Green Password
Se il battito d’ali di una farfalla è in grado di provocare un uragano dall’altra parte del mondo – come si dice all’inizio del film del 2004 “The Butterfly effect” – figuriamoci se le fantasie erotiche notturne del figlio di un dipendente regionale di Frosinone non possano, allo stesso modo, causare una crisi informatica di natura nazionale, mettendo a rischio anche la privacy del Presidente della Repubblica italiana, Sergio Mattarella.
È quanto pare sia successo con l’attacco hacker che ha messo ko il sito della Regione Lazio, facendo acquisire a pirati sconosciuti i dati sensibili di milioni di cittadini, fra cui quelli della più alta carica dello Stato.
Le dinamiche dell’accaduto sono ancora al vaglio degli inquirenti. Fra le ipotesi accreditate c’è anche quella per cui gli hacker siano potuti penetrare grazie ad alcuni malware, scaricati attraverso un computer di proprietà della Regione Lazio, in uso da parte di un dipendente frusinate in smartworking. Quest’ultimo parrebbe poi essersi giustificato, affermando che l’uso improprio del PC di lavoro non fosse dovuto a lui, bensì al figlio, collegatosi nottetempo ad alcuni siti porno, usando proprio quel computer.
Sembra la sceneggiatura pecoreccia di un brutto cinepanettone e ci sarebbe davvero da ridere, se non fosse che questa ipotesi – se pure alla fine non dovesse risultare vera – è al momento perlomeno verosimile, tanto da essere una delle piste d’indagine, su cui si sta adesso lavorando per comprendere meglio i passaggi e le responsabilità di questa brutta faccenda.
D’altronde, che la sicurezza informatica, anche quella delle piattaforme istituzionali, sia un colabrodo, non dovrebbe stupirci. Appena qualche settimana fa, fu addirittura il ministro dell’Innovazione, Vittorio Colao, a dichiarare pubblicamente che il 95% delle strutture informatiche della pubblica amministrazione sono “prive dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”. Sì, avete letto bene: il 95%. Detto dalla più autorevole delle fonti.
Ora, poi, sappiamo meglio anche cosa vuol dire quel “prive dei requisiti minimi” detto pochi giorni fa da Colao. Significa che, allo stato attuale delle cose, basterebbe persino qualche minuto d’imperizia da parte dell’ultimo degli uscieri, magari in preda a una tempesta ormonale e voglioso di chattare con una cam girl, per mettere a rischio la sicurezza dell’intero paese.
C’è chi subito, sui social e sui media, dopo questo episodio dell’attacco al sito regionale, ha scelto di puntare il dito contro l’antica cialtroneria italica e contro quella nostra atavica pigrizia, che ci porta ad accogliere malvolentieri le novità tecnologiche e a risultare, perciò, poco avvezzi a comprenderne sia le opportunità, sia i pericoli.
È una tesi riportata in diversi articoli comparsi in questi giorni. Una tesi che forse può risultare sufficientemente convincente per qualche esterofilo autoflagellante, ma che, almeno in questo caso – purtroppo o per fortuna – non pare cogliere, se non in minima parte, la verità.
Quanto accaduto al sito della Regione Lazio, infatti, pare non essere un’esclusiva tutta italiana, figlia solo della nostra faciloneria. Ad esempio, anche in un paese solitamente considerato più serio, più tecnologicamente competente, più organizzato e più disciplinato del nostro, come l’Olanda, alcuni siti istituzionali sono stati recentemente presi d’assalto dagli hacker, al punto che i direttori delle maggiori società olandesi di sicurezza informatica hanno denunciato una situazione gravissima e potenzialmente molto pericolosa, parlando di “crisi nazionale” e chiedendo un intervento urgente del governo dell’Aja.
È, ovviamente, uno di quei casi in cui il mal comune non può darci nessun mezzo gaudio. Anzi, direi che ciò rende ancora più inquietante la situazione. Significa, infatti, che, sì, aumentare la formazione dei dipendenti pubblici nel campo della sicurezza informatica potrà essere d’aiuto, potrà diminuire le probabilità di rischio, ma che, a monte, non c’è solo un problema d’imperizia del singolo dipendente, o d’inadeguatezza del singolo sito, più o meno sicuro. È il sistema in sé, con la sua complessità e la sua smaterializzazione, che comporta notevoli rischi, con probabilità molto maggiori di essere aggredito, rispetto ai vecchi archivi fisici dei dati.
Fermo restando, inoltre, che – a Rotterdam come a Palermo – anche il rischio del figlio monello, come nel caso del dipendente di Frosinone, quello che si appropria del PC di papà e crea danni irreversibili, resta dietro l’angolo.
D’altronde, uno dei paradossi di questa epoca digitale, è quello di avere formato delle nuove generazioni sempre più competenti dal punto di vista della fruizione delle nuove tecnologie, ma assai poco consapevoli dei possibili attacchi a cui sono esposte. Il che dà loro una sensazione di maneggiare abilmente gli strumenti, che porta però a una sottovalutazione dei rischi, rendendo i ventenni sorprendentemente più esposti al problema di attacchi pirata, rispetto a un più impacciato – ma, spesso, proprio per questo più prudente – quarantenne.
Attacchi pirata il cui grado di pericolosità aumenta in modo esponenziale, via via che cresce la disponibilità di strumenti avanzati che ci permettono di effettuare operazioni complesse in tutti i settori della vita: dai pagamenti elettronici, alle cure mediche, allo studio, al lavoro.
Con l’introduzione del Green Pass, poi, ora anche le operazioni più banali, come la prenotazione di un tavolo al ristorante, di un posto sul treno o su un pullman, di un cinema, finiranno per passare necessariamente attraverso una centrale informatica, remota, ignota e, probabilmente, potenzialmente sottoposta a mille possibili attacchi.
Per non parlare dei fondi del Recovery Fund, appositamente stanziati, in misura copiosa, per aumentare in modo esponenziale la digitalizzazione di ogni settore della pubblica amministrazione e, di conseguenza, della vita. Con quali rischi per la sicurezza dei nostri dati che, inevitabilmente, finiranno sempre più spesso sul Cloud? E con quale quota di quei fondi impiegata espressamente nel contenimento di quei rischi?
L’impressione che scaturisce dal caso dell’attacco al sito della Regione Lazio è che, attraverso l’implementazione rapida dei nuovi sistemi digitali, stiamo costruendo una nuova casa, decisamente molto bella, piuttosto confortevole, comoda, tecnologicamente avanzata, ma praticamente priva di porte. Una casa in cui, perciò, è facilissimo introdursi per rubare i nostri beni, i nostri mobili, i nostri arredi, insomma la nostra vita.
Chi andrebbe a vivere in una casa così? Forse nessuno. Eppure è quanto stiamo facendo con stupefacente rapidità e inconsapevolezza, affidando dati sensibili e privatissimi a piattaforme informatiche, le cui difese sono spesso ignote anche a chi le gestisce. Il tutto in un imbarazzante silenzio sul problema, sia da parte del mondo politico che del dibattito pubblico.
Accennavamo prima alla questione del Green Pass. È stupefacente, ad esempio, in quel caso, vedere come tutta la discussione in merito si sia concentrata in un confronto fazioso fra pro vax e no vax. Qualche riflessione, appena un po’ più sofisticata – come avvenuto, ad esempio, dopo l’intervento dei filosofi Giorgio Agamben e Massimo Cacciari, pubblicato sul sito dell’IISF – si è arrischiata a discutere, o a smentire, gli ipotetici rischi democratici insiti nell’adozione del passaporto verde. Nessuno ha però affrontato l’argomento dal punto di vista della sicurezza informatica.
Eppure, comunque la si pensi sull’efficacia dei vaccini o sull’utilità sociale e sanitaria della nuova tessera, è innegabile che il suo utilizzo produrrà una grande messe di dati, relativi a informazioni più o meno intime che riguardano la vita di ciascuno di noi. Dati che verranno gestiti da chi? Che finiranno dove? E come? Con quale garanzia per la loro sicurezza?
Ecco, oltre alle accese e un po’ stucchevoli discussioni fra improvvisati virologi, o costutuzionalisti altrettanto improvvisati, non mi sarebbe dispiaciuto che qualcuno, tanto più se dotato di autorità pubblica, avesse affrontato anche queste questioni.
Dunque, riprendendo la metafora della casa aperta ai ladri, nel fare il progetto, ora che col Recovery Fund avremo anche i fondi dello zio di Bruxelles, va benissimo chiamare le più grandi archistar, i più bravi ingegneri, per costruire quella nuova casa, ma, nel definire il budget, non impieghiamo tutti i soldi solo per attrezzare l’appartamento con i più sofisticati rirovati di domotica all’ultimo grido. Lasciamo anche qualche euro per chiamare una ditta di porte blindate.
Sarà pure un dettaglio e un dettaglio forse troppo pratico e poco elegante, ma spesso sono proprio i dettagli pratici a fare la differenza fra una casa vivibile e una solo bella per l’occhio.
La tecnologia e l’innovazione non sono garanzia di maggiore vivibilità e comodità, se non accompagnate da un’attenzione reale alla concreta gestione delle cose.
Le immagini sono diffuse su Flickr.com con licenza Creative Commons.