Passaporti e selfie esposti nel portale visti UK: come è accaduto e chi rischia

Il portale ufficiale per le richieste di visto del Regno Unito ha esposto pubblicamente dati sensibilissimi: passaporti scansionati e selfie di migliaia di richiedenti. Secondo Tom's Hardware IT, la vulnerabilità ha permesso a chiunque di accedere a queste informazioni biometriche senza autenticazione, trasformando un sistema che dovrebbe essere blindato in una vetrina di dati personali. L'episodio accade in un momento delicato: il governo britannico sta introducendo nuove procedure di viaggio per cittadini europei, inclusi gli italiani, che richiedono proprio l'invio online di dati sensibili.

Chi è coinvolto

La falla riguarda il portale di richiesta visti gestito dal governo britannico. Non si tratta di una piattaforma privata, ma dell'infrastruttura ufficiale attraverso cui migliaia di persone ogni anno caricano documenti di identità e fotografie per ottenere autorizzazioni di viaggio o visti di immigrazione nel Regno Unito.

Cosa è successo

Secondo le segnalazioni raccolte da Every Eye, il portale stava pubblicando pubblicamente i passaporti e i selfie dei richiedenti che si erano registrati e avevano pagato per le loro domande. Non si trattava di un accesso casuale: i dati erano raggiungibili tramite URL prevedibili, il che significa che chiunque conoscesse il modello di indirizzo poteva scaricare sistematicamente le informazioni personali di migliaia di persone.

La vulnerabilità rappresenta un classico errore di sicurezza web: l'assenza di controlli di accesso adeguati. In altre parole, il sistema non verificava se chi stava accedendo a un file avesse il diritto di vederlo. È come se una banca pubblicasse i vostri estratti conto online senza richiedere login: tecnicamente il file esiste e è raggiungibile, ma non dovrebbe esserlo.

I dati esposti includono:

• Passaporti scansionati (fronte e retro)
• Selfie biometrici utilizzati per la verifica dell'identità
• Informazioni personali associate alle domande

Non è ancora chiaro quante persone siano state colpite, ma il numero è descritto come "migliaia".

Perché è importante

Questa falla tocca tre problemi critici contemporaneamente.

Primo: il rischio concreto per gli utenti. Un passaporto scansionato e un selfie biometrico sono tra i dati più preziosi per un criminale. Con questi, è possibile aprire conti bancari, richiedere crediti, effettuare frodi di identità sofisticate. A differenza di una password, non potete cambiarli: il vostro volto e il numero di passaporto rimangono gli stessi per anni.

Secondo: la fiducia nei sistemi governativi. I cittadini sono obbligati a fornire questi dati per accedere a servizi pubblici essenziali. Nel caso del Regno Unito, la situazione è ancora più delicata perché il governo sta introducendo nuove procedure di viaggio. Dal 2 aprile 2025, tutti i cittadini europei, inclusi gli italiani, devono richiedere un'Electronic Travel Authorisation (ETA) per visitare il Regno Unito per soggiorni brevi. Questo significa che milioni di persone dovranno caricare i loro dati online nei prossimi mesi. Una falla come questa, se non risolta rapidamente, potrebbe scoraggiare le persone dal completare le loro domande.

Terzo: il precedente internazionale. Negli ultimi anni, diverse agenzie governative hanno subito violazioni simili. Questa falla dimostra che anche i sistemi più critici possono soffrire di errori di base nella configurazione della sicurezza. Non è una questione di hacker sofisticati che penetrano firewall militari: è una questione di non aver implementato controlli di accesso elementari.

Cosa aspettarsi

Alcuni indicatori da monitorare:

• Comunicazione ufficiale del governo britannico: se e quando comunicherà pubblicamente la falla e quante persone sono state colpite
• Notifiche ai richiedenti: gli interessati dovrebbero ricevere avvisi ufficiali con consigli su come proteggersi (monitoraggio del credito, blocco del passaporto, etc.)
• Impatto sulle richieste ETA: se il sistema di richiesta ETA utilizza la stessa infrastruttura, ci potrebbe essere una perdita di fiducia tra gli utenti
• Indagini regolamentari: le autorità britanniche per la protezione dei dati (ICO) e potenzialmente quelle europee potrebbero avviare inchieste
• Patch e revisione della sicurezza: il governo dovrà non solo correggere la falla, ma dimostrare che ha rivisto l'intera architettura di sicurezza del portale

Per chi ha già presentato una domanda di visto o ETA al Regno Unito, è prudente monitorare i propri conti bancari e considerare servizi di protezione dell'identità nei prossimi mesi. Per chi sta pensando di richiedere l'ETA prima della scadenza della deroga (prevista per il 25 febbraio 2026), questa falla rappresenta un dilemma: il sistema è obbligatorio, ma la fiducia è stata compromessa.