I legislatori statali sono figure pubbliche molto visibili negli Stati Uniti, responsabili della definizione di bilanci statali da miliardi di dollari, della gestione di informazioni privilegiate e della comunicazione con gli elettori.

Secondo una nuova indagine di Proton, anche i loro indirizzi email e le loro password sono molto visibili.

Da oltre un anno indaghiamo sulle pratiche di cybersicurezza dei politici in tutto il mondo. Il nostro ultimo ciclo di ricerca ha rilevato che il 67% dei legislatori statali USA è stato colpito almeno una volta da violazioni dei dati collegate ai propri indirizzi email pubblicati.

Scopri se i funzionari del tuo governo hanno dati sul dark web

Abbiamo identificato oltre 16.000 record di violazioni associati a indirizzi email pubblicati in 49 stati. Più di 12.000 casi riguardavano informazioni di identificazione personale (PII), che possono essere usate per identificare, sorvegliare e lanciare truffe di phishing contro le persone. Ad aggravare questi rischi c’è il fatto che 560 password sono state trovate in testo in chiaro: con una password in testo in chiaro, gli hacker possono accedere agli account personali dei legislatori e potenzialmente risalire fino agli account governativi ufficiali.

Nel nostro report non viene condivisa alcuna informazione identificativa e abbiamo informato ogni politico coinvolto.

Le esposizioni sono dovute a errori umani, non ad attacchi esterni

Più che da attacchi mirati di nazioni in conflitto con gli Stati Uniti, queste esposizioni derivano dal fatto che i legislatori usano le loro email governative ufficiali per registrarsi a servizi come LinkedIn, Adobe e Dropbox. Questi servizi di terze parti sono stati colpiti da violazioni dei dati, causando esposizioni per i funzionari governativi.

Purtroppo, questa confusione di confini tra account personali e aziendali è comune nei luoghi di lavoro moderni. Può avere gravi ripercussioni per aziende di qualsiasi dimensione e in qualsiasi settore, ma i politici con accesso a servizi e dati governativi sensibili hanno un modello di minaccia molto più elevato rispetto al cittadino medio.

“I dati mostrano che qui si tratta meno di incidenti isolati e più del modo in cui il rischio digitale si accumula nel tempo”, ha dichiarato Eamonn Maguire, responsabile della sicurezza degli account presso Proton. “Anche il normale uso quotidiano dei servizi online può creare un’esposizione a lungo termine. Quando sono coinvolti indirizzi email ufficiali, quel rischio si estende oltre il singolo individuo fino alle istituzioni che rappresenta.”

La Cyber Strategy for America(nuova finestra) del presidente Trump, pubblicata a marzo 2026, osserva che il governo degli Stati Uniti “agirà rapidamente, deliberatamente e in modo proattivo per disattivare le minacce informatiche contro l’America”. Sembra che questo sforzo possa essere compromesso dagli stessi legislatori, che si rendono vulnerabili agli attacchi informatici.

Il comportamento online varia da stato a stato

Sembra che le pratiche di sicurezza online non siano coerenti tra i governi dei diversi stati. La nostra indagine ha rivelato un’ampia gamma di comportamenti in 49 stati:

  • Il 100% dei legislatori in Arizona e Oklahoma compariva almeno una volta nei dataset delle violazioni
  • Il Massachusetts ha registrato il numero totale più alto di violazioni (816), con un impatto sull’84% dei funzionari
  • Il New Hampshire ha registrato il numero più alto di password trapelate (81)
  • Il Maryland è stato l’unico stato senza violazioni registrate
  • Solo quattro stati hanno avuto un’esposizione inferiore al 50%: Florida, Kentucky, Maryland e New Hampshire

Il fatto che il 100% dei legislatori di due stati sia comparso almeno una volta in dataset relativi a violazioni è profondamente preoccupante. Se anche un solo legislatore di un intero stato è stato reso vulnerabile da una violazione dei dati, questo potrebbe avere gravi ripercussioni sui cittadini e sulle infrastrutture pubbliche. Il governo degli Stati Uniti è regolarmente preso di mira da attacchi lanciati dal Servizio di intelligence estera russo(nuova finestra) (SVR) e dal governo cinese(nuova finestra). Il Dipartimento di Stato ha lanciato un nuovo organismo (nuova finestra)per identificare e rispondere alle minacce provenienti da Iran, Cina, Russia, Corea del Nord e organizzazioni terroristiche straniere.

Se gli standard di cybersicurezza non vengono applicati adeguatamente in tutto il governo degli Stati Uniti, i cittadini statunitensi subiscono ingiustamente le conseguenze del comportamento dei loro legislatori. Nessuno dovrebbe essere più vulnerabile alle conseguenze di un attacco informatico che potrebbe negargli servizi governativi essenziali semplicemente in base al luogo in cui vive. I legislatori del Maryland, l’unico stato senza violazioni registrate, potrebbero essere nella posizione migliore per sostenere standard più elevati all’interno del governo.

Affrontare le minacce moderne con una sicurezza online moderna

Prestare maggiore attenzione online non riguarda solo le persone politicamente esposte. Chiunque può essere colpito da una violazione dei dati, e una violazione dei dati può avere conseguenze disastrose, indipendentemente da chi sei. La chiave è prevedere le violazioni e prepararsi di conseguenza, a partire dal tuo indirizzo email.

Un indirizzo email è essenzialmente un passaporto online. È collegato a tutto ciò che fai online, come i tuoi account online, la cronologia degli acquisti, il tuo indirizzo, il tuo documento d’identità rilasciato dallo Stato e altro ancora. Usando il tuo indirizzo email, è facile identificarti e prenderti di mira con truffe di phishing che possono causarti perdite finanziarie e furto d’identità. I tuoi dati possono anche essere venduti a broker di dati a scopo di lucro, consentendo a un numero ancora maggiore di criminali informatici di accedervi.

Invece di sparire dalla rete, che non è una soluzione praticabile nel mondo di oggi, puoi scegliere di proteggere le tue informazioni personali e limitare i luoghi in cui le condividi.

  • Gli alias email nascondono il tuo indirizzo email personale, permettendoti di creare account e perfino inviare o ricevere email senza rivelare alcuna informazione personale. Se un alias email compare in una violazione dei dati, non è collegato a te e quindi non può essere usato per ottenere altri dati su di te. Può semplicemente essere disattivato, senza causarti alcun danno. Gli alias email sono un’ottima soluzione per chi vuole proteggere il proprio indirizzo email, quindi i legislatori statali degli Stati Uniti farebbero bene a prenderli in considerazione.
  • I gestori di password sono una soluzione ideale per creare, memorizzare e usare il riempimento automatico delle password. Un gestore di password crittografato end-to-end garantisce che ai tuoi dati personali non possa accedere nessuno tranne te, nemmeno il fornitore del tuo gestore di password. Se necessario, puoi anche condividere le credenziali in modo sicuro, eliminando pratiche di condivisione poco sicure che aumentano il rischio.
  • Il Monitoraggio del Dark Web ti avvisa automaticamente se le tue informazioni personali compaiono sul dark web e può anche individuare punti deboli del tuo account, come l’autenticazione a due fattori (2FA) inattiva e password deboli o riutilizzate.

Tutti questi servizi e altri ancora sono disponibili con Proton Pass. Progettato dal team che ha creato un ecosistema incentrato sulla privacy che include Proton Mail e Proton VPN, Proton Pass è un gestore di password sicuro adatto a qualsiasi livello di esperienza tecnologica e a qualsiasi esigenza di sicurezza.

Che tu sia un cittadino o un legislatore, valuta la possibilità di registrarti per un account Proton Pass Plus.