Skip to content

Fatti e leggende su 5G, Huawei e spionaggi. Parla il prof. Giustozzi

La provocazione del presidente Agcom ("bisogna solo scegliere se essere spiati, tra virgolette, dai cinesi o dagli americani”) commentata e analizzata dal prof. Corrado Giustozzi, uno dei massimi esperti di cybersecurity, mentre non si attenua la polemica Usa contro Huawei

Le affermazioni fatte la settimana scorsa dal presidente dell’Autorità per le garanzie nelle comunicazioni (Agcom), Angelo Marcello Cardani, durante l’audizione in commissione Trasporti della Camera nell’ambito dell’indagine conoscitiva sulle nuove tecnologie delle telecomunicazioni, riaprono il dibattito sulla sicurezza delle comunicazioni in una rete complessa, ma destinata a mutare tutte le coordinate della nostra esistenza, come il 5G.

Quando Cardani dice che “bisogna solo scegliere se essere spiati, tra virgolette, dai cinesi o dagli americani”, non fa altro che infilare il dito in una piaga insanabile. E la piaga in questione è rappresentata dall’intrinseca vulnerabilità di qualsiasi tecnologia della comunicazione, che non da oggi è soggetta a prassi di intercettazione e, dunque, allo spionaggio.

Che cosa pensa Corrado Giustozzi che la cybersecurity la conosce come le proprie tasche?

Esperto di sicurezza cibernetica presso l’Agenzia per l’Italia Digitale (presidenza del Consiglio) per lo sviluppo del Computer Emergency Response Team della Pubblica Amministrazione (CERT-PA), membro dell’advisory group dell’Agenzia dell’Unione Europea per la Cybersecurity (ENISA), e titolare di docenze all’Università Campus Biomedico, alla Link Campus University, alla Sioi, alla Sapienza e alla Luiss, Giustozzi evoca, in questa conversazione con Start Magazine, le lontane radici di un problema che assillava già i Papi e i Dogi: proteggere le proprie comunicazioni militari e diplomatiche dagli sguardi indiscreti delle cancellerie rivali, ma anche violare quelle di queste ultime.

Ci sono, certamente, differenze non marginali tra lo spionaggio praticato nel Rinascimento e quello reso possibile dalle odierne tlc, che – come sottolinea Giustozzi – consentono un’inquietante pesca “a strascico” e “di massa”. È il problema che devono affrontare oggi i governi nel decidere a chi affidare la realizzazione del 5G, sullo sfondo dei moniti di Washington sui rischi posti da Huawei e, ora, anche delle parole di Cardani. Parole a cui Giustozzi aggiunge una serie di chiose, precisazioni e integrazioni tutte da leggere.

Prof. Giustozzi, che impressione le suscitano le dichiarazioni del presidente Agcom?

Sono sostanzialmente d’accordo con Cardani quando dice che dobbiamo solo decidere da chi farci intercettare. È una battuta che io faccio da anni, con la differenza che, tra i possibili intercettatori, io annovero oltre a Cina e Usa anche potenze come Russia o Israele. Stiamo d’altra parte parlando di un gioco antichissimo. Da sempre infatti i governi hanno spiato tutti gli altri governi, amici e nemici, in tempo di pace come in tempo di guerra.

Un gioco vecchio come l’umanità, insomma.

Certo. Ricordo che la crittografia moderna è nata durante il Rinascimento più o meno contemporaneamente nella Repubblica di Venezia e nello Stato Pontificio, con lo scopo di proteggere le comunicazioni diplomatiche. Era pratica comune di tutti i governi intercettare le comunicazioni diplomatiche degli ambasciatori esteri sul proprio territorio, nonché fare l’inverso, ossia proteggere le comunicazioni diplomatiche dei propri ambasciatori all’estero da intercettazioni dello Stato ospitante.

Il famoso Enigma esisteva già 4 secoli prima…

Enigma si basa su delle tecniche sviluppate in Italia dal famoso architetto Leon Battista Alberti, da Giovan Battista Della Porta e da altri che lavoravano per il Papa e per il Doge. Il loro scopo, ripeto, era proteggere le comunicazioni diplomatiche, ma anche quelle militari, dalle intercettazioni, pratica che era assolutamente comune anche se non ammessa da nessuno. Il Doge aveva addirittura a Palazzo, nella stanza attigua a quella del suo studio, una Camera Nera – che è stata un segreto per secoli, anche se ovviamente un segreto di Pulcinella – dove lavoravano 24 ore su 24 i crittografi di corte. Per esempio, arrivava un dispaccio dell’ambasciatore francese e la posta della Serenissima, prima di consegnarlo all’ambasciatore, lo portava rapidissimamente nella Camera Nera dove il documento veniva aperto, copiato, richiuso, consegnato all’ambasciatore e poi decifrato con calma. Le racconto tutto questo per farle capire, ricollegandosi al dibattito attuale, quale sia la conclusione da trarne.

E la conclusione è…?

La conclusione è che, se io fossi oggi un governo che ha un determinato market share in un settore strategico come le telecomunicazioni, sarei naturalmente portato ad approfittare di questo vantaggio per cercare di trarre informazioni dagli strumenti che produco. Intendiamoci: non sto dicendo che ho le prove che Huawei, piuttosto che Samsung, Motorola, o Siemens, abbiano attivamente inserito meccanismi di spionaggio nei loro dispositivi. Quello che dico è che, se io fossi un governo che ha un predominio su una determinata tecnologia, lo farei senz’altro.

Giacché non si contano ormai più i Paesi in cui il colosso di Shenzhen realizzerà la rete 5G, e nel novero va messo anche il nostro, siamo autorizzati a concluderne che stiamo aprendo la porta ad un’era di spionaggio di massa da parte della Cina?

Io direi semmai che questo problema è scoppiato troppo tardi. Le infrastrutture delle telco europee sono infatti da anni a stragrande predominanza di dispositivi Huawei. Non era così tempo addietro, quando i fornitori dei sistemi della core network erano sostanzialmente europei come Ericsson o Siemens. Adesso è cambiato tutto perché le strumentazioni Huawei costano almeno il 30% in meno rispetto alla concorrenza e le telco, in assenza di direttive da parte dei governi, hanno ovviamente comprato quel che di più conveniente c’era sul mercato. Ora che i buoi sono scappati tutti cercano di capire se e come si può chiudere la stalla, ma ovviamente è un po’ tardi. Se infatti qualcuno in questi anni avesse voluto infiltrare le nostre reti con apparati taroccati, avrebbe avuto tutto il tempo di farlo. Peraltro, vedo in atto dei fenomeni molto significativi che mi dicono che il problema di cui stiamo parlando non scomparirà.

A cosa si riferisce?

I principali produttori orientali di tecnologia, dunque Huawei ma anche Zte, stanno investendo tantissime energie nel cercare di dimostrare ai governi occidentali che loro non sono così cattivi come li si dipinge, o comunque che non lo sono più di altri. Sia Huawei che Zte hanno aperto in Europa una serie di laboratori – Zte ne ha aperto addirittura uno a Roma quest’estate – appositamente per consentire a chiunque voglia, in particolare ai governi, di fare dei test e verificare così il corretto funzionamento dei loro dispositivi. Entrambe le aziende si sono dette disponibili anche a mostrare il codice sorgente del loro firmware: questo è un atto di grande trasparenza che non si può sottovalutare.

Sintetizzando, il problema risiede nell’infrastruttura che noi decidiamo di erigere nei nostri Paesi e in particolare nei fornitori che la offrono e realizzano. E sia la prima che i secondi pongono dei rischi.

Certamente. La diffusione dei sistemi di telecomunicazione di massa rende possibile l’intercettazione di massa, a strascico. Quella, per intenderci, che gli americani perseguono da sempre. Ripeto quel che ho detto prima: è ovvio che a qualunque governo fa piacere raccogliere informazioni di intelligence senza mandare agenti sul territorio avversario, stando seduti comodamente sulla scrivania di casa propria. Questo è il sogno di tutti gli apparati di intelligence.

In tale situazione, quali difese ci restano?

Le dico quel che ha fatto l’Europa, ossia varare quest’estate, dopo una lunga elaborazione, un regolamento – il Cybersecurity Act – che stabilisce un meccanismo di certificazione per tutti gli apparati di consumo che saranno venduti sul mercato europeo. Questo è il modo più corretto di affrontare il problema: anziché ricorrere ad un embargo, si stabiliscono delle regole note a priori che tutti devono rispettare. In pratica, se un produttore vuole vendere le sue tecnologie sul mercato europeo, deve superare dei test. Se li supera, può vendere i suoi prodotti.

Lei però, nell’intervista che ci ha concesso qualche tempo fa, sottolineò che anche in presenza di tali scudi le nostre comunicazioni saranno sicure al massimo al 99,9%. 

Questo sempre e comunque, è un fatto della vita. Nessuna cosa è sicura al 100%. La banca più impenetrabile, Fort Knox, o Alcatraz, vantano sicuramente un bassissimo numero di incidenti, ma che non è nullo. Se qualcuno si mette infatti in testa di rubare il tesoro della Corona inglese, e ha sufficienti competenze e risorse per farlo, ci riesce. Non ci riesce il ragazzino di strada, ma un ladro patentato può farcela.

Torna su