INNOVAZIONE DIGITALE E CYBERSECURITY: L’ITALIA È IN RITARDO

di Cristiana Era

 

Se fino a qualche anno fa le tematiche di convegni, studi e workshop ruotavano intorno al termine cybersecurity, che in Italia era comunque un argomento per pochi, oggi si parla sempre di più di innovazione digitale o trasformazione digitale. Molte strutture ed organizzazioni stanno procedendo verso la digitalizzazione per una migliore efficienza nei servizi all’utenza o capacità produttiva per soddisfare le esigenze della clientela. Si cerca dunque di muoversi verso un ammodernamento tecnologico per avvicinarsi agli standard di altri Paesi europei, considerando che da questo punto di vista l’Italia è ancora in forte ritardo, attestandosi solo al 24° posto secondo il DESI 2019 (Digital Economy and Society Index) dell’Unione Europea. 

 

 

Il rapporto evidenzia come il nostro Paese sia indietro soprattutto dal punto di vista della dimensione “capitale umano”, intendendosi il basso livello di cultura/alfabetizzazione digitale presente come capacità di utilizzazione degli strumenti digitali e anche come numero di esperti e laureati informatici in senso stretto. Ad oggi il 19% degli italiani non ha mai usato internet (il doppio della media europea) e la maggior parte di coloro che vi accedono lo utilizzano per streaming, gaming e social network.

 

Il fattore culturale va ad incidere anche sul processo di digitalizzazione che di per sé allarga a dismisura la potenziale superficie di attacco, rendendo la cybersecurity uno dei fattori più limitanti della digitalizzazione stessa. Quest’ultima, infatti comporta la necessità di mettere in sicurezza sistemi, software, dati e tutti i device e apparecchiature collegate, assicurandone la protezione nel tempo, quindi con investimenti continui in sicurezza a fronte di minacce che si evolvono continuamente. Purtroppo, nella maggior parte dei casi la sicurezza cibernetica è interpretata come una compliance piuttosto che come fattore di sviluppo che conferisce credibilità e affidabilità ad un ente, una organizzazione o una azienda, garantendo riservatezza, integrità e disponibilità secondo i tre pilastri della CIA Triad:

 

 

 

Qualcosa si sta muovendo, c’è indubbiamente maggiore attenzione, soprattutto in determinati settori, come quello finanziario, in primo luogo perché hanno maggiori disponibilità di risorse, in secondo luogo perché – come i anche i dati del rapporto CLUSIT 2019 confermano – è tra i settori più colpiti dal cybercrime, con attacchi quasi giornalieri, chiaramente per la quantità di denaro che si muove al suo interno, e infine anche perché la trasformazione digitale è agevolata dalle politiche dell’Unione Europea e dall’introduzione dei sistemi di FinTech e mobile banking. Se il settore bancario può diventare un fattore trainante per l’innovazione, tuttavia, rimangono settori cruciali della vita del Paese, in particolare quello sanitario, in cui permangono enormi lacune quanto alla difesa dei dati personali e alla mentalità degli operatori sanitari che non hanno la percezione che la cybersecurity è qualcosa che riguarda la vita quotidiana.

 

La sicurezza è un sistema complesso non un elemento tecnologico e, come ci ha ricordato il Generale Nistri, Comandante Generale dell’Arma dei Carabinieri, essa non ha prezzo ma ha certamente un costo (Intervento all’inaugurazione dell’anno accademico 2017-2018, Scuola Ufficiali dei Carabinieri). Un costo non sempre sostenibile dalle PMI che spesso non hanno mezzi e competenze per adeguare le strutture e il personale al cambiamento digitale: per questo occorre un maggiore impegno da parte delle istituzioni e dell’Unione Europea, sia in termini di educazione digitale del cittadino, sia in termini di maggiori investimenti nell’ICT. E c’è bisogno di fare passi in avanti sull’approccio alla tecnologia, con meno timori per i rischi e maggiore awareness; solo in questo modo il Paese potrà colmare i gap esistenti sui “basics”, ossia sulle regole primarie, le “good practices” che da sole limitano già i rischi. Ad oggi molti degli attacchi subiti avvengono attraverso vulnerabilità che risalgono agli anni ’80.

 

Occorre infine rafforzare i sistemi di prevenzione. In questo ci possono aiutare i sistemi di machine-learning, l’Intelligenza Artificiale, per individuare le anomalie prima che si trasformino in minacce. È un ambito della cybersecurity già in via di sviluppo e sperimentazione con la presenza di aziende italiane specializzate che lavorano a stretto contatto con gli hub universitari. Ma anche in questo occorrono maggiori investimenti e una rete di partner che possano aiutare le aziende e gli enti a garantire la sicurezza, oltre ad una strategia industriale di cybersecurity che purtroppo ad oggi manca totalmente nel nostro Paese.

VOTING VILLAGE: ALLARME CAMPAGNA PRESIDENZIALE 2020

di Cristiana Era

 

Con la campagna presidenziale ormai alle porte, gli Stati Uniti si interrogano sulla sicurezza di tutto il sistema elettorale democratico, a tre anni dallo scoppio del Russiagate che ha rivelato come le vulnerabilità del dominio digitale possano compromettere le fondamenta stesse della democrazia. La democrazia di fonda sul concetto di elezioni libere e trasparenti, e la sua salvaguardia non è questione puramente tecnica di cybersecurity ma di cyberpolitics poiché diventa un rischio politico per ogni sistema democratico (e non solo) a livello globale. Da questo punto di vista, quello a cui potremmo assistere in un anno di campagna elettorale americana è dunque una finestra sul futuro di TUTTE le campagne elettorali, anche nei Paesi tecnologicamente meno avanzati.

 

Si tratta perciò di un problema di sicurezza nazionale, e negli Stati Uniti molti esperti e accademici stanno lanciando il grido di allarme. Un rapporto pubblicato dal Cyber Policy Initiative dell’Harris School of Public Policy, Università di Chicago, descrive una situazione davvero poco rassicurante che dovrebbe far riflettere non solo l’Amministrazione statunitense. Il rapporto descrive i risultati di un esperimento, il “voting village”, che si ripete da oltre tre anni, ossia dall’indomani delle passate elezioni e durante il Russiagate. Il test, portato avanti da un gruppo di hacker del CPI ha evidenziato il significativo livello di vulnerabilità che attualmente caratterizza l’infrastruttura del processo elettorale basata su device e macchinari facilmente penetrabili tramite i quali si può ottenere accesso ai database degli elettori, ai sistemi di voto elettronico, ai codici delle schede elettorali, per non parlare della facilità di intrusione e manipolazione dei siti web per l’election night. Le tipologie di device testate sono state molteplici, variando dai sistemi basati su touch screen ai meccanismi di scannerizzazione ottica, ma il risultato è stato allarmante: tutti sono stati manipolati in modo da alterare il conteggio dei voti, o la struttura della scheda che appare all’elettore, o direttamente il software che controlla l’apparecchiatura.

 

Inoltre è stata rilevata un’altra criticità, quella relativa al fattore umano: anche fra gli esperti di cybersecurity, poche persone hanno familiarità con i sistemi digitali di voto e quindi con le relative problematiche e con i rischi connessi. In altre parole, si rileva ancora una volta una carenza dal punto di vista della formazione, una vulnerabilità che in ambito spazio cibernetico è ricorrente in moltissimi settori, segno che la velocità media di adeguamento istituzionale al cambiamento digitale non tiene il passo con quella dello sviluppo tecnologico.

 

Vulnerabilità tecnologica e umana sono due aspetti principali dei rischi per elezioni democratiche trasparenti nell’era post-moderna, ma non sono le uniche. Entrano in gioco altri elementi, più subdoli, meno percepiti come minaccia: l’uso e l’abuso delle piattaforme social, veicoli primari di interferenza sulle scelte di voto. Come il caso Cambridge Analytica/Russiagate ha ampiamente dimostrato, manipolare milioni di preferenze sul web non è uno scenario virtuale ma reale. E infatti gli esperti di cybersecurity stanno già rilevando attività di intrusione di hacker stranieri in database statunitensi, segno che i black hat si stanno riorganizzando per il 2020. Questa volta con delle differenze. Innanzitutto si parla non solo di hacker russi (che potrebbero non favorire il Presidente Trump, secondo James A. Lewis), ma anche iraniani e nord coreani. Gli iraniani, in particolare, starebbero spostando sul piano cibernetico un braccio di ferro con gli Stati Uniti a fronte dell’inasprirsi della conflittualità tra Washington e Teheran sullo scenario internazionale. Dunque, in queste elezioni più attori statuali stranieri cercheranno di influenzare i risultati elettorali. Inoltre, non più una campagna di disinformazione, ma più campagne coordinate tra loro, originate dall’interno e dall’esterno a fronte di una strategia di attacco che diventa complessa, fluida e dirompente.

 

Ad oggi si sono registrati vari tentativi di intrusione in database che in qualche modo risultano collegati all’apparato elettorale, come ad esempio quelli di organizzazioni, esterne ma di supporto, o contractor per la fornitura di specifici servizi. E anche se intrusioni e attacchi veri e propri sembrano rimanere al momento in stand by, probabilmente in attesa dell’individuazione precisa dei candidati e dello staff a loro collegato, è facile prevedere l’intensificarsi di attività cibernetiche via via che la campagna presidenziale entrerà nel vivo. Il tutto senza che da parte dell’amministrazione americana sia stata intrapresa alcuna politica di controllo e di contenimento nonostante gli allarmi lanciati da più parti dagli esperti di settore.

LA NUOVA DIRETTIVA EUROPEA SUI SERVIZI DI PAGAMENTO: COSTI E BENEFICI

di Serena Lisi

 

Da gennaio 2018 è entrata in vigore la nuova Direttiva Europea sui Servizi di Pagamento, in gergo denominata PSD (Payment Services Directive, EBA 2018/389). In base alle sue disposizioni tutti gli Stati Membri devono emanare una normativa per l’adeguamento dei servizi di pagamento on-line – o meglio – dell’autenticazione necessaria per l’autorizzazione dei medesimi. In particolare, tutti gli istituti bancari degli Stati europei si sono dovuti adeguare, a partire dal 14 settembre 2019, alle norme tecniche per la cosiddetta Strong Customer Authentication (SCA), così come elaborate dalla Banca Centrale Europea che, in sostanza, ha introdotto l’uso della “firma digitale forte” per la già citata autorizzazione di pagamenti e forniture di servizi attraverso siti web ed app, così come previsto dalla direttiva PSD2 (2015/2366) sul commercio digitale. La firma digitale forte è un particolare tipo di firma elettronica qualificata, basata su metodi di crittografia asimmetrica, ossia sull’accesso al servizio prescelto attraverso l’uso di due chiavi, una pubblica (nota a ricevente ed emittente dell’autorizzazione) ed una privata (nota solo all’emittente dell’autorizzazione, cioè all’utente del servizio); in particolare, la chiave privata della firma forte qui descritta sarà una cosiddetta OTP (One Time Password), ossia una parola-chiave “usa e getta” generata da un apposito dispositivo o software.

 

La particolarità della direttiva in questione, tuttavia, non risiede nel fatto che la chiave usata per autorizzare i già citati pagamenti e servizi sia one-time e generata casualmente, ma piuttosto nel fatto che essa debba essere generata non già da un dispositivo esterno e dedicato (specifico per lo scopo), ad esempio una chiavetta-token, bensì da una app da installare direttamente su uno dei dispositivi, come ad esempio il proprio smartphone o tablet, utilizzato per svolgere le operazioni di pagamento; la one-time-password potrà essere anche ricevuta (quasi sempre a pagamento) tramite sms sul proprio dispositivo mobile. Nell’intenzione delle Autorità regolatrici europee e dei legislatori nazionali, ivi compresi quelli italiani, tale accorgimento servirebbe a proteggere tutti i dispositivi e tutti i tipi di operazioni di pagamento svolte dall’utente comune che, sempre più spesso, si affida al cosiddetto IoT (Internet of Things), ossia ai propri dispositivi mobili, per svolgere transazioni di ogni genere. Secondo le autorità competenti, infatti, la maggioranza degli utenti possiede altri dispositivi, come laptop e computer fissi, direttamente connessi al proprio smartphone o tablet su cui andrà installata la app generatrice di OTP, rendendo il sistema più sicuro.

 

La realtà dei fatti, tuttavia, è spesso differente da quanto descritto nei report degli esperti: spesso, i dispositivi posseduti da un singolo utente non sono così strettamente interoperabili, ossia compatibili tra loro, come ritenuto dai legislatori: si pensi ad esempio a chi usa uno smartphone con sistema android ed un laptop con sistema operativo linux/MAC OS/Ubuntu, ovvero diverso da Microsoft e dal MAC proprietario: senza addentrarsi in dettagli tecnici, è possibile affermare non tutte le funzioni andranno a sistema come previsto e non tutte le app “gireranno” in maniera convenzionale, creando rallentamenti operativo-adattivi e disagi per l’utente.

 

Per l’utente comune, inoltre, ci si interroga sull’effettiva sicurezza del nuovo metodo di cifratura e firma delle autorizzazioni alle transazioni elettroniche descritte sopra. Come è noto, in ambiente cyber, vengono sempre più spesso distinte la sicurezza assoluta di un metodo di cifratura, praticamente irraggiungibile, poiché, prima o poi, tutti i codici possono essere violati (è solo questione di tempo e potenza di calcolo a disposizione dell’attaccante), dalla cosiddetta sicurezza computazionale, ossia quella sicurezza che si raggiunge utilizzando metodi di cifratura e chiavi difficili da violare in tempi brevi, come sono ad esempio quelli che servono per svolgere un’operazione di pagamento. Dal punto di vista computazionale, dunque, i sistemi OTP di nuova generazione sono più sicuri di quelli vecchi nella misura in cui le app che li generano dispongono di più moderni e complessi algoritmi atti a generare i codici per la cifratura. Tuttavia, anche queste nuove app nascondono insidie non indifferenti.

 

La prima insidia può sembrare ovvia, ma va ad intaccare il grado di sicurezza computazionale del metodo stesso: sia i siti delle banche adibiti al download delle app, sia le app stesse non risultano user friendly, ossia di facile impiego, per tutte quelle persone che non sono native digitali, vale a dire per tutti la popolazione di età media od avanzata, in primis pensionandi e pensionati, che spesso sono anche coloro che hanno maggiori riserve finanziarie (anche grazie al vecchio sistema di pensione retributiva, oggi non più in vigore). Costoro, talora già disorientati dal ripetersi di cambiamenti normativi sull’uso del contante, non sempre accolgono di buon grado l’utilizzo di nuovi metodi di pagamento. Una parte di questi soggetti, infatti, non è così disposta a cambiare i vecchi dispositivi, ancora funzionanti seppur obsoleti, né a scaricare continui aggiornamenti di sistema e software, indispensabili per il corretto e veloce funzionamento delle app generatrici di OTP. Altri utenti, in particolare quei professionisti titolari di ditta individuale, in possesso di più conti così come previsto dalla normativa vigente, ma non in possesso di cellulare di servizio (non sempre scaricabile come bene strumentale), si trovano ad avere più conti in più banche e a dover scaricare – almeno in Italia – una moltitudine di app, giacché ogni banca dispone della propria: questa categoria di utenti dichiara spesso di trovar più difficoltoso gestire tante app nel proprio dispositivo mobile, piuttosto che i diversi token fisici, che potevano essere tenuti al sicuro con maggior facilità.

 

Un secondo problema, infatti, riguarda proprio la sicurezza del dispositivo su cui i generatori di OTP sono installati: è esposto sia a furti fisici, che a clonazioni e a furto di dati, dato che, ad oggi, pochi utenti installano un adeguato antivirus su device quali smartphone (di solito addirittura privi di protezione) e tablet (di solito coperti, secondo il rapporto Verizon 2019, da antivirus più blandi di quelli usati per altri elaboratori).

 

Infine, un problema molto insidioso, già segnalato in altri casi è il seguente: può accadere che utenti inesperti non siano in grado di riconoscere le pagine e gli store ufficiali per il download delle app, da copie fake fatte arrivare sulla schermata del telefonino attraverso un’azione fraudolenta di re-indirizzamento dell’url o di vero e proprio cybersquatting (furto di uno spazio web o porzione di spazio altrui) ad opera di veri e propri cyber criminali o di cyber bulli.

 

Un caso simile, seppur non in ambiente finanziario, è stato visto nel 2017, quando alcuni enti pubblici furono obbligati a collegare la propria posta elettronica ed altre funzionalità ad operazioni di autorizzazione a mezzo di firma complessa, da realizzare, appunto, tramite l’uso di una app generatrice di OTP, disponibile sui più noti store. A fianco della app ufficiale, era stata creata una fake-app, in grado di rubare dati e credenziali da smartphone e tablet dei malcapitati utenti, che si vedevano coinvolti in acquisti all’estero mai fatti o in viaggi mai prenotati e compiuti da sconosciuti: la app falsa si differenziava solo per il colore dell’icona su cui cliccare per aviare il download (verde acqua anziché azzurra); diversi furono i casi di furto di dati e frode, che si susseguirono per circa due settimane, finché le competenti autorità non riuscirono a porre fine al fastidioso inconveniente.

 

Da quest’ultimo punto di vista, dunque, la sicurezza computazionale del nuovo sistema OTP non deve essere letta in termini “matematici” ed assoluti, ma deve essere contemperata anche con il grado medio di esperienza e le capacità effettive degli utenti che se ne servono. Un monito, quest’ultimo, da non trascurare anche in questo caso: anche se non sarebbe possibile il ripetersi identico di una situazione quale quella del 2017, il rischio di violazione o intrusione a danno siti ufficiali esiste sempre e non va sottovalutato.

CYBERSECURITY IN THE EMIRATES. BALANCING THE RIGHT FOR PRIVACY AND THE NEED TO PROTECT

by Cristiano Galli

 

From a sociological perspective, the United Arab Emirates (UAE) is an isolated case in the global scenario. Founded in 1971 from the enlightened vision of a small group of Arab rulers, the Country has seen an astonishing economic, cultural and technological development in a very short time. In just less than fifty years, little and isolated Bedouin communities turned into one of the world most technologically advanced and multicultural socioeconomic entities. Currently the UAE is permeated by the outcomes of the digital transformation. Its population’s personal information is collected, monitored and supervised by powerful Artificial Intelligence-based platforms and by easy access digital interfaces, in order to maximize effectiveness of the public administration and Government procedures. All possible personal needs are accessible through phone applications that deliver official documents in eye blink time span.

 

Such an invasive approach to personal information clashes with the western cultural approach to privacy, but indeed it is counterbalanced by UAE’s need to protect its homeland and to provide its citizen and expats with a safe and secure environment. UAE’s social structure is peculiar. Only 11% of the Emirates’ population is actually composed of Emirate citizens, the remaining 89% is an heterogeneous composition of expats from all over the world.

The highly digitalized public administration requires a strict and modern approach to cybersecurity and the UAE is a leading nation in this field. The national Telecommunication Regulatory Agency (TRA) – based on global exponential increase in cyber-related incidents and associated cost (estimated in 608 billion USD in the 2014-2017 timeframe) – has developed an integrated and synergic cybersecurity strategy. The strategy is deemed to secure the UAE’s interests beyond economic losses. Minimizing direct financial, client, reputational and service impact is the core purpose of this strategy.

 

Strategy development has leveraged on 3 key sources of insight:  Global Industry Reports (more than 50 global indices and publications have been analyzed), experts (a panel of experts with deep knowledge on cybersecurity topics has been engaged globally) and the reference from 10 benchmark countries (benchmark has been created analyzing the cyber ecosystem of the 10 world leading countries in cybersecurity).

 

The UAE’s Vision for Cybersecurity has been introduced in 2019 “to create safe and resilient cyber infrastructure in the UAE that enables citizens to fulfill their aspirations and empowers businesses to thrive”.

The Strategy is based on 60 initiatives across 5 pillars, as depicted in the figure below:

 

 

The Cybersecurity laws and regulation pillar will entail the creation of a legal framework to address all types of cybercrimes and of a regulatory framework to secure existing and emerging technologies. A highlight should be posted on the priority of supporting protection for SMEs (Small and Medium Enterprises). Three key initiatives will ensure the implementation of essential cybersecurity standards, mandate cybersecurity implementation certificate for government suppliers and building a one-stop portal to support SMEs in standard implementation.

 

The Vibrant cybersecurity ecosystem pillar will be tackled through initiatives aimed at tapping into the internal and global cybersecurity market, driving demand, supporting business, facilitating access to finance and business development. Specific effort will be devoted to culture, mindset and skills development through educational plans and citizen awareness through information campaigns. Twelve reward programs will be delivering money and benefits to entities and individuals in order to promote cyber-healthy behaviors. Capability-building will be achieved with an integrated effort among local and international universities in order to encourage students to pursue cybersecurity oriented careers.

 

The National Cyber Incident Response Plan will be implemented in order to promote a strong and swift coordinated response to cyber incidents. The Plan is based on a single point contact streamline incident detector and reporting. Inter-agency intelligence sharing will promote effective and active monitoring of cyber threats. An advisory service will be in place to support cyber protection of third party agencies and entities.

 

The Critical Infrastructure Protection pillar will be achieved safeguarding assets in 9 critical sectors: energy, ICT, government, electricity and water, finance and insurance, energy services, health services, transportation, food and agriculture. The Protection Plan will hinge on world-class risk management standards and strong processes for reporting, compliance and response.

 

The Partnership pillar will be pursued by mobilizing the whole ecosystem through local and global engagement of public and private sectors, academia and international consortia.

 

The Cybersecurity Strategy and related plans and activities will be supervised by 9 governance vehicles. Nine sector committees will supervise and monitor the CIIP Program while other two National Government organizational structures will support the implementation of the National Incidence Response Plan. The National Incident Response Committee (NRC) will supervise the Incident Response Program, while the Cyber Intelligence Unit (CIU) will enable intelligence sharing among different agencies.

 

TRA will monitor strategy implementation using two strategic and seventeen operational KPIs (Key Performance Indicators) and will strictly monitor progress through periodic National Cybersecurity Strategy progress updates.

The UAE’s commitment to ensure a safe and secure cyber environment to its citizens and residents is aggressively tackling the globalized threat to the cyber domain. No state entity could consider maintaining credibility and competitiveness in a globalized world without a serious, viable and realistic cybersecurity strategy.

 

The UAE’s own vision inside the 21st Century global market and economy calls for this kind of engagement. That’s what the 21st century citizens should expect from their own countries if they want to live in a safe and secure environment and thrive with their businesses. The balance between the “need for privacy” and the “need for protection” is shifting towards privacy reduction. Only sharing personal information could enable governments to provide an effective protection against cyber threats of any kind.

BASSI RISCHI ED ALTI GUADAGNI: IL CASO NORDCOREANO E I LIMITI DELLA CYBER DETERRENZA

di Serena Lisi

 

Da circa un anno, presso il NATO Cooperative Cyber Defence Centre of Excellence di Tallinn, si studiano i diversi risvolti di un tema complesso e talora trascurato, quello della cyberdeterrence. Nello scorso decennio, questo argomento era stato liquidato da molti esperti della materia, europei e non, come un problema quasi marginale, poiché ritenuto legato esclusivamente al paragone tra la mentalità dell’era bipolare e della corsa all’armamento nucleare, in cui la dottrina della massive retaliation e della second strike capability caratterizzava la strategia globale dei più importanti attori dello scenario internazionale.

 

Oggi, invece, docenti come Jeff Knopf del Middlebury Institute of International Studies teorizzano l’avvento di una quarta era della deterrenza, diversa dalle tre correnti teorico-strategiche già identificate da Robert Jervis, teoria sviluppatasi in un contesto caratterizzato da una conflittualità asimmetrica, in cui la dinamica first-second strike non è più contemplata. Come esaustivamente espresso da Aaron F. Brantly del Virginia Polytechnic and State University negli Atti della Decima Conferenza sui Conflitti Cyber, organizzata nel 2018 dal  NATO Cooperative Cyber Defence Centre of Excellence di Tallinn, nelle prime tre correnti teorico-strategiche, la leva che muoveva la deterrenza era il fatto che, ad ogni azione di un attore sarebbe corrisposta una “rappresaglia massiccia”, ossia molto più che proporzionale negli effetti e nei mezzi impiegati ad opera della controparte. Due erano i corollari di tale teoria: le grandi Potenze, come gli Stati Uniti e l’Unione Sovietica, avevano creato un equilibrio simmetrico, basato, in un primo tempo, sulla corsa agli armamenti ed alle conquiste non solo in campo  tecnologico, ma anche territoriale e politico – quest’ultimo in materia di alleanze e zone di influenza – e, in un secondo periodo sulla necessaria cooperazione in materia di disarmo e riconversione; inoltre, il rapporto costi-benefici di ciascuna azione era caratterizzato da altissimi rischi e scarsi guadagni. Nella quarta era della deterrenza, nata con l’avvento della cosiddetta “quinta dimensione”, ossia del dominio cyber, invece, lo scenario è asimmetrico, popolato da attori di diversa natura, statali e non, finanche singoli individui agenti per propria iniziativa e non già su mandato di entità di qualsivoglia natura ed il rapporto costi-benefici varia da caso a caso.

 

Per questo motivo, non è possibile rifarsi ad una teoria della deterrenza classica, soprattutto in casi come quella della Corea del Nord, che rivolge attacchi cyber di media e bassa portata tecnologica e strategica ai danni di altri Paesi, primo fra tutti la Corea del Sud, con il solo scopo di sottrarre denaro, in valuta reale e virtuale, da poter utilizzare per finanziare programmi militari e in materia di energia nucleare. Questo tipo di attacchi hanno un costo relativamente basso ed una probabilità di riuscita, e quindi di guadagno, molto alta, poiché sono basati su due principali tecniche: la prima è utilizzata per attaccare istituti di credito ed operatori monetari “classici”, che lavorano cioè con valute reali, e consiste nel violare i codici SWIFT (Society for Worldwide Interbank Financial Telecommunication) delle vittime, per poter compiere le operazioni illecite; la seconda serve invece per agire con le criptovalute e consiste nel “rapire” le identità di ignari miners, sfruttando la potenza di calcolo di questi operatori – o meglio, dei loro computer – per guadagnare crediti. Secondo gli ultimi report di FireEye, azienda statunitense specializzata in cybersecurity, svariati attacchi sono compiuti dal gruppo APT38, notoriamente legato all’intelligence nordcoreana seppur operante in maniera autonoma. Secondo gli ultimi report di FireEye, l’APT38 opererebbe soprattutto nel settore delle valute reali, seguendo uno schema simile, eppur innovativo rispetto a quello utilizzato da gruppi come TEMP.Hermit, avvezzo a compiere operazioni di cyber espionage nei comparti difesa ed energia. La caratteristica principale di APT38 risiede nell’aggressività e immediatezza con cui distrugge le prove e le tracce delle avvenute violazioni, nonché dei propri collegamenti con entità statali e para-statali nordcoreane. In breve, il gruppo non opererebbe secondo la tattica del cosiddetto mordi e fuggi del ladruncolo di strada o del criminale comune, bensì seguendo una strategia dettagliata e pazientemente calibrata tipica degli attori statuali operanti al tempo della Guerra Fredda senza, però, dover affrontare gli stessi rischi di insuccesso di questi ultimi. Anche se le azioni di APT38 sono eseguite in un click, come tutte quelle proprie della dimensione cyber, esse confondono le controparti, perché decontestualizzano le strategie classiche e, proprio per questo, le rendono innovative, tanto da trovare difficile anche la semplice pianificazione di una possibile risposta, cosa fondamentale per mettere in atto una strategia della deterrenza. APT38 non è certamente l’unico gruppo legato alle cyber incursioni nordcoreane, ma è certamente il più emblematico, poiché esplica bene una parte, fino ad oggi poco compresa, delle teorie di Mary Kaldor sui nuovi conflitti a bassa intensità, che rischiano di trasformarsi in uno stillicidio giocato su suolo economico ancor più distruttivo, talora anche più sanguinoso, delle guerre combattute con mezzi e iter normativi convenzionali. Il paradosso dei nostri tempi, infatti, risiede proprio nel fatto che, come prescritto dal Consiglio di Sicurezza delle Nazioni Unite, la risposta ad un attacco dovrebbe rispondere al principio di minima proporzionalità, ancor più difficile da applicare in contesti e conflitti caratterizzati da alti gradi di asimmetria e foriero di ulteriori limiti per l’elaborazione di eventuali strategie basate sulle teorie della deterrenza

CONNECTED CARS E RISCHI CYBER

di Cristiana Era

 

Automobili tecnologiche, con computer di bordo e sempre più equipaggiate con meccanismi che mirano a facilitare la guida, renderla piacevole e maggiormente sicura: non è il futuro ma è il presente per molti veicoli e, a breve, per tutti. Nessuna meraviglia, dopotutto siamo nell’era della quarta rivoluzione industriale o, come è spesso definita, dell’Industria 4.0, dove tutto ruota intorno al principio della connettività con una richiesta crescente da parte dei consumatori. Molti dei dispositivi che fino a qualche anno fa erano prerogativa solo di vetture di lusso sono oggi sempre più diffusi anche su quelle di media gamma: la spinta all’industria automobilistica è arrivata proprio dall’evoluzione tecnologica in tutti i settori che muove inesorabilmente verso l’Internet delle cose. Promozione e commercializzazione delle case automobilistiche puntano sempre di più sull’inclusione di dispositivi quali GPS, indicatori di corsia, infotainment, chiamate di emergenza automatiche in caso di incidente, sistemi di prevenzione delle collisioni, solo per menzionarne alcuni. L’infotainment, in particolare, è ormai un biglietto da visita per il mondo automotive: praticamente ogni casa automobilistica ha dotato le proprie vetture, indipendentemente dalla categoria, del sistema di connessione che permette al consumatore di accedere in sicurezza, durante la guida, a tutte quelle funzioni (radio, riproduzione DVD, navigazione satellitare, chiamate, messaggi e altre funzioni da smartphone collegato) che rendono appetibili le vetture anche alle generazioni più giovani, quelle “technologically addicted”. E dunque è solo questione di scelta: dal Sync3 della Ford, al Peugeot Connect, all’MBUX di Mercedes e U-Connect di Jeep Crysler.

 

È scontato dire che la tecnologia ha rivoluzionato e continuerà a rivoluzionare il settore automobilistico e dei trasporti in genere, visto che ha già completamente cambiato la nostra intera società. Grazie ad essa potremo disporre di una guida assistita che permette di utilizzare più funzioni senza che questo vada a discapito dell’attenzione del guidatore. E forse vale la pena ricordare che sono già in atto le sperimentazioni per la guida senza pilota, embrione di quello che in un futuro non troppo lontano comporterà l’inserimento dell’Intelligenza Artificiale (AI) nei trasporti come elemento in dotazione ai veicoli, esattamente come oggi lo è, ad esempio, il navigatore. Ci stiamo muovendo verso una guida sempre più sicura, dunque? Si, ma non senza una contropartita in termini di nuovi rischi.

 

Partendo dal dato di fatto che qualunque oggetto connesso può essere un target per gli hacker, automaticamente anche le moderne vetture connesse lo diventano. Non si tratta di ipotesi, ma di rischi concreti, come dimostrano episodi di intrusione nei sistemi di rete delle vetture già verificatisi. Tra i casi più citati vi è quello del test effettuato da due white hat hacker, Charlie Miller and Chris Valasek, nel 2013. Sotto analisi vi era il sistema U-Connect di Jeep Crysler: attraverso un notebook connesso ad una Jeep Cherokee i due riuscirono a penetrare nel sistema di controllo di freni e volante, rivelando le vulnerabilità del dispositivo. In quell’occasione il notebook era fisicamente situato all’interno della vettura, ma una ripetizione dell’esperimento nel 2015 svelò come quelle stesse vulnerabilità potessero essere sfruttate anche da remoto, penetrando attraverso internet nel sistema di aria condizionata, di controllo del volume della radio e, cosa più grave, riuscirono a bloccare freni ed acceleratore, facendo perdere il controllo della vettura al guidatore. Anche le auto elettriche non sono esenti da possibili rischi. Nel 2016 una vulnerabilità nell’app NissanConnect EV che permette di controllare il sistema di riscaldamento e la ricarica della Leaf tramite cellulare costrinse la Nissan a sospenderne le funzionalità fino alla risoluzione del problema.

 

La questione è complessa e va vista da varie angolazioni, come dimostrano gli studi che recentemente sono stati pubblicati sull’argomento. Quello dei ricercatori del Dipartimento di Fisica del Georgia Institute of Technology (https://arxiv.org/abs/1903.00059) presentato all’inizio del 2019 ha puntato l’indice contro il sistema centralizzato delle connected car, evidenziando come un hacker che riesce a craccare anche una sola delle componenti può automaticamente accedere a tutte le altre. Interessanti anche le percentuali: è stato calcolato che un ipotetico attacco al 20% delle auto connesse in circolazione a New York sarebbe in grado di paralizzare la città, con serie conseguenze per l’operatività e l’accesso ai servizi di emergenza (ospedali, stazioni dei pompieri, servizi di ordine pubblico, ecc.).

 

I target di accesso ad un veicolo connesso sono diversi: si passa dalle app che controllano varie funzioni, ai sistemi operativi, firmware, connessioni telefoniche (blutooth) e infrastrutture di back-end. Un hacker che riesce a penetrare in una componente ha poi la possibilità, come abbiamo visto nel caso di U-Connect nel 2015, di controllare un veicolo da remoto e mettere in pericolo l’incolumità fisica degli occupanti. Ciò che rende difficile – e costoso – garantire alti livelli di sicurezza è la complessa catena logistica dell’industria automobilistica, per cui componenti diverse sono fornite da aziende diverse con protocolli di sicurezza diversi o, in alcuni casi, inesistenti. È quanto emerge da un altro studio, quello del Ponemon Institute, effettuato su prassi e procedure del settore automobilistico (Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices, scaricabile dal sito https://www.synopsys.com/software-integrity/resources/analyst-reports/automotive-cyber-security.html). In base ad un’indagine effettuata su centinaia di professionisti della sicurezza e ingegneri del settore automotive, il rapporto sottolinea come il livello di sicurezza dei software della supply chain sia ancora troppo basso, anche se vi è consapevolezza del problema. Ma è l’insieme dei risultati che risulta allarmante: solo il 10% delle aziende ha un security team; meno della metà impone a fornitori e terzi i requisiti di sicurezza; alcune aziende non hanno risorse umane e finanziarie sufficienti per garantire la sicurezza dei propri prodotti prima della commercializzazione; meno della metà fornisce tempestivi aggiornamenti sui software, mentre un quarto di esse non ne fornisce alcuno.

 

Se tuttavia l’industria è consapevole dei rischi cibernetici, molti dei quali – è bene sottolinearlo – non sono ancora stati identificati, questo il primo passo verso una maggiore sicurezza delle nostre automobili e, come sottolinea Chris Clark della Synopsys, verso un cambiamento di percezione e di sviluppo. Cambiamento della percezione che il security testing comporti solo una spesa significativa senza un ritorno, invece che un investimento che garantisce la sicurezza degli automobilisti ma anche che previene perdite consistenti sia di immagine che finanziarie in caso di attacchi cyber. E cambiamento nello sviluppo del ciclo di produzione che prenda in considerazione il security testing all’inizio del ciclo e non come un elemento post-produzione.

 

Quanto tempo occorrerà all’industria per adeguare gli standard di sicurezza? È difficile dare una risposta, ma se, come la legge di Moore insegna, la tecnologia viaggia a ritmi esponenziali mentre le politiche di adeguamento sono in genere lente e lineari, forse una maggiore sicurezza cibernetica delle nostre vetture richiederà ancora del tempo.

WEARABLE SENSORS FOR STUDENTS’ TRAINING AND EDUCATION: BETWEEN EFFECTIVENESS AND PRIVACY

di Cristiano Galli

This article is a deep dive from the July issue article “Trending topics for an augmented military human resource and beyond”. One of the highlighted trends was the opportunity to develop wearable sensors in order to provide students with real time personal and team performances feedback so to facilitate self-awareness and self-reflection processes.

 

Back in the 90s, most of the debriefing time of flying officers with the instructor was spent in realigning personal perspectives about what really happened during training missions. Contradicting or arguing with an instructor was simply not allowed. If the Instructor said that something happened, that had to be taken for granted. The point is that human brain does not function in this way. Memories are a personal and unique construction of reality. There is never a fully shared objective reality that can be replicated into different people’s brain. This is extremely important for educational and training programs because perceived reality is the first brick that needs to be in place for further sustainable behavioral changes. We need to be convinced that something is real to be able to do something to change it.

 

Few years afterwards, debriefing systems allowed to show real time video, audio and system status recording. There was no need to convince the students that something had happened. It was there for them to see and listen. More time could be effectively devoted to understand why things went the way, focusing our reflection on a shared perception of reality.

 

Many other fields have benefited by the use of technology to optimize the learning process. Some can easily recall the odd feeling of listening to their own voice recorded during a speech or a video taken during public speaking performances, having a hard time in recognizing him/herself in that recording.

But “that” recording is actually the way people perceive the speaker. This process is called feedback and is essential in order to reduce what Johari Windows calls “the self blind spot” or “what others know about myself and I don’t”. Present wearable technology is allowing educational and training systems to implement more invasive collection of personal and social data in order to provide the students with objective tools to reduce their personal blind spot, increase personal awareness and develop new sustainable behaviors.

 

What can we measure and what do we need to measure?

 

First of all, based on the studies conducted by Sandy Pentland and his staff at MIT, we can measure communication architecture inside teams and make an educated guess on team performances. Pentland discovered that “how” a team communicate is far more important than “what” is communicated. By the use of what they call “sociometric badges”, Pentland Lab at MIT was able to record parameters related to number and quality of personal interactions and come up with 3 parameters: Energy, Engagement and Exploration. The distribution of these measurable indicators has been scientifically linked to team performances. Then we can collect individual parameters related to personal emotional and cognitive load. Emotional arousal, related to emotional eliciting stimuli is a fundamental indicator of personal emotional load and is not an easily accessible information for self-consciousness. Most people are constantly unaware of their own physiological and psychological emotional functioning.

 

Use of dedicated armbands can easily collect parameters like heart and breathing rate, reliable indicators of autonomic system functioning (sympathetic and parasympathetic). Another important parameter, also used in neuroscientific research, is the SCR (Skin Conductance Response). Collecting these indicators during training and feed them back to the students after training sessions could provide the students with insights about their emotional status during training. They would not been able to tell the students what and how they felt, that can only be done through a self-reflecting process, but they could increase their awareness on the physiological state they were in. Pretty much the same effect of a video for a public speaking session.

 

Last but not least, sensors should collect data about what is technically called “cognitive load”. Cognitive load theory has proven to be a very good predictor of rational thinking abilities. Rational thinking is a core process in behavioral change processes. Daniel Kahneman has studied and described two different mental processing machinery we have in our brain. System 1 is the oldest evolutionary part of the brain, and it is involved in automatic behavioral responses. It works efficiently and uses association processes in order to best guess quick solutions to a given issue or problem (System 1 can often be overlapped with the Limbic System). System 2, instead, is the most recent human brain evolutionary product. It is dedicated to more complex tasks and problems and is located in the PFC (Pre Frontal Cortex). The problem is that, being so recent, it is not efficient. It needs high energy levels and is extremely limited in the amount of data processing ability (mostly related to the limited capacity of the working memory).

 

System 2 activation is a core requirement for brain rewiring. System 2 is responsible to address everything that is perceived as “new”, so this is a core step in the learning process. Adults learn only when they perceive that something is new and needs to be addressed.

 

Indicators of this cognitive load can be measured in pupils. It is called pupillometry. Parameters related to pupil fixation, saccade, dilation, blink rate and duration, can be used to estimate individual system 1 and system 2 activation. 

 

 

In short, research is focusing on wearable sensors in order to measure:

 

  1. Individual parameters:

    1. Emotional arousal and response to eliciting events

    2. Cognitive load predictors of system 2 activation

 

  1. Team parameters

    1. Quality and quantity of personal interactions

    2. Energy, engagement and exploration distributions

 

This advanced approach to training and education is also linked to a divisive ethical issue. The balance between “need of effectiveness” in human resource development and “need to protect the privacy” is at stakes.

 

The field is definitely innovative in the educational and training business, therefore it is difficult to foresee future developments, but it can be argued that it is similar to other previously addressed issues in the field. In the last few decades, technology and scientific research has provided remarkable opportunities for spilling over personal boundaries. But once technology becomes available, the next step should be the identification of its appropriate use for constructive purposes. This technology is already extensively used in marketing and news business, so, if we can use it to sell something to people, why not using it for allowing people to improve themselves?

ANKARA, MOSCA E L’ACQUISIZIONE DEGLI S-400: VECCHIA TATTICA O NUOVA STRATEGIA?

di Sly

 

La NPO Almaz, società pubblica per azioni della Federazione Russa e produttrice dei sistemi d’arma nazionali, ha da pochi giorni concluso la fornitura dei componenti degli S-400 “TRIUMF” alla Turchia. Si tratta di un sistema d’arma antiaereo di quarta generazione, in grado di intercettare e colpire fino a 36 obiettivi simultaneamente (aerei da guerra/missili balistici) in un raggio che va dai 30 ai 400 km. La Turchia non è l’unico acquirente del nuovo sistema: ha infatti seguito le orme di Cina e Arabia Saudita, che se ne sono dotati rispettivamente dal 2014 e dal 2017. La Turchia è però l’unica, a differenza degli altri, ad essere un membro dell’Alleanza Atlantica.

 

Le conseguenze sono piuttosto prevedibili: malcontento del partner per eccellenza, ovvero gli Stati Uniti, che ha prospettato la violazione dei cosiddetti pilastri della più recente NATO policy quali, tanto per citarne due, sicurezza e interoperabilità. Il nuovo sistema d’arma infatti non “dialoga” con i sistemi omologhi non risultando pertanto “inter-operabile” e compatibile, per di più, essendo di produzione russa potrebbe – secondo gli USA – fornire informazioni sulle nuove dotazioni d’arma dell’Alleanza e in particolare attraverso i radar installati al loro interno che potrebbero intercettare e seguire i caccia americani F-35. Pericolo comunque scongiurato dato che, a seguito della scelta (“o gli S-400, o gli F-35”) che il Governo di Erdoğan si è trovato a fare, gli Stati Uniti hanno perfino sospeso i corsi di formazione dei piloti turchi in USA.

 

Il caccia, alla progettazione del quale la Turchia aveva partecipato, sarebbe dovuto diventare il modello base per l’aeronautica repubblicana, tant’è che ne erano già stati ordinati 100 esemplari. Pare, invece, che a questo punto le intenzioni di Ankara siano ben altre e che l’attenzione per i mezzi della terza dimensione si stia spostando verso i Sukhoi-57 di produzione Russa.  

Gli americani avevano comunque tentato di negoziare offrendo alla Turchia alcune batterie del sistema terra-aria PATRIOT al prezzo di mercato che ben poco differiva da quello degli S-400; peccato che mentre il secondo è di recente produzione, i PATRIOT sono un sistema datato e l’offerta non ha incontrato l’entusiasmo turco. Tutt’altro.

 

Analizzando la situazione e guardando le ultime mosse di Erdoğan sullo scacchiere geopolitico, appare evidente l’allontanamento della Turchia non solo dall’Unione Europea, da cui de facto è stata rifiutata (e che a sua volta non ritiene più funzionale né alla sua politica estera, né, tantomeno alla sua economia), ma soprattutto dall’occidente e in particolare dalla sua massima espressione, l’Alleanza Atlantica per andare incontro, sia per continuità geografica che per quella religiosa e culturale, al Caucaso, all’Iran e, soprattutto ai Paesi dell’Asia centrale e il Vicino Oriente. Proprio in Caucaso, forse più che nell’Asia centrale turcofona, il peso linguistico, culturale e politico della Turchia potrebbe servire per rafforzare i legami tra le repubbliche turcofone e non – ma tutte musulmane – della Federazione Russa nel nord del Caucaso con la Turchia. Parimenti, nel Caucaso meridionale potrebbe diventare un ulteriore varco per la NATO tra Russia e Turchia, insieme alla Georgia. 

 

Si tratterebbe sotto molti aspetti di un ritorno alla normalità interrotta ai tempi della guerra fredda, dall’improvvisa sterzata verso l’occidente per la quale per molti anni la Turchia ha ospitato le armi nucleari USA nonché le sue basi aeree. In caso di conflitto con l’Unione Sovietica la Turchia avrebbe dovuto collegare le forze del blocco occidentale in Bulgaria e Armenia. In cambio gli USA hanno sempre appoggiato le politiche – più o meno repressive – turche dietro la giustificazione del “pericolo comunista”. Tale atteggiamento però con il passare degli anni ha portato alla nascita di un forte sentimento anti-americano, fortemente radicato non solo tra le file della sinistra ma trans-partitico.

 

In tale contesto, probabilmente nemmeno a costo zero Erdoğan acquisterebbe i PATRIOT statunitensi: perderebbe infatti consenso tra gli elettori e deraglierebbe dalla linea politica costruita in questi anni e atta a creare un Paese indipendente dalle dinamiche occidentali, sia politiche che culturali/morali.  

LO STATO DI DIRITTO SOTTO ATTACCO

di Cristiana Era

 

Come sa (o dovrebbe sapere) ogni studente di scienze politiche o di giurisprudenza alle prime armi, una società organizzata necessita di regole, indispensabili all’esistenza, allo sviluppo e alla sicurezza: ubi societas, ibi ius, recita il detto latino nei testi di diritto, a sottolineare che qualunque comunità non può prescindere dallo stato di diritto. La capacità di autoregolarsi con le leggi e di farle rispettare, a maggior ragione, rappresenta lo stato di salute di – si perdoni la ripetizione – di uno Stato, non necessariamente democratico. Quando questa viene a mancare si parla di “fragile State” quando in condizioni di controllo istituzionale precario, o “failed State” quando le istituzioni non riescono a far rispettare le leggi e a controllare il territorio. E naturalmente il segno più evidente dell’assenza dello stato di diritto è la mancanza di sicurezza.

 

Uno Stato consolidato non è di per sé immune a forze disgregatici che possono progressivamente minare la legittimità istituzionale, lo stato di diritto interno e la sicurezza dei cittadini. È in effetti quello che potrebbe succedere a seguito del fenomeno delle migrazioni di massa oggi in atto. L’ondata massiccia ed incontrollata di migranti è un fattore sociale, politico ed economico destabilizzante per qualunque Paese se tale fenomeno non è – come sembra – temporaneo. È in primo luogo un problema politico, come abbiamo e avremo modo di osservare anche in futuro. In un contesto non unitario, come quello Europeo, e purtroppo anche come quello italiano, un fenomeno di così forte impatto emotivo genera forti contrapposizioni e radicalizza le posizioni dei partiti e dell’opinione pubblica che li muove. È quello che sta succedendo in questi giorni, alimentato colpevolmente dai media che devono riempire gli spazi mediatici e speculano, appunto, sui fattori emotivi che fanno sempre audience, insistendo sulle stesse notizie. Mancano all’appello, invece, analisi razionali non politicizzate, mea culpa per noi analisti, schiacciati da opinioni politiche urlate e dai giornalisti che fanno gli opinionisti.

 

Una analisi razionale del fenomeno deve necessariamente indicare tutti i possibili fattori di rischio per la sicurezza e la stabilità, e non può nascondere aspetti scomodi dal punto di vista del politically correct, altrimenti non è una analisi. Così come qualunque questione, anche quella riguardante la migrazione illegale andrebbe affrontata sempre dal punto di vista dell’interesse nazionale. Le istituzioni di un Paese, infatti, hanno l’obbligo giuridico di difendere la sicurezza, garantire la stabilità e l’ordine pubblico, proteggere gli interessi solo della popolazione nazionale, quindi nel nostro caso degli italiani e di tutti coloro che vi risiedono legalmente a qualunque titolo. Al di là di obblighi internazionali a cui l’Italia ha aderito (ma che non possono avere la priorità sulla sicurezza interna), le istituzioni non hanno invece alcun obbligo dal punto di vista giuridico e morale (quest’ultimo fa riferimento alla sfera personale e, semmai, religiosa) di tutelare gli interessi dei cittadini del resto del mondo se non in caso di pericolo imminente.

Poiché la questione delle imbarcazioni alla deriva dei migranti non rientra più nell’ambito dell’emergenza occasionale, ma fa parte di una politica ben studiata per obbligare gli Stati costieri a soccorrere ed accogliere quelli che di fatto diventano immigrati illegali, è chiaro che qualunque politica che voglia arginare il fenomeno non può limitarsi alla chiusura dei porti ma deve prendere in considerazione una strategia generale volta ad ostacolare il flusso migratorio già dal Paese di origine contrastando e dove possibile eliminando le reti di trafficanti che sono radicate lungo le tratte che portano in Europa. È altresì evidente che un tale sforzo non può essere fatto se non di concerto con i Paesi di origine dei migranti e in collaborazione con tutta la comunità internazionale nelle sedi appropriate.

 

Se non si interviene a questo livello, come più volte abbiamo sottolineato in CSA magazine, le misure volte ad impedire gli sbarchi diventano necessarie per garantire internamente la sicurezza e la stabilità che non sono espressioni emotive di paure ancestrali come propagandato da taluni partiti politici, bensì sono elementi portanti per la sopravvivenza della comunità stessa. Esempi a livello internazionale abbondano, a partire da Paesi come l’Afghanistan, per passare a Paesi perennemente in equilibrio precario come il Libano.

 

L’Italia non è in grado di sostenere il flusso continuo di migranti non controllati e non controllabili. L’immigrazione illegale degli anni passati sta già mettendo a dura prova un Paese che di per sé non riesce ad uscire dallo stato di crisi economica perenne. Le politiche di integrazione non hanno apportato sostanziali benefici: la maggior parte dei migranti proviene da aree con culture e tradizioni totalmente diverse che facilmente entrano in contrasto con quella nazionale. Si rischia di cancellare la nostra cultura e la nostra religione per non sembrare e non essere tacciati di razzismo per far spazio a chi non vuole restare nel proprio Paese ma pretende di vivere secondo le proprie usanze non accettando i doveri – insieme ai diritti – di chi accoglie. Occorre qui fare attenzione perché non si tratta di aspetti minoritari. Quando si vuole vivere in un Paese, se ne deve accettare la cultura senza pretendere che i suoi simboli o i suoi usi e costumi vengano rimossi perché considerati offensivi per la cultura straniera. Chi non può tollerare per credo religioso o altre convinzioni il sistema di vita di un Paese, non può nemmeno pretendere di viverci a modo suo. Le istituzioni hanno l’obbligo di far rispettare leggi e cultura, che non possono essere applicati con il sistema dei due pesi e due misure (come fa ad esempio l’Europa). Sta anche alle varie componenti della società agire in modo univoco e compatto, invece di alimentare divisioni.

 

Se si permette che le norme di una comunità, ossia le leggi di uno Stato, vengano violate senza conseguenze a livello giuridico, si minano nel profondo le basi stesse dello stato di diritto e senza la certezza del diritto la società è destinata a disintegrarsi nel tempo. Per questo motivo, le istituzioni italiane che rispondono solo ed esclusivamente agli italiani, hanno il dovere di applicare e far rispettare le norme che regolano il nostro Paese e ne garantiscono l’incolumità sociale, economica e anche politica. È dunque alla luce di ciò che quanto è successo con il caso dell’imbarcazione “Sea Watch” deve ritenersi grave. Grave che un cittadino straniero abbia violato le leggi nazionali; ancor più grave che tale azione non sia stata punita dalla magistratura (istituzione che deve applicare la legge non la morale), e altrettanto grave che con il loro comportamento dei parlamentari abbiano sottoscritto la liceità della violazione delle leggi italiane. I parlamentari italiani devono rappresentare gli italiani, non proteggere gli interessi di stranieri, non è compito loro. Chi ha aspirazioni morali di questo tipo fa il missionario o il prete, non il politico.

LA MANIPOLAZIONE DELLA POLITICA NEI SISTEMI DEMOCRATICI ATTRAVERSO IL WEB: IL RUSSIAGATE E CAMBRIDGE ANALYTICA [1]

di Cristiana Era

 

Come è ormai evidente a tutti, la trasformazione di internet in una intera dimensione quale lo spazio cibernetico e ancor più la sua “trasfigurazione” nella iperconnessione – l’internet delle cose – ha rivoluzionato e condizionato il mondo tradizionale e le sue relazioni. E lo ha fatto nel giro di pochi anni. I cambiamenti sono tanti ed hanno ripercussioni in quasi ogni settore della nostra vita, inclusa la sfera politica. Quali sono, dunque, gli effetti nostro sistema democratico? L’iperconnessione, le nuove tecnologie, hanno migliorato la nostra consapevolezza di cittadini e facilitato la nostra partecipazione al dibattito sulla res publica? La democrazia online è vera democrazia? Dare una risposta non è facile, ma si può tentare attraverso l’analisi di un case study a cui si è già accennato nei numeri precedenti di CSA: Russiagate e Cambridge Analytica.

 

Occorre, tuttavia, soffermarsi innanzitutto su alcuni cambiamenti che sono sotto gli occhi di tutti ma sui quali spesso ci si limita alla citazione senza considerarli elementi portanti di una analisi. Punto primo: il modo di socializzare nell’era post-industriale è radicalmente cambiato, non solo fra i giovanissimi ma anche nelle generazioni precedenti. Nel giro di poco più di un decennio si è passati da una società reale ad una società virtuale. Quest’ultima ha facilitato, ovviamente, la iperconnessione anche fra individui: è più facile incontrarsi, elimina le barriere fisiche come il tempo e lo spazio. Soprattutto il tempo. Si interagisce di più perché non si deve uscire di casa, prendere un mezzo e fisicamente spostarsi per incontrarsi. Con qualche click possiamo chiedere l’amicizia o il collegamento ad un numero imprecisato di persone sui social network, avviare un dibattito online, ecc. Nel mondo virtuale l’interazione fisica del mondo reale è – eventualmente – una fase successiva, che potrebbe anche non avvenire.

 

Punto secondo: informazione e comunicazione. E qui c’è da fare un distinguo, comunicare ed informare non sono la stessa cosa. In democrazia l’informazione è, in linea teorica, una descrizione di fatti senza omissioni, senza commenti ed opinioni, sia di natura politica che personale, e che deve seguire la linea delle famose 5W dello stile anglosassone: Who, What, When, Where, Why (chi, cosa, quando, dove e perché). Ed è gestita da organi di informazione riconosciuti che controllano – o meglio, dovrebbero controllare – sia l’attendibilità delle fonti che la correttezza dei dati. La comunicazione, al contrario, è la veicolazione di un messaggio specifico che può essere di varia natura: la pubblicità è un esempio di comunicazione ma non è informazione; così come i comunicati stampa e i siti istituzionali o aziendali fanno parte della comunicazione. Rientrano in questa categoria anche propaganda, disinformazione e manipolazione dei dati. L’elaborazione dei messaggi è generalmente affidata agli uffici stampa che hanno il compito di promuovere gli obiettivi dell’ente di riferimento – pubblico o privato che sia – e lo fanno attraverso strategie di comunicazione che non fanno leva sull’esaustività e imparzialità di fatti e dati, ma bensì sulle criticità e vulnerabilità di quelli che nelle comunicazioni operative (nuovo nome per PsyOps – Psychological Operations) vengono definiti “target audience”, i destinatari di una analisi mirata ad individuarne bisogni e criticità. Per poi agire sui medesimi e influenzarli in base agli obiettivi prefissati.

 

Si è voluto accennare alla comunicazione e alla comunicazione operativa perché questo aspetto è fondamentale nello scandalo Russiagate La campagna presidenziale americana del 2016 rappresenta con tutta probabilità il primo esempio di campagna politica e più in generale di politica virtuale che si affianca e addirittura si sovrappone a quella reale, fatta con metodi diciamo “classici” (comizi di piazza, banchetti per raccolta firme, eventi culturali vari tipo festa dell’unità, dibattiti politici in TV, ecc.). È pur vero che anche la precedente campagna elettorale di Barak Obama ha coinvolto internet. Ed in questo possiamo dire che il predecessore di Trump ed il suo staff sono stati dei precursori, avendo per primi utilizzato il web con fini politici precisi. Ma in quell’occasione internet e i social media furono utilizzati per lo più per fund raising, la raccolta fondi per autofinanziare la campagna stessa di Obama. Un metodo innovativo ed economico una decina di anni fa, in cui gli candidati legati alla grande macchina burocratica di partito e alle grandi lobby poco credevano e talvolta addirittura deridevano. Ma insieme al metodo innovativo, Obama lanciava dei messaggi, alcuni chiari e consapevoli, altri forse meno evidenti anche per gli autori stessi. A cominciare dal famoso motto della sua campagna: “yes, we can”. Quello che questo messaggio comunicava – e lo ha fatto in modo estremamente efficace – era che la popolazione è sovrana e che non solamente i candidati appoggiati dai grandi gruppi finanziari o poteri forti possono vincere un’elezione presidenziale, ma che lo può fare un candidato presidenziale “popolare”, che ottiene il supporto anche economico dei comuni cittadini.

 

Nella frase “Yes, we can”, il “we”, non è un noi qualunque. Richiama – ed ogni americano inconsciamente lo sa perché gli viene insegnato sin da piccolo – la frase iniziale del preambolo della Costituzione: “We, the American People…”

 

             WE = POPOLO AMERICANO, NAZIONE INTERA

 

Negli Stati Uniti il concetto di unità è molto forte, ed è parte della cultura della nazione che altrimenti non riuscirebbe a conciliare e far convivere le miriadi di differenze sociali e culturali che la compongono.

 

La comunicazione, dunque, è decisiva in campagna elettorale, e lo è quando è concisa, diretta e riesce a fare presa su aspetti emotivi della collettività. Incisivo è anche l’aspetto inclusivo della campagna online: dalla partecipazione diretta al dibattito politico alla facilità e velocità della raccolta fondi online, per la prima volta alla portata di tutti secondo le proprie possibilità. Gli avversari di Obama hanno sottovalutato la capacità virale della rete: un sistema che una volta lanciato è in grado di crescere a livello esponenziale, tanto da indurre altri a fare altrettanto (nel caso specifico la donazione). E’ il fenomeno di massa, una delle caratteristiche intrinseche della rete, che proprio in quelle elezioni ha rivelato tutto il suo potenziale. Il motto, il presentarsi come candidato che si oppone alla farraginosa e oscura macchina politica in cui sono pochi a determinare chi vince e chi perde, tutto questo ha convinto i cittadini – stufi come tutti i cittadini in tutte le parti del mondo – a votare e ad appoggiare Obama che ha dato l’impressione di restituire al popolo il principio stesso della democrazia: la maggioranza dei cittadini decide chi governa, non una minoranza solo in base a soldi e potere. Questo, semplificato, è il pensiero di milioni di americani magistralmente intercettato ed interpretato in campagna elettorale dal predecessore di Trump. E che ha mostrato, questo sì per la prima volta il populismo del web.

 

Tuttavia, pur avendo rivelato alcune potenzialità in termini di diffusione e comunicazione, la politica online non è emersa completamente in tutte le sue sfaccettature. E questo perché è stata trascurata un’altra delle caratteristiche dello spazio cibernetico: l’annullamento, o quasi, dei confini geografici. La campagna elettorale del 2016 non si svolse solo all’interno degli Stati Uniti, ma come sappiano entrarono in gioco attori esterni. Il caso è scoppiato a seguito di un’inchiesta del New York Times nella primavera del 2016. Il prestigioso quotidiano statunitense pubblicò un articolo in cui si esprimono sospetti di un coinvolgimento diretto del Cremlino nella campagna elettorale a favore di Trump, a cominciare dalle primarie. Secondo il New York Times, il governo russo avrebbe agito su tre livelli:

 

  • Il primo riguarda l’intrusione nel sistema informatico del comitato nazionale del Partito Democratico e del responsabile della campagna elettorale di Hillary Clinton, con la conseguente divulgazione di decine di migliaia di email su wikileaks; le email rivelarono una massiccia campagna interna al partito contro l’altro candidato democratico Bennie Sanders, con il conseguente crollo della Clinton nei sondaggi di ben 9 punti.

 

  • Il secondo riguarda l’utilizzo massiccio di piattaforme social come You-Tube, Facebook, Instagram e Twitter; dopo aver creato migliaia di falsi profili (trolls) su tutte le piattaforme, gli hacker russi della Internet Research Agency (intelligence militare) avviarono una campagna contro la Clinton e a favore di Trump, costruendo ed alimentando dibattiti aperti sui temi della campagna elettorale dei due candidati, e creando false pubblicità politiche per danneggiare la Clinton

 

  • Il terzo riguarda i numerosi contatti dello staff di Trump e dei familiari con esponenti russi vicini a Putin. Incontri che si sono susseguiti numerosi durante tutta la campagna elettorale. Ma, come sappiamo, tali incontri non sono stati considerati prova evidente di una collusione fra lo staff presidenziale e Trump stesso con Mosca. Almeno queste sono le conclusioni del rapporto del procuratore speciale Robert Muller a fine indagine poco più di un mese fa. Vero è che l’indagine ha fatto comunque parecchie vittime, tra cui l’avvocato di Trump Michael Cohen, l’ex capo del comitato elettorale Paul Manafort, l’ex consigliere per la sicurezza nazionale Michael Flynn, tutti arrestati, alla fine con accuse che riguardano reati finanziari.

 

Lo scandalo Russiagate ha coinvolto e travolto anche Cambridge Analytica, già altre volte nell’occhio del ciclone per uso improprio di dati personali online. Partiamo dall’inizio. Cambridge Analytica è una azienda di analisi e consulenza fondata nel 2013 da un miliardario ultraconservatore e sostenitore di Trump, tale Robert Mercer, e da Stephen Bannon, ex consigliere di Trump in campagna elettorale. L’azienda raccoglie ingenti quantità di dati personali sul web (i big data), in particolare ma non esclusivamente sui social network, e li analizza utilizzando algoritmi secondo modelli psicometrici, riuscendo ad ottenere i profili psicologici degli utenti. Nel caso specifico, l’azienda è finita sotto accusa per aver raccolto indebitamente i dati di 50 milioni di utenti americani attraverso un’app creata per Facebook dal ricercatore Alexandr Kogan nel 2014 che permetteva l’accesso anche ai dati di tutte le persone connesse con gli utenti che avevano scaricato quell’applicazione. Kogan avrebbe poi passato i dati a Cambridge Analytica che, attraverso il sistema di microtargeting comportamentale sviluppato da Michal Kosinski, avrebbe poi manipolato le preferenze degli utenti per indurli a votare Trump nelle elezioni del 2016. Oltre a questo ci sono illazioni su presunti contatti fra i dirigenti dell’azienda ed esponenti russi. Infine, Damian Collins, un parlamentare britannico che sta conducendo un’inchiesta parlamentare su presunte manipolazioni di Cambridge Analytica relativamente al referendum sulla Brexit, ha dichiarato che sono emerse prove che la Russia ed altri Paesi stranieri hanno avuto accesso ai dati dei 50 milioni di utenti Facebook raccolti dall’azienda.

 

Come possiamo notare, rispetto alla campagna elettorale di Obama, la politica e la manipolazione della politica e degli utenti online è diventata cosa seria e complessa da analizzare. Al di là delle conclusioni del rapporto Muller, che in realtà non fa piena luce sulla questione della connivenza tra Trump, il suo staff e Mosca ma in compenso certifica l’ingerenza della Russia nella politica americana, si può comunque trarre qualche conclusione.

 

In una campagna politica condotta attraverso i nuovi mezzi di comunicazione che passano tutti attraverso la rete, emergono elementi che proprio dalle caratteristiche dello spazio cibernetico possono portare ad effetti positivi o negativi per le nostre democrazie. Abbiamo nominato l’informazione. Nell’era del web, l’informazione è diventata più rapida, più concisa, maggiormente disponibile, gratuita o quasi e disponibile in grande quantità senza filtri. E l’informazione è uno dei capisaldi di un regime democratico: pluralista e libera. Tuttavia la rete si presta, come abbiamo visto a manipolazioni di ogni genere e nel mare di news e fake news da cui siamo quotidianamente bombardati, risulta difficile, talvolta anche per i professionisti, riuscire a distinguere l’informazione dalla disinformazione. E la disinformazione è alla base della propaganda. Su questo è bene aprire una breve parentesi. La propaganda si divide in 3 categorie, come forse già sapete: bianca, grigia e nera. La propaganda bianca è ammessa nei regimi democratici, la fonte è certa e riconosciuta; le altre due categorie sono invece tipicamente usate nei regimi autoritari: la grigia riguarda l’incertezza della fonte, mentre si parla di propaganda nera quando la fonte si nasconde sotto falso nome. La propaganda nera, come abbiamo visto utilizza la disinformazione per screditare il nemico (troll russi). Le elezioni presidenziali americane del 2016 sono state caratterizzate da una informazione soffocata dalla comunicazione fatta da propaganda bianca, grigia e nera.

 

Abbiamo assistito anche alla manipolazione dei dati degli elettori – che sul web diventano utenti. Su di essi è stata messa in piedi una vera e propria campagna PsyOps volta a influenzare le decisioni di voto. Cambridge Analytica ha individuato nel target audience (gli utenti di Facebook e di altri social) le criticità (cioè le preferenze, lo stile di vita, le relazioni sociali con altri, il livello culturale, addirittura lo stato di salute) e poi ha elaborato una campagna di comunicazione mirata a ciascun utente in modo da agire su quelle criticità per influenzarne il voto. Il PsyOps non è cosa nuova, veniva utilizzata anche durante la Seconda Guerra mondiale con altri mezzi di comunicazione, così come viene utilizzata all’estero da molti eserciti, incluso il nostro. In questo caso, però, non risponde a esigenze di tipo militare ed è rivolto ad una democrazia occidentale evoluta, quindi attraverso le nuove tecnologie.

 

Si può dunque tornare alle questioni poste in partenza. Nelle società evolute, quasi tutte a regime democratico, l’iperconnessione della popolazione sempre più condizionata dalla vita online favorisce la diffusione della disinformazione e della propaganda a discapito dell’informazione obiettiva e trasparente. Uno studio dell’MIT rivela che le fake news, le informazioni false, raggiungono gli utenti sei volte più velocemente delle notizie vere. Lo studio, che si è concentrato su Twitter, ha anche rivelato che le notizie false hanno il 70% di probabilità in più di essere ri-twittate. E sono ben 70 milioni gli account di Twitter sospesi tra maggio e giugno del 2018 perché sospettati di diffondere disinformazione.

 

Allora se consideriamo che la corretta informazione è alla base di un buon sistema democratico a cominciare dalla scelta che facciamo quando andiamo a votare, è chiaro che i dibattiti politici aperti a tutti – oltre che ad inasprire i toni e a diffondere anche la cultura dell’odio, grazie all’anonimato che la rete garantisce – rischiano di danneggiare più che aiutare la democrazia. È inoltre chiaro che la manipolazione delle preferenze degli elettori non può non essere visto come un secondo elemento di rischio per i principi democratici, in particolar modo per la libertà di decidere, in una elezione o in un referendum (vedi anche il caso Brexit, per il quale è sotto accusa – ancora – Cambridge Analytica). C’è anche da fare un brevissimo accenno al voto elettronico. Le generazioni più giovani, che sembrano perfettamente integrate nel mondo virtuale, sono quelle che ricorrono al voto elettronico con maggiore insistenza, anch’esso manipolabile nonostante l’innalzamento della sicurezza informatica in Paesi dove è largamente diffuso. Alcuni studi in proposito hanno evidenziato come la maggior parte di coloro che votano elettronicamente, non sarebbero andati a votare se avessero dovuto farlo secondo il sistema tradizionale di recarsi alle urne. È facile dunque prevedere che un giorno il voto elettronico sarà il sistema di voto più diffuso in assoluto, con i rischi di cui si è appena accennato.

 

Nell’era di internet, i risultati delle elezioni possono essere distorti da disinformazione, propaganda, manipolazione dei voti e delle preferenze dei cittadini. Torniamo alla domanda: la democrazia online è vera democrazia? Indubbiamente i rischi per le elezioni ci sono e si fanno più forti via via che la politica diventa più informatizzata. E le elezioni sono uno dei cardini della democrazia stessa. Come sottolineavano già Linz e Stepan nel 1996, le elezioni sono un elemento essenziale, anche se non sufficiente, per fare di un Paese una democrazia. Non sufficiente ma essenziale significa che se le elezioni sono state manipolate tramite internet, allora il dubbio che la democrazia online possa essere vera democrazia è più che lecito.

 

Internet e i social media hanno dunque un impatto significativo in politica. Del resto questo lo si può evidenziare, da altri punti di vista, anche in Italia. Qui da noi siamo ancora indietro sullo sviluppo di campagne politiche online vere e proprie, ma non si può escludere tout court l’ingerenza e la manipolazione delle notizie politiche. Del resto anche un partito come il Movimento 5 Stelle ha propagandato il proprio sistema di votazione “democratica” online per tutti gli iscritti, che favorisce, secondo i suoi leader la più ampia partecipazione possibile. Ma anche in questo caso, ci sono dubbi che le piattaforme usate dal Movimento siano vulnerabili a manipolazione dei risultati.

 

Se da una parte è indubbio che la rete favorisca la più ampia partecipazione possibile e in casi di regimi autoritari possa costituire l’unico strumento che dà voce alle opposizioni perseguitate, e quindi può assumere un ruolo significativo nel processo di abbattimento di dittature e transizione verso regimi più liberali, dall’altra si cominciano ad intravedere le storture del mondo virtuale che per la sua natura non è facile da controllare nelle sue deviazioni nei Paesi democratici. Il caso Russiagate e Cambridge Analytica mette, infine, in luce che la rete può anche destabilizzare il sistema democratico in genere. L’elezione di Trump alla presidenza, infatti, non chiude la vicenda. Anzi, gli strascichi stanno aumentando le frizioni interne e polarizzando lo scontro fra la Presidenza stessa e i democratici. Le conclusioni dell’inchiesta del Procuratore Speciale Muller sono delle “non conclusioni”: le prove raccolte non sono sufficienti a dimostrare né la collusione, né l’ostruzione alla giustizia, anche se si evidenziano “comportamenti impropri ed inopportuni del Presidente”. Inoltre, il Congresso ancora non ha ricevuto il rapporto Muller nella versione integrale, ma ha dovuto accontentarsi, si fa per dire, del sunto fornito dal Procuratore Generale William Barr, uomo vicino a Trump, che sembra aver voluto mettere la parola fine al caso blindando la Presidenza. Vi è infatti il rischio che Barr decida di consegnare il Rapporto alla Casa Bianca prima di darlo al Congresso. In questo caso, Trump può esercitare il privilegio presidenziale di poter censurare alcune parti. Ed è su questo punto che i democratici stanno facendo battaglia.

 

È evidente l’effetto destabilizzante che il caso ha avuto e sta avendo su questo Esecutivo e in generale sulle principali istituzioni democratiche, in particolare su quella rappresentativa per eccellenza: il Congresso, che rischia di vedersi cancellare il potere di controllo sull’Esecutivo, con buona pace del sistema di check & balance. Infine, comunque vada, la vicenda ha gettato un’ombra di sospetto su questa amministrazione e creato un clima di diffidenza e sfiducia nel sistema stesso.

 

Quella che chiamiamo democrazia online non garantisce in realtà che non vengano intaccati i core principles della democrazia stessa. E ritengo anche che i suoi effetti non siano stati ancora valutati appieno. Cosa che avverrà presto, lo vedremo alle prossime elezioni: quella sfiducia e diffidenza che nel 2016 ancora non esistevano si andranno ad aggiungere agli altri elementi che potranno condizionare l’umore e la decisione di voto molto più di un programma elettorale.

 

NOTE

[1] Tratto da una lezione tenuta presso l’Università di Firenze il 17 maggio 2019