Skip to content

Cybersecurity italia

Inchiesta dossieraggi, a che punto è la cybersecurity in Italia?

Conversazione di Start Magazine con il professor Marco Mayer, già direttore del master Intelligence & Security alla Link Campus e docente al Cybersecurity Master della Luiss.

 

Professor Mayer, come valuta la recente inchiesta giudiziaria al Milano sul dossieraggio informatico?

Ho sempre avuto un approccio garantista sin dai tempi della P2 e di Gladio e nel pieno rispetto della presunzione di innocenza delle persone indagate. Ciò premesso  ritengo utile segnalare una novità metodologica che sembra emergere nel procedimento giudiziario avviato dai magistrati della Dda, dal  Procuratore di Milano Marcello Viola e dalle stesse parole  pronunciate dal  Procuratore nazionale antimafia Giovanni Mellilo.

Qual è la novità?

Le ipotesi di reato contestate sono varie, ma desidero segnalare ai lettori in particolare la seguente formulazione: “Associazione a delinquere finalizzata per finalità di profitto derivante dalla commercializzazione di informazioni illecitamente acquisite oppure a scopo estorsivo e/o ricattatorio per condizionare e influenzare all’occorrenza soprattutto i settori della politica e della imprenditoria o per danneggiare competitors…”.

È questo che emergerebbe dalle indagini?

Una volta accertato che alcune informazioni sensibili provenienti da banche dati (Interforze di polizia, anagrafi gestite da Sogei, Banca d’Italia, Inps, Agenzia delle Entrate, ecc.) sono esfiltrate per ragioni non istituzionali e per fini di lucro, la priorità delle indagini sembra essere stata il monitoraggio delle società e delle operazioni di compravendita e dei flussi finanziari che ne sono derivati.

Questa è stata la priorità?

Mi pare di sì. Solo in una fase successiva saranno svolte analisi tecnologiche più consistenti al fine di esaminare in modo più  accurato la grande mole di materiale informatico e le comunicazioni tecnologiche oggetto delle indagini in corso.

Un metodo investigativo del tutto innovativo?

Questa definizione mi sembra francamente eccessiva, ma – se posso dirlo – i media non dovrebbe porre l’accento solo sulla “abilità degli hacker o sui miracoli delle tecnologie”, ma a mio avviso a far notizia è il fenomeno criminale nel suo insieme. Al di là del caso di Milano, nella società di oggi le indagini sul mercato nero delle informazioni sono caratterizzate da una dimensione ibrida: da un lato l’ipotetico uso illegale di strumenti tecnologici, dall’altro i presunti comportamenti “infedeli” di manager, di pubblici ufficiali, di  incaricati di pubblico servizio e di esercenti un servizio di pubblica necessità. Per i capi di una organizzazione criminale l’importante é lucrare il più possibile sulla vendita di informazioni e/o su ricatti estorsivi. È secondario il fatto che i dossier siano raccolti mediante un uso illecito delle credenziali di cui dispongono con troppa facilità funzionari pubblici e/o impiegati di banca oppure da un cavallo di Troia di natura tecnologica più o meno avanzata.

Ci sono aspetti di continuità con il passato?

Penso ad un magistrato del calibro di Liliana Ferraro (a cui mi legava una profonda amicizia) che a venti anni dalla strage di Capaci fu chiamata negli Stati Uniti dalla Fbi per ricordare Giovanni Falcone. Nel suo key note speach di commemorazione la dottoressa si soffermò molto sul metodo “Follow the money” che aveva ispirato Falcone e il pool investigativo di Palermo. In un articolo dopo la  scomparsa della dottoressa Ferraro (lo stesso giorno in cui i carri armati di Putin ha invaso l’Ucraina, era  il 24 febbraio 2022) ho scritto che ispirarsi al “metodo Falcone” poteva essere un buon punto di partenza per affrontare il tema della Cybersecurity prevenendo e contrastando il Cybercrime, i rischi delle criptovalute e i reati economici ad essi collegati.

A che punto siamo è la cybersecurity in Italia?

Mi occupo a livello accademico di  “Cybersecurity Policies” dall’anno accademico 2011-12, ma mi sento in obbligo di citare almeno due personalità che se ne sono occupate molto prima: il Professor Umberto Gori della Scuola di Scienze Politiche Cesare Alfieri di Firenze e il Generale Luigi Ramponi scomparso nel 2017. Dovrei aggiungere i docenti dei Dipartimenti di Ingegneria e dei Politecnici, ma non faccio nomi perché l’elenco sarebbe troppo lungo. Devo dire che in quegli anni a livello governativo le Autorità Delegate hanno colto con notevole prontezza la rilevanza strategica che la Cybersecurity assumeva per la tutela degli interessi nazionali e per la  sicurezza nazionale. Parlo dei sottosegretari alla presidenza del Consiglio, Gianni Letta, il prefetto Gianni De Gennaro e l’onorevole Marco Minniti.

Insomma, qual è stato allora il problema?

La consapevolezza della rilevanza politica della Cybersecurity è rimasta di nicchia e purtroppo non si è diffusa nella pubblica amministrazione. Per lungo tempo il resto delle amministrazioni pubbliche centrali, regionali e locali (compreso il Ministero della Giustizia e lo stesso CSM), ma anche i vertici di molte aziende hanno considerato la sicurezza informatica una materia di carattere tecnico,  magari importante, ma da delegare agli  ingegneri ed  agli esperti informatici che ovviamente sono indispensabili, ma da soli non bastano.  Ci si lamenta ancora, e non a torto, della vulnerabilità informatica del sistema-Italia. Proprio Il caso di Milano sembrerebbe  dimostrare che si tratta di una realtà multidimensionale e multidominio in cui in sede di indagine attività di tipo tradizionale si intrecciano con l’uso delle più moderne tecnologie. Secondo me combinare  fattore umano e tecnologia è la ricetta migliore per il futuro. Affidare esclusivamente la cybersecurity ad apparati tecnologici automatizzati e piattaforme AI, anche se prodotte delle migliori aziende del mondo é una  illusione, non basta a contrastare l’universo della “digital economy” illegale che in tutto il pianeta è in  espansione, a partire dalle grandi e piccole frodi collegate all’ uso criminale delle cryptovalute.

Come funziona la cybersecurity in Italia?

Sarebbe sbagliato nascondere le serie difficoltà che persistono, ma secondo me si tratta di problemi legati alla reale volontà e alla effettiva capacità di implementazione operativa. Le norme ci sono. Il quadro si è molto evoluto rispetto alla situazione che ho analizzato nel 2017-18 quando ho lavorato come consigliere per la Cybesecurity del Ministro dell’Interno. Per inciso mi chiedo se una simile posizione sia continuata negli staff dei Ministri in carica negli anni successivi. All’epoca del mio incarico le maggiori preoccupazioni erano due.

Quali?

La prima era di carattere geopolitico perché i criteri di selezione della Consip (che davano un eccessivo valore all’offerta più bassa) avevano dato la possibilità alle grandi imprese cinesi di aggiudicarsi forniture consistenti per gran parte delle amministrazioni centrali, Viminale compreso. Negli anni successivi il Copasir presieduto da Adolfo Urso e poi da Lorenzo Guerini ha fatto un eccellente lavoro sulla penetrazione cinese in materia digitale e non ho dubbi che il mio concittadino Giovanni  Donzelli – vicepresidente del Copasir – stimolerà un analogo impegno per comprendere e contrastare le nuove sfide tecnologiche lanciate in questi ultimi mesi dal Dragone.

La seconda preoccupazione?

Il secondo problema è stata la frammentazione delle competenze che in Italia deriva da fattori storico-politici ben precisi. Ci sono molte rigidità derivanti dal diritto e dalla giurisprudenza amministrativa e last, but not least, si deve aggiungere la minuta compartimentazione – certamente non voluta-, ma indotta dalla legge Bassanini. Sotto questo profilo ricordo che in un appunto al ministro dell’Interno ho suggerito di dar vita ad un gruppo di lavoro informale che consentisse uno scambio reciproco in materia di informatica e di telecomunicazioni tra il personale tecnico della Polizia Postale e il personale amministrativo che in quegli anni al Viminale si occupava di forniture pubbliche.

Ora a che punto siamo?

Ho salutato con favore in pieno Covid la nascita del Cert al Viminale. Non ho, invece, informazioni specifiche sulla questione dei presunti accessi irregolari alle banche dati e non so se (e se sì come) la società indagata abbia ottenuto la manutenzione dei sistemi informatici delle banche dati. Questi interrogativi dimostrano ancora una volta la necessità di valutare l’intera supply chain. È peraltro noto che il ministro Matteo Piantedosi ha  richiesto ai vertici dell’Amministrazione un punto di situazione in tempi molto brevi.

Cosa pensa della Anc, l’agenzia per la cybersicurezza nazionale?

La nascita – peraltro con larghissima maggioranza in Parlamento – della legge istitutiva della Agenzia per la Cybersicurezza nazionale – oggi guidata dal prefetto Bruno Frattasi e da Nunzia Ciardi (già direttore della Polizia Postale) è la testimonianza che finalmente la politica ha capito che la Cybersecurity è una dimensione fondamentale per garantire i valori della libertà e della sicurezza dei cittadini. Tuttavia non sempre alla volontà e alla consapevolezza politica corrisponde una legislazione coerente. Mi limito ad evidenziare un aspetto apparentemente minore che sin dalla gestazione non mi ha convinto e a  cui non sarebbe male ripensare.

Quale?

Mi riferisco all’articolo 4 della legge che prevede l’istituzione del Comitato Interministeriale per la sicurezza cibernetica. La nascita di questo ennesimo nuovo organismo a mio avviso ha indebolito oggettivamente il ruolo dell’agenzia. Per molti la percezione è stata che essa si muova in uno spazio settoriale e  parallelo che si aggiunge a quanto fanno gli altri apparati dello Stato in materia di sicurezza. In una battuta: come se nascesse un ente in più, ma non un hub di connettività e di collaborazione inter istituzionale. Sul piano tecnico abbiamo da poco celebrato la positiva esperienza di 20 anni del Casa – il tavolo anti terrorismo in cui convergono i vertici del comparto intelligence, delle forze di polizia e che è anche di supporto all’unità di crisi della Farnesina.

A livello politico non bastava o non basterebbe far funzionare bene il Cisr (Comitato Interministeriale per la Sicurezza della Repubblica), l’organismo politico interministeriale previsto dalla riforma dei servizi della legge 124/2007, per dare un indirizzo unitario del governo in una materia assolutamente trasversale qual è la Cybersecurity?

Torna su