IL 3 FEBBRAIO L’AGENZIA PER LA CYBERSICUREZZA NAZIONALE (ACN) HA LANCIATO L’ALLARME DI UN ATTACCO HACKER IN CORSO A LIVELLO INTERNAZIONALE. I SERVER ITALIANI COINVOLTI SONO RISULTATI SOLO 19, POCHI RISPETTO AI 528 LOCALIZZATI IN FRANCIA E I 235 NEGLI STATI UNITI. IL CASO, PERÒ HA PORTATO AL CENTRO DELL’ATTENZIONE MEDIATICA E DELLE ISTITUZIONI, IL FENOMENO DELLA CRIMINALITÀ DIGITALE, DELLA VULNERABILITÀ DELLA NOSTRA SOCIETÀ AD ESSA E DELLA NECESSITÀ DI UN LAVORO CONDIVISO PER PREVENIRE E CONTRASTARE I RISCHI. NE SPIEGA L’URGENZA ANDREA DI NICOLA, DIRETTORE DEL CENTRO DI SCIENZE DELLA SICUREZZA E DELLA CRIMINALITA’ DELL’UNIVERSITÀ DI TRENTO E DELL’UNIVERSITÀ DI VERONA, DA POCO NOMINATO MEMBRO DELL’ ADVISORY BOARD DELL’HEUNI, ISTITUTO REGIONALE EUROPEO PER LA PREVENZIONE E IL CONTROLLO DELLA CRIMINALITÀ DELLA RETE DEL PROGRAMMA DI GIUSTIZIA PENALE E PREVENZIONE DELLA CRIMINALITÀ DELLE NAZIONI UNITE.
a colloquio con Andrea Di Nicola *
La situazione è grave, ma non irrecuperabile: gli attacchi della criminalità digitale costituiranno sempre di più un rischio per la nostra società, bisogna non farsi trovare impreparati. L’aggressione informatica subita da alcune aziende negli scorsi giorni ha mostrato solo un aspetto di un processo proiettato verso una totale digitalizzazione nel bene e nel male.
Come le nostre vite ormai sono legate ai dispositivi, dai cellulari ai computer, con una condivisione continua di dati attraverso i social, così la criminalità, dai piccoli gruppi di criminali economici, alle organizzazioni più ramificate, alle mafie, entra e sfrutta questa dimensione per i propri interessi criminosi.
L’allarme diramato dall’Agenzia Nazionale per la Cybersicurezza, rilanciato dalla Presidenza del Consiglio, attesta la preoccupazione per la vulnerabilità estrema dei nostri sistemi informatici dovuta non solo ad eventuali lacune tecniche da colmare, ma ad una mancanza di educazione alla prevenzione.
Gli hacker hanno messo in atto un meccanismo tutto sommato semplice, infilandosi nelle falle di un software che è molto diffuso nelle aziende private come le banche e nelle istituzioni pubbliche come le aziende sanitarie, per cui è stata offerta una modalità di difesa non recepita da numerosi dei soggetti coinvolti: è bastato inviare delle mail che sono state aperte magari per distrazione da impiegati, non consapevoli dei possibili rischi, per realizzare il piano di blocco dei dati e attivare una conseguente richiesta di riscatto per lo sblocco.
Per fortuna si trattava probabilmente di piccoli gruppi di criminali economico – informatici che avevano interesse a ottenere guadagni rapidi, tramite il pagamento di un riscatto in bitcoin, ma il tutto ha reso ancora più evidenti sia i rischi, sia le opportunità per chi vuole e può, di insinuarsi anche nelle banche dati che contengono dati sensibili, importanti per la sicurezza dei singoli cittadini e dell’intero sistema paese. È in un periodo di potenziale guerra ibrida come quello che stiamo vivendo la questione è ancora più seria.
Se il digitale ormai è parte integrante della dimensione sociale della nostra vita di tutti, così sempre più lo è anche di quella dei criminali. D’altronde dove esistono nuove abitudini digitali, nuove modalità per incontrarsi, lavorare, comprare, pagare, risparmiare, proteggere i propri beni, trasferirli, nuove identità digitali, nuovi sistemi per acquisire informazioni, organizzarsi, divertirsi, viaggiare, è naturale che lì si annidano anche nuove occasioni e nuovi modi per agire la criminalità e che ci siano criminali che si adattano.
Nel caso delle organizzazioni criminali si va da gruppi di cyber criminali operanti solamente online alle reti più strutturate che non usano certo solo la dimensione digitale, ma che possono approfittarne, comprese quelle delle mafie nazionali e internazionali. Siamo tutti esposti ai rischi delle loro azioni se non ci attrezziamo per tutelarci: basta pubblicare i propri dati anagrafici sul profilo social per finire vittime di reati di criminalità digitale. Se prima per appropriarsi di un’identità da utilizzare per fini criminali, occorreva l’impegno fisico per andare a reperire le necessarie informazioni, spesso anche da supporti cartacei, ora è tutto a disposizione online e magari è anche molto più difficile accorgersi del furto.
Il fattore umano
Per questo è quanto mai urgente che si lavori per una sensibilizzazione nazionale che veda una partecipazione di diversi soggetti in un lavoro condiviso di prevenzione e di contrasto. Roberto Baldoni, direttore generale dell’Agenzia per la Cyber sicurezza nazionale, presentando la strategia nazionale di cybersicurezza, in cui sono delineati gli obiettivi di protezione, risposta e sviluppo per rendere l’Italia più cyber resiliente (82 misure da adottare soprattutto per le pubbliche amministrazioni, 40 da avviare in partnership pubblico-privato), ha ribadito l’importanza del “fattore umano” nella sfida alla criminalità digitale.
Significa che si devono superare le barriere culturali per cui si considera il problema ad appannaggio esclusivo di raffinate mente informatiche, in grado di studiare elaborati sistemi di difesa, per puntare, invece alla formazione di persone che sappiano gestire le tecnologie”, a partire dai dirigenti della Pubblica Amministrazione per allargarsi a tutti i cittadini. Così come è fondamentale l’aspetto organizzativo come strumento di prevenzione per aziende e istituzioni.
È palese: un’azienda pubblica o privata può pure dotarsi dei più capaci informatici, ma resta in pericolo se non sensibilizza i propri dipendenti sull’uso sicuro dei dispositivi digitali o se comunque la sua organizzazione non è pensata per ridurre i rischi di una nuova e sempre più pervasiva criminalità digitale. Così potrà avere a disposizione grandi esperti di cybersecurity, ma se non avrà funzionari esperti di diritto o di organizzazione aziendale o di sicurezza aziendale capaci di dialogare con questi specialisti di tecnologia, probabilmente la soluzione sarà lontana.
È una prospettiva che deve coinvolgere anche la ricerca scientifica e le indagini giudiziarie sul fenomeno: si devono valutare gli aspetti strutturali e sociali, andando oltre i confini dei propri singoli contesti di interesse e di azione. Bisogna capire chi siano e come ragionino i criminali che sfruttano gli ambienti digitali e le tecnologie, siano essi hacker o non, quali siano i reati commessi e come avvengano, quali i soggetti maggiormente a rischio e perché, quali le loro vulnerabilità che rappresentano occasioni per questi comportamenti.
Probabilmente la distanza tra le singole competenze e i diversi livelli del problema, sarà colmata in maniera naturale dalle nuove generazioni, ma intanto non si può aspettare altro tempo, rimanendo divisi, spesso inconsapevoli dei rischi a cui questa divisione e diffidenza possa portare. Penso ai pericoli a cui sono esposti migliaia di ragazze di finire vittime di sfruttamento sessuale online, mentre aumentano i casi di vera e propria violenza scaturiti dalla rete; al cyberbullismo e alle frodi digitali. Rischi in cui possono cadere e restano intrappolati migliaia di cittadini comuni e di aziende,magari sprovveduti, non informati, non consapevoli.
Risorse e progetti da attuare
Nei PNRR sono previsti finanziamenti per oltre 623 milioni di euro destinati a rafforzare la cyber resilienza nella Pubblica Amministrazione: l’1,2% degli investimenti nazionali lordi ogni anno da stanziare nelle leggi di Bilancio e da spendere solo per progetti utili al raggiungimento dell’autonomia tecnologica nei settori più innovativi e sensibili oltre che ad innalzare ulteriormente i livelli di cybersicurezza dei sistemi informativi nazionali.
Sono fondi che dovrebbero servire anche per realizzare progetti interdisciplinari sulla cybersecurity che consentano di prevenire e difendere, ma nei fatti è frequente che siano limitati ad interventi condotti da informatici, in cui il richiamo allo studio del fattore umano, degli aspetti criminologici, di quelli psicologici, dell’organizzazione aziendale, dell’etica della rete e dell’utilizzo consapevoli degli strumenti digitali venga banalizzato come “filosofia”. È un problema di strumenti che non devono sottovalutare né i tecnici, né gli studiosi della materia, entrambi dovrebbero essere disposti, invece, a dialogare profondamente per comprendersi vicendevolmente.
Come spesso è accaduto, la criminalità ha cominciato molto prima di chi la contrasta, ad intessere contatti e modalità di interazione per trasferire quanto prima si faceva solo nella realtà fisica sul digitale, acquisendo competenze o rifacendosi a chi le ha. Stiamo parlando di vere e proprie organizzazioni che non per forza dobbiamo valutare con i criteri con cui ci occupiamo delle mafie, ma che nei fatti operano in sinergia per raggiungere il proprio scopo.
Possono non conoscersi tra loro fisicamente, operare in luoghi differenti e non attuare schemi di regole e gerarchie, ma commettono insieme lo stesso reato, in maniera continuativa. I giuristi italiani hanno acquisito questa consapevolezza, riconoscendo l’associazione a delinquere prevista dall’articolo 416 per organizzazioni che commettevano reati di pedofilia o patrimoniali in rete. Hanno individuato la presenza di una struttura, benché all’interno di organizzazioni caratterizzate da rapporti fluidi e pur senza che abbiano mai avuto un incontro fisico.
I giuristi hanno quindi superato i pregiudizi di chi supponesse si potesse riconoscere una organizzazione criminale solo in presenza di sedi fisiche di appartenenza e di rapporti di gerarchia riconosciuti, caratteristiche proprie delle mafie. Resta assodato che si possa condannare per 416 bis quando a commettere reati digitali siano coinvolte anche mafiosi.
Approfondire per contrastare
Bisogna andare oltre le categorie e i modelli conosciuti, perché stanno cambiando o si sono già trasformati quelli utilizzati dalla criminalità per portare avanti i propri affari o entrare in nuovi. Nel 2009 con Giampaolo Musumeci abbiamo voluto iniziare un progetto, diventato nel 2014 il libro “Confessioni di un Trafficante di uomini (Casa editrice Chiarelettere)”, per capire come stesse cambiando la gestione criminale dei viaggi di migranti e richiedenti asilo.
Per questo progetto decidemmo di intercettare coloro che si occupano di questi traffici e di parlare con loro: alcuni di loro ci riferirono di aver reclutato velisti e aspiranti migranti attraverso la rete. Così negli anni successivi all’Università di Trento, con il mio gruppo di ricerca, continuammo ad esplorare questa strada, per capire come e quanto i trafficanti usano i social (il progetto di ricerca europeo è http://www.surfandsound.eu/ di eCrime). Abbiamo cercato e trovato nei social le tracce dei trafficanti che condividevano nei profili rotte e numeri di telefono per organizzare partenze e arrivi. Non mancavano le foto dei migranti appena arrivati: i selfie con il trafficante. Ci siamo chiesti come fosse possibile che tutto avvenisse alla luce del sole, che ci fossero migliaia di followers reali per profili di criminali coinvolti nel traffico.
Le aziende farmaceutiche si sono date da fare per impedire che si potessero trovare farmaci falsi nel commercio online sui social, per i trafficanti invece non si è mosso un fronte compatto ad impedirne la promozione in rete.
Lo stesso accade per il traffico degli animali o delle antichità che proseguono quasi indisturbati, proprio perché, anche in questo caso, manca una visione collettiva che veda agire insieme i diversi soggetti che possano prevenire e contrastare. La criminalità digitale opera ad ampio spettro, le mafie lo hanno capito e agiscono insieme ad i gruppi che sono operativi in rete, mentre gran parte delle aziende, dei professionisti, degli studiosi e degli informatici continuano a lavorare per compartimenti stagni, ognuno nel proprio ambito specifico.
Appello agli enti locali
Un discorso a parte meritano gli enti locali. La domanda da porsi è: quanto i dati che ogni amministrazione registra e custodisce nei propri sistemi sono protetti? A seguire, ci si deve chiedere se amministratori e dipendenti abbiano le conoscenze adatte per affrontare i rischi di un cyber attacco e quindi sappiano prevenirlo. Le risposte portano a definire l’esigenza di una battaglia comune che veda dalla stessa parte professionisti dell’informatica, esperti di criminalità e sicurezza, di scienze cognitive e comunicazione, rappresentanti delle istituzioni, dipendenti e anche cittadini, tutti comunicanti tra loro in maniera chiara.
Inviterei, anzi, amministratori e amministratrici presenti nella rete di Avviso Pubblico, se ancora non l’avessero fatto, a ragionare su percorsi di formazione e comunicazione in tal senso. Lavorando insieme anche nel contrasto a questa modalità di agire della criminalità si possono ottenere risultati e tutelare la sicurezza del nostro paese sempre più legata ai destini della rete.
* professore associato di criminologia presso la Facoltà di Giurisprudenza dell’Università di Trento e Direttore del Centro di scienze della sicurezza e della criminalità dell’Università di Trento e dell’università di Verona, membro dell’advisory board dell’Heuni, Istituto regionale europeo per la prevenzione e il controllo della criminalità della rete del programma di giustizia penale e prevenzione della criminalità delle nazioni unite.