Mentre emergono nuovi dettagli sul furto del secolo al Louvre, quello che lascia più sconcertati riguarda la fragilità strutturale della più famosa istituzione museale al mondo: la password per accedere al server della videosorveglianza del Louvre…era “Louvre”. A rivelarlo è stata Libération che ha esaminato i documenti e l’audit dell’Agenzia nazionale per la sicurezza dei sistemi informatici francesi (Anssi). Ne è emersa una situazione che mette in luce dieci anni di stratificazioni tecniche, sistemi operativi obsoleti, telecamere analogiche, software non più aggiornabili. Un segreto noto a tutti: il gioiello museale di Parigi era custodito con procedure digitali fragili, note da anni e non risolte.

La ministra della Cultura francese, Rachida Dati, ha parlato di “una sottovalutazione cronica e strutturale del rischio di furti”. Mentre il capo della polizia di Parigi, Patrice Faure, convocato al Senato, ha confermato che il problema è diffuso e riguarda ampie parti del sistema di sicurezza, che sono analogiche e non sarebbero state ammodernate prima del 2030. 
 

Pare inoltre che molte sale del Louvre fossero prive di un sistema di telecamere di sicurezza. È proprio il caso della Galleria Apollo, che ospitava i gioielli della Corona sottratti in sette minuti e scomparsi nel nulla. Mentre i responsabili sono stati individuati, e a sorpresa hanno anche rivelato di non aver avuto contezza che quello fosse il Louvre – “Pensavo che il Louvre fosse quello della Piramide”, pare abbia rivelato DouDou, uno dei ladri catturati -  dal punto di vista investigativo è proprio questo il dato che fa riflettere: i profili dei fermati, che non sono figure riconducibili ai vertici della criminalità organizzata, ma ladri di basso profilo, degli insospettabili. A oggi sono quattro le persone incarcerate; la refurtiva, gioielli per circa 90 milioni, non è stata ancora recuperata.

La vicenda del Louvre non è solo un caso giudiziario. È un simbolo e dimostra come una password sbagliata non sia la causa, ma il sintomo di un sistema culturale che percepisce la sicurezza come processo continuo e non come un tema fondante e tecnico. 

È lo stesso meccanismo che descrivono i professionisti della cyber security nel World Password Day: continuiamo a ripetere le stesse raccomandazioni, dicono, ma la maggioranza non le mette in pratica. Le credenziali rubate restano la prima causa di compromissione. E i criminali – questa volta lo abbiamo visto con crudezza – non hanno nemmeno bisogno di essere geniali. La password “Louvre” è diventata una metafora imbarazzante e precisa: un’epoca che prova a raccontarsi moderna, ma che ancora lascia aperta la porta più banale. Per passare davvero oltre – verso passkey, autenticazioni senza password, protezioni realmente integrate – non basteranno nuove tecnologie: servirà soprattutto cambiare mentalità.

E pensare che esiste, appunto, anche un World Password Day che di solito cade il primo maggio ma forse è opportuno ricordarlo anche oggi. Era il 2013 quando Yahoo ammise il furto record di un miliardo di account e da allora la giornata è una sorta di promemoria collettivo: le password non sono un dettaglio, sono la prima chiave di accesso alla nostra identità digitale. 

Continuiamo a pensare alla password come ad una seccatura per la memoria, un approccio che era giustificato negli anni Novanta ma oggi non regge più, con le tecniche d’attacco cybernetico che corrono a grande velocità. 
Password riutilizzate ovunque, credenziali elementari, pigrizia nell’attivare l’autenticazione a due fattori. Il Data Breach Investigations Report di Verizon conferma che l’81% delle violazioni nasce da password deboli o rubate. E mentre si discute di AI, di cloud, di cyberspionaggio, il problema è che moltissimi sistemi critici sono difesi con meno cura di alcune reti Wi-Fi casalinghe. La transizione dovrà essere forse prima culturale e poi tecnica: passare da password statiche e facilmente prevedibili a protocolli passwordless strutturali, senza la psicologia da bloc notes.