate e alle identità digitali degli utenti dei social media.”
L’attacco a France Titres
Il portale ants.gouv.fr centralizza le richieste per i principali documenti d’identità francesi. È, in altre parole, la banca dati più sensibile che uno stato possa gestire: ogni francese che abbia mai richiesto una carta d’identità, un passaporto o una patente vi ha lasciato una traccia digitale.
L’intrusione è stata individuata internamente il 15 aprile. Il comunicato pubblico è arrivato il 20 aprile — cinque giorni dopo. In quel lasso di tempo, un collettivo che opera sotto gli pseudonimi “breach3d” e “ExtaseHunters” aveva già pubblicato su un forum criminale l’annuncio di vendita, con data 16 aprile. Gli identificatori interni sequenziali presenti nei campioni suggeriscono un’estrazione strutturata da una base dati, non un semplice scraping superficiale.
Il valore nascosto dei dati rubati
Il perimetro dei dati esposti è ampio: identificativo di accesso, nome e cognome, data di nascita, indirizzo email, indirizzo postale, luogo di nascita, numero di telefono.
Ma c’è un campo che merita attenzione particolare: l’indicatore di certificazione governativa. Un campo che segnala se l’identità dell’utente è stata verificata dallo stato — “certifié: vrai/faux”. Per un attaccante specializzato in frode documentale, un’identità certificata dalla pubblica amministrazione vale molto di più di una semplice credenziale di accesso. Sono presenti anche dati professionali: stato professionale, codice SIREN, abilitazioni. I conti business sono ugualmente compromessi.
La falla tecnica: un classico IDOR
Secondo il sito FrenchBreaches, la vulnerabilità sfruttata sarebbe di tipo IDOR — Insecure Direct Object Reference. Modificando semplicemente un identificatore nelle richieste a un’API, era possibile accedere alle schede utente in modo sistematico, senza alcuna verifica dei permessi di accesso.
Non si tratta di una tecnica avanzata. È una vulnerabilità documentata da decenni, presente in quasi tutti i manuali di sicurezza applicativa di base. Non ha richiesto strumenti sofisticati né un team di élite. Il portale dello stato francese che gestisce le identità di decine di milioni di cittadini era protetto da un controllo che chiunque conosca le basi dello sviluppo web avrebbe potuto aggirare.
L’UE e l’app di age verification bucata in due minuti
Il 16 aprile 2026 — un giorno dopo l’attacco a France Titres — la Commissione Europea ha presentato la sua nuova app di verifica dell’età, descritta da Ursula von der Leyen come “tecnicamente pronta” e allineata “ai più alti standard di privacy a livello mondiale”.
Il consulente di sicurezza Paul Moore l’ha analizzata e ne ha trovato le fondamenta fragili in meno di due minuti. I problemi sono strutturali, non superficiali.
Il PIN cifrato è memorizzato localmente, ma non è legato all’archivio delle credenziali d’identità. Cancellando specifici valori dal file di configurazione e riavviando l’app, è possibile impostare un nuovo PIN mantenendo le credenziali del profilo precedente. Il contatore del rate limiting — il meccanismo che blocca i tentativi ripetuti — è un semplice valore numerico nello stesso file modificabile. Azzerarlo annulla qualsiasi protezione brute force. L’autenticazione biometrica è controllata da un singolo flag booleano: cambiarlo da “vero” a “falso” la disabilita completamente.
I controlli di sicurezza non erano nel secure enclave del dispositivo, ma in un file di testo editabile dall’utente. Uno sviluppatore ha commentato online: “Perché non hanno usato il secure enclave?” — una domanda retorica, perché la risposta è ovvia a chiunque abbia progettato sistemi di autenticazione mobile.
Il disegno descritto da Durov
Pavel Durov, fondatore e CEO di Telegram, ha commentato entrambi gli episodi con una lucidità che vale la pena riportare. Sull’app dell’UE ha scritto sul suo canale: “La loro app di age verification era violabile per design — si fidava del dispositivo. Questo è un game over immediato dal punto di vista della sicurezza.”
E ha delineato quello che descrive come il percorso predefinito di questi progetti: “Presentare un’app ‘rispettosa della privacy’ ma violabile… subire una violazione… rimuovere la privacy per ‘correggere’ l’app.” Il risultato finale, secondo Durov: “uno strumento di sorveglianza venduto come rispettoso della privacy”.
Sul caso France Titres, il messaggio è ancora più diretto: “Le future violazioni saranno ancora più catastrofiche se il governo francese otterrà ciò che vuole: accesso alle chat cifrate e alle identità digitali degli utenti dei social media.”
Il paradosso fondamentale
Lo stato francese ha perso le identità di almeno 11,7 milioni di cittadini — quelle che doveva tutelare per legge e per mandato istituzionale. Negli stessi giorni, l’Unione Europea presentava uno strumento di identificazione digitale incapace di resistere a un attacco elementare della durata di meno di centoventi secondi.
Eppure la traiettoria politica non cambia: più age verification, più Digital ID, più accesso statale alle comunicazioni cifrate, più dati centralizzati nelle mani di istituzioni che hanno dimostrato, ripetutamente, di non essere in grado di proteggerli. Quattrocentocinque ricercatori di sicurezza hanno firmato una lettera aperta avvertendo che le leggi sull’age verification riducono la privacy e aumentano i rischi di sorveglianza. La risposta istituzionale, finora, è stata di andare avanti comunque.
Centralizzare è creare bersagli
Ogni base dati centralizzata è, per definizione, un bersaglio. Più è ricca di dati sensibili — identità certificate, abilitazioni professionali, indicatori biometrici — più è appetibile per gli attaccanti.
Il principio della minimizzazione dei dati esiste esattamente per questo motivo. Va nella direzione opposta a quella in cui si muovono oggi i legislatori europei, che chiedono alle piattaforme di raccogliere e verificare l’identità di centinaia di milioni di utenti. Nel frattempo, Discord ha dovuto rimandare il suo rollout globale di verifica dell’età dopo che esperti di sicurezza hanno avvertito della creazione di centrali di identità — “honey pot” — vulnerabili agli attacchi.
Cosa fare adesso
Il portale ants.gouv.fr non offre, ad oggi, autenticazione a due fattori per i conti utenti. Il Ministero invita a cambiare la password del proprio account France Titres e quelle dei provider FranceConnect collegati (Ameli, Impôts, La Poste). Per i prossimi mesi, qualsiasi comunicazione che si presenti come proveniente da France Titres via email o telefono andrà trattata con il massimo sospetto: il volume di dati in circolazione offre agli attaccanti materiale ideale per campagne di spear phishing ad alta precisione, costruite su identità verificate dallo stato.
La domanda che rimane in sospeso non è tecnica. È politica: perché i governi continuano a costruire basi dati centralizzate di identità digitali — e a chiedere accesso alle comunicazioni cifrate dei cittadini — quando hanno dimostrato di non essere custodi affidabili nemmeno delle informazioni che già detengono? France Titres non è un incidente isolato. È la norma. E la prossima base dati violata sarà probabilmente più grande, perché i governi continuano a raccogliere sempre più dati. (M.H.B. per NL)