BASSI RISCHI ED ALTI GUADAGNI: IL CASO NORDCOREANO E I LIMITI DELLA CYBER DETERRENZA

di Serena Lisi

 

Da circa un anno, presso il NATO Cooperative Cyber Defence Centre of Excellence di Tallinn, si studiano i diversi risvolti di un tema complesso e talora trascurato, quello della cyberdeterrence. Nello scorso decennio, questo argomento era stato liquidato da molti esperti della materia, europei e non, come un problema quasi marginale, poiché ritenuto legato esclusivamente al paragone tra la mentalità dell’era bipolare e della corsa all’armamento nucleare, in cui la dottrina della massive retaliation e della second strike capability caratterizzava la strategia globale dei più importanti attori dello scenario internazionale.

 

Oggi, invece, docenti come Jeff Knopf del Middlebury Institute of International Studies teorizzano l’avvento di una quarta era della deterrenza, diversa dalle tre correnti teorico-strategiche già identificate da Robert Jervis, teoria sviluppatasi in un contesto caratterizzato da una conflittualità asimmetrica, in cui la dinamica first-second strike non è più contemplata. Come esaustivamente espresso da Aaron F. Brantly del Virginia Polytechnic and State University negli Atti della Decima Conferenza sui Conflitti Cyber, organizzata nel 2018 dal  NATO Cooperative Cyber Defence Centre of Excellence di Tallinn, nelle prime tre correnti teorico-strategiche, la leva che muoveva la deterrenza era il fatto che, ad ogni azione di un attore sarebbe corrisposta una “rappresaglia massiccia”, ossia molto più che proporzionale negli effetti e nei mezzi impiegati ad opera della controparte. Due erano i corollari di tale teoria: le grandi Potenze, come gli Stati Uniti e l’Unione Sovietica, avevano creato un equilibrio simmetrico, basato, in un primo tempo, sulla corsa agli armamenti ed alle conquiste non solo in campo  tecnologico, ma anche territoriale e politico – quest’ultimo in materia di alleanze e zone di influenza – e, in un secondo periodo sulla necessaria cooperazione in materia di disarmo e riconversione; inoltre, il rapporto costi-benefici di ciascuna azione era caratterizzato da altissimi rischi e scarsi guadagni. Nella quarta era della deterrenza, nata con l’avvento della cosiddetta “quinta dimensione”, ossia del dominio cyber, invece, lo scenario è asimmetrico, popolato da attori di diversa natura, statali e non, finanche singoli individui agenti per propria iniziativa e non già su mandato di entità di qualsivoglia natura ed il rapporto costi-benefici varia da caso a caso.

 

Per questo motivo, non è possibile rifarsi ad una teoria della deterrenza classica, soprattutto in casi come quella della Corea del Nord, che rivolge attacchi cyber di media e bassa portata tecnologica e strategica ai danni di altri Paesi, primo fra tutti la Corea del Sud, con il solo scopo di sottrarre denaro, in valuta reale e virtuale, da poter utilizzare per finanziare programmi militari e in materia di energia nucleare. Questo tipo di attacchi hanno un costo relativamente basso ed una probabilità di riuscita, e quindi di guadagno, molto alta, poiché sono basati su due principali tecniche: la prima è utilizzata per attaccare istituti di credito ed operatori monetari “classici”, che lavorano cioè con valute reali, e consiste nel violare i codici SWIFT (Society for Worldwide Interbank Financial Telecommunication) delle vittime, per poter compiere le operazioni illecite; la seconda serve invece per agire con le criptovalute e consiste nel “rapire” le identità di ignari miners, sfruttando la potenza di calcolo di questi operatori – o meglio, dei loro computer – per guadagnare crediti. Secondo gli ultimi report di FireEye, azienda statunitense specializzata in cybersecurity, svariati attacchi sono compiuti dal gruppo APT38, notoriamente legato all’intelligence nordcoreana seppur operante in maniera autonoma. Secondo gli ultimi report di FireEye, l’APT38 opererebbe soprattutto nel settore delle valute reali, seguendo uno schema simile, eppur innovativo rispetto a quello utilizzato da gruppi come TEMP.Hermit, avvezzo a compiere operazioni di cyber espionage nei comparti difesa ed energia. La caratteristica principale di APT38 risiede nell’aggressività e immediatezza con cui distrugge le prove e le tracce delle avvenute violazioni, nonché dei propri collegamenti con entità statali e para-statali nordcoreane. In breve, il gruppo non opererebbe secondo la tattica del cosiddetto mordi e fuggi del ladruncolo di strada o del criminale comune, bensì seguendo una strategia dettagliata e pazientemente calibrata tipica degli attori statuali operanti al tempo della Guerra Fredda senza, però, dover affrontare gli stessi rischi di insuccesso di questi ultimi. Anche se le azioni di APT38 sono eseguite in un click, come tutte quelle proprie della dimensione cyber, esse confondono le controparti, perché decontestualizzano le strategie classiche e, proprio per questo, le rendono innovative, tanto da trovare difficile anche la semplice pianificazione di una possibile risposta, cosa fondamentale per mettere in atto una strategia della deterrenza. APT38 non è certamente l’unico gruppo legato alle cyber incursioni nordcoreane, ma è certamente il più emblematico, poiché esplica bene una parte, fino ad oggi poco compresa, delle teorie di Mary Kaldor sui nuovi conflitti a bassa intensità, che rischiano di trasformarsi in uno stillicidio giocato su suolo economico ancor più distruttivo, talora anche più sanguinoso, delle guerre combattute con mezzi e iter normativi convenzionali. Il paradosso dei nostri tempi, infatti, risiede proprio nel fatto che, come prescritto dal Consiglio di Sicurezza delle Nazioni Unite, la risposta ad un attacco dovrebbe rispondere al principio di minima proporzionalità, ancor più difficile da applicare in contesti e conflitti caratterizzati da alti gradi di asimmetria e foriero di ulteriori limiti per l’elaborazione di eventuali strategie basate sulle teorie della deterrenza

CONNECTED CARS E RISCHI CYBER

di Cristiana Era

 

Automobili tecnologiche, con computer di bordo e sempre più equipaggiate con meccanismi che mirano a facilitare la guida, renderla piacevole e maggiormente sicura: non è il futuro ma è il presente per molti veicoli e, a breve, per tutti. Nessuna meraviglia, dopotutto siamo nell’era della quarta rivoluzione industriale o, come è spesso definita, dell’Industria 4.0, dove tutto ruota intorno al principio della connettività con una richiesta crescente da parte dei consumatori. Molti dei dispositivi che fino a qualche anno fa erano prerogativa solo di vetture di lusso sono oggi sempre più diffusi anche su quelle di media gamma: la spinta all’industria automobilistica è arrivata proprio dall’evoluzione tecnologica in tutti i settori che muove inesorabilmente verso l’Internet delle cose. Promozione e commercializzazione delle case automobilistiche puntano sempre di più sull’inclusione di dispositivi quali GPS, indicatori di corsia, infotainment, chiamate di emergenza automatiche in caso di incidente, sistemi di prevenzione delle collisioni, solo per menzionarne alcuni. L’infotainment, in particolare, è ormai un biglietto da visita per il mondo automotive: praticamente ogni casa automobilistica ha dotato le proprie vetture, indipendentemente dalla categoria, del sistema di connessione che permette al consumatore di accedere in sicurezza, durante la guida, a tutte quelle funzioni (radio, riproduzione DVD, navigazione satellitare, chiamate, messaggi e altre funzioni da smartphone collegato) che rendono appetibili le vetture anche alle generazioni più giovani, quelle “technologically addicted”. E dunque è solo questione di scelta: dal Sync3 della Ford, al Peugeot Connect, all’MBUX di Mercedes e U-Connect di Jeep Crysler.

 

È scontato dire che la tecnologia ha rivoluzionato e continuerà a rivoluzionare il settore automobilistico e dei trasporti in genere, visto che ha già completamente cambiato la nostra intera società. Grazie ad essa potremo disporre di una guida assistita che permette di utilizzare più funzioni senza che questo vada a discapito dell’attenzione del guidatore. E forse vale la pena ricordare che sono già in atto le sperimentazioni per la guida senza pilota, embrione di quello che in un futuro non troppo lontano comporterà l’inserimento dell’Intelligenza Artificiale (AI) nei trasporti come elemento in dotazione ai veicoli, esattamente come oggi lo è, ad esempio, il navigatore. Ci stiamo muovendo verso una guida sempre più sicura, dunque? Si, ma non senza una contropartita in termini di nuovi rischi.

 

Partendo dal dato di fatto che qualunque oggetto connesso può essere un target per gli hacker, automaticamente anche le moderne vetture connesse lo diventano. Non si tratta di ipotesi, ma di rischi concreti, come dimostrano episodi di intrusione nei sistemi di rete delle vetture già verificatisi. Tra i casi più citati vi è quello del test effettuato da due white hat hacker, Charlie Miller and Chris Valasek, nel 2013. Sotto analisi vi era il sistema U-Connect di Jeep Crysler: attraverso un notebook connesso ad una Jeep Cherokee i due riuscirono a penetrare nel sistema di controllo di freni e volante, rivelando le vulnerabilità del dispositivo. In quell’occasione il notebook era fisicamente situato all’interno della vettura, ma una ripetizione dell’esperimento nel 2015 svelò come quelle stesse vulnerabilità potessero essere sfruttate anche da remoto, penetrando attraverso internet nel sistema di aria condizionata, di controllo del volume della radio e, cosa più grave, riuscirono a bloccare freni ed acceleratore, facendo perdere il controllo della vettura al guidatore. Anche le auto elettriche non sono esenti da possibili rischi. Nel 2016 una vulnerabilità nell’app NissanConnect EV che permette di controllare il sistema di riscaldamento e la ricarica della Leaf tramite cellulare costrinse la Nissan a sospenderne le funzionalità fino alla risoluzione del problema.

 

La questione è complessa e va vista da varie angolazioni, come dimostrano gli studi che recentemente sono stati pubblicati sull’argomento. Quello dei ricercatori del Dipartimento di Fisica del Georgia Institute of Technology (https://arxiv.org/abs/1903.00059) presentato all’inizio del 2019 ha puntato l’indice contro il sistema centralizzato delle connected car, evidenziando come un hacker che riesce a craccare anche una sola delle componenti può automaticamente accedere a tutte le altre. Interessanti anche le percentuali: è stato calcolato che un ipotetico attacco al 20% delle auto connesse in circolazione a New York sarebbe in grado di paralizzare la città, con serie conseguenze per l’operatività e l’accesso ai servizi di emergenza (ospedali, stazioni dei pompieri, servizi di ordine pubblico, ecc.).

 

I target di accesso ad un veicolo connesso sono diversi: si passa dalle app che controllano varie funzioni, ai sistemi operativi, firmware, connessioni telefoniche (blutooth) e infrastrutture di back-end. Un hacker che riesce a penetrare in una componente ha poi la possibilità, come abbiamo visto nel caso di U-Connect nel 2015, di controllare un veicolo da remoto e mettere in pericolo l’incolumità fisica degli occupanti. Ciò che rende difficile – e costoso – garantire alti livelli di sicurezza è la complessa catena logistica dell’industria automobilistica, per cui componenti diverse sono fornite da aziende diverse con protocolli di sicurezza diversi o, in alcuni casi, inesistenti. È quanto emerge da un altro studio, quello del Ponemon Institute, effettuato su prassi e procedure del settore automobilistico (Securing the Modern Vehicle: A Study of Automotive Industry Cybersecurity Practices, scaricabile dal sito https://www.synopsys.com/software-integrity/resources/analyst-reports/automotive-cyber-security.html). In base ad un’indagine effettuata su centinaia di professionisti della sicurezza e ingegneri del settore automotive, il rapporto sottolinea come il livello di sicurezza dei software della supply chain sia ancora troppo basso, anche se vi è consapevolezza del problema. Ma è l’insieme dei risultati che risulta allarmante: solo il 10% delle aziende ha un security team; meno della metà impone a fornitori e terzi i requisiti di sicurezza; alcune aziende non hanno risorse umane e finanziarie sufficienti per garantire la sicurezza dei propri prodotti prima della commercializzazione; meno della metà fornisce tempestivi aggiornamenti sui software, mentre un quarto di esse non ne fornisce alcuno.

 

Se tuttavia l’industria è consapevole dei rischi cibernetici, molti dei quali – è bene sottolinearlo – non sono ancora stati identificati, questo il primo passo verso una maggiore sicurezza delle nostre automobili e, come sottolinea Chris Clark della Synopsys, verso un cambiamento di percezione e di sviluppo. Cambiamento della percezione che il security testing comporti solo una spesa significativa senza un ritorno, invece che un investimento che garantisce la sicurezza degli automobilisti ma anche che previene perdite consistenti sia di immagine che finanziarie in caso di attacchi cyber. E cambiamento nello sviluppo del ciclo di produzione che prenda in considerazione il security testing all’inizio del ciclo e non come un elemento post-produzione.

 

Quanto tempo occorrerà all’industria per adeguare gli standard di sicurezza? È difficile dare una risposta, ma se, come la legge di Moore insegna, la tecnologia viaggia a ritmi esponenziali mentre le politiche di adeguamento sono in genere lente e lineari, forse una maggiore sicurezza cibernetica delle nostre vetture richiederà ancora del tempo.

LA MANIPOLAZIONE DELLA POLITICA NEI SISTEMI DEMOCRATICI ATTRAVERSO IL WEB: IL RUSSIAGATE E CAMBRIDGE ANALYTICA [1]

di Cristiana Era

 

Come è ormai evidente a tutti, la trasformazione di internet in una intera dimensione quale lo spazio cibernetico e ancor più la sua “trasfigurazione” nella iperconnessione – l’internet delle cose – ha rivoluzionato e condizionato il mondo tradizionale e le sue relazioni. E lo ha fatto nel giro di pochi anni. I cambiamenti sono tanti ed hanno ripercussioni in quasi ogni settore della nostra vita, inclusa la sfera politica. Quali sono, dunque, gli effetti nostro sistema democratico? L’iperconnessione, le nuove tecnologie, hanno migliorato la nostra consapevolezza di cittadini e facilitato la nostra partecipazione al dibattito sulla res publica? La democrazia online è vera democrazia? Dare una risposta non è facile, ma si può tentare attraverso l’analisi di un case study a cui si è già accennato nei numeri precedenti di CSA: Russiagate e Cambridge Analytica.

 

Occorre, tuttavia, soffermarsi innanzitutto su alcuni cambiamenti che sono sotto gli occhi di tutti ma sui quali spesso ci si limita alla citazione senza considerarli elementi portanti di una analisi. Punto primo: il modo di socializzare nell’era post-industriale è radicalmente cambiato, non solo fra i giovanissimi ma anche nelle generazioni precedenti. Nel giro di poco più di un decennio si è passati da una società reale ad una società virtuale. Quest’ultima ha facilitato, ovviamente, la iperconnessione anche fra individui: è più facile incontrarsi, elimina le barriere fisiche come il tempo e lo spazio. Soprattutto il tempo. Si interagisce di più perché non si deve uscire di casa, prendere un mezzo e fisicamente spostarsi per incontrarsi. Con qualche click possiamo chiedere l’amicizia o il collegamento ad un numero imprecisato di persone sui social network, avviare un dibattito online, ecc. Nel mondo virtuale l’interazione fisica del mondo reale è – eventualmente – una fase successiva, che potrebbe anche non avvenire.

 

Punto secondo: informazione e comunicazione. E qui c’è da fare un distinguo, comunicare ed informare non sono la stessa cosa. In democrazia l’informazione è, in linea teorica, una descrizione di fatti senza omissioni, senza commenti ed opinioni, sia di natura politica che personale, e che deve seguire la linea delle famose 5W dello stile anglosassone: Who, What, When, Where, Why (chi, cosa, quando, dove e perché). Ed è gestita da organi di informazione riconosciuti che controllano – o meglio, dovrebbero controllare – sia l’attendibilità delle fonti che la correttezza dei dati. La comunicazione, al contrario, è la veicolazione di un messaggio specifico che può essere di varia natura: la pubblicità è un esempio di comunicazione ma non è informazione; così come i comunicati stampa e i siti istituzionali o aziendali fanno parte della comunicazione. Rientrano in questa categoria anche propaganda, disinformazione e manipolazione dei dati. L’elaborazione dei messaggi è generalmente affidata agli uffici stampa che hanno il compito di promuovere gli obiettivi dell’ente di riferimento – pubblico o privato che sia – e lo fanno attraverso strategie di comunicazione che non fanno leva sull’esaustività e imparzialità di fatti e dati, ma bensì sulle criticità e vulnerabilità di quelli che nelle comunicazioni operative (nuovo nome per PsyOps – Psychological Operations) vengono definiti “target audience”, i destinatari di una analisi mirata ad individuarne bisogni e criticità. Per poi agire sui medesimi e influenzarli in base agli obiettivi prefissati.

 

Si è voluto accennare alla comunicazione e alla comunicazione operativa perché questo aspetto è fondamentale nello scandalo Russiagate La campagna presidenziale americana del 2016 rappresenta con tutta probabilità il primo esempio di campagna politica e più in generale di politica virtuale che si affianca e addirittura si sovrappone a quella reale, fatta con metodi diciamo “classici” (comizi di piazza, banchetti per raccolta firme, eventi culturali vari tipo festa dell’unità, dibattiti politici in TV, ecc.). È pur vero che anche la precedente campagna elettorale di Barak Obama ha coinvolto internet. Ed in questo possiamo dire che il predecessore di Trump ed il suo staff sono stati dei precursori, avendo per primi utilizzato il web con fini politici precisi. Ma in quell’occasione internet e i social media furono utilizzati per lo più per fund raising, la raccolta fondi per autofinanziare la campagna stessa di Obama. Un metodo innovativo ed economico una decina di anni fa, in cui gli candidati legati alla grande macchina burocratica di partito e alle grandi lobby poco credevano e talvolta addirittura deridevano. Ma insieme al metodo innovativo, Obama lanciava dei messaggi, alcuni chiari e consapevoli, altri forse meno evidenti anche per gli autori stessi. A cominciare dal famoso motto della sua campagna: “yes, we can”. Quello che questo messaggio comunicava – e lo ha fatto in modo estremamente efficace – era che la popolazione è sovrana e che non solamente i candidati appoggiati dai grandi gruppi finanziari o poteri forti possono vincere un’elezione presidenziale, ma che lo può fare un candidato presidenziale “popolare”, che ottiene il supporto anche economico dei comuni cittadini.

 

Nella frase “Yes, we can”, il “we”, non è un noi qualunque. Richiama – ed ogni americano inconsciamente lo sa perché gli viene insegnato sin da piccolo – la frase iniziale del preambolo della Costituzione: “We, the American People…”

 

             WE = POPOLO AMERICANO, NAZIONE INTERA

 

Negli Stati Uniti il concetto di unità è molto forte, ed è parte della cultura della nazione che altrimenti non riuscirebbe a conciliare e far convivere le miriadi di differenze sociali e culturali che la compongono.

 

La comunicazione, dunque, è decisiva in campagna elettorale, e lo è quando è concisa, diretta e riesce a fare presa su aspetti emotivi della collettività. Incisivo è anche l’aspetto inclusivo della campagna online: dalla partecipazione diretta al dibattito politico alla facilità e velocità della raccolta fondi online, per la prima volta alla portata di tutti secondo le proprie possibilità. Gli avversari di Obama hanno sottovalutato la capacità virale della rete: un sistema che una volta lanciato è in grado di crescere a livello esponenziale, tanto da indurre altri a fare altrettanto (nel caso specifico la donazione). E’ il fenomeno di massa, una delle caratteristiche intrinseche della rete, che proprio in quelle elezioni ha rivelato tutto il suo potenziale. Il motto, il presentarsi come candidato che si oppone alla farraginosa e oscura macchina politica in cui sono pochi a determinare chi vince e chi perde, tutto questo ha convinto i cittadini – stufi come tutti i cittadini in tutte le parti del mondo – a votare e ad appoggiare Obama che ha dato l’impressione di restituire al popolo il principio stesso della democrazia: la maggioranza dei cittadini decide chi governa, non una minoranza solo in base a soldi e potere. Questo, semplificato, è il pensiero di milioni di americani magistralmente intercettato ed interpretato in campagna elettorale dal predecessore di Trump. E che ha mostrato, questo sì per la prima volta il populismo del web.

 

Tuttavia, pur avendo rivelato alcune potenzialità in termini di diffusione e comunicazione, la politica online non è emersa completamente in tutte le sue sfaccettature. E questo perché è stata trascurata un’altra delle caratteristiche dello spazio cibernetico: l’annullamento, o quasi, dei confini geografici. La campagna elettorale del 2016 non si svolse solo all’interno degli Stati Uniti, ma come sappiano entrarono in gioco attori esterni. Il caso è scoppiato a seguito di un’inchiesta del New York Times nella primavera del 2016. Il prestigioso quotidiano statunitense pubblicò un articolo in cui si esprimono sospetti di un coinvolgimento diretto del Cremlino nella campagna elettorale a favore di Trump, a cominciare dalle primarie. Secondo il New York Times, il governo russo avrebbe agito su tre livelli:

 

  • Il primo riguarda l’intrusione nel sistema informatico del comitato nazionale del Partito Democratico e del responsabile della campagna elettorale di Hillary Clinton, con la conseguente divulgazione di decine di migliaia di email su wikileaks; le email rivelarono una massiccia campagna interna al partito contro l’altro candidato democratico Bennie Sanders, con il conseguente crollo della Clinton nei sondaggi di ben 9 punti.

 

  • Il secondo riguarda l’utilizzo massiccio di piattaforme social come You-Tube, Facebook, Instagram e Twitter; dopo aver creato migliaia di falsi profili (trolls) su tutte le piattaforme, gli hacker russi della Internet Research Agency (intelligence militare) avviarono una campagna contro la Clinton e a favore di Trump, costruendo ed alimentando dibattiti aperti sui temi della campagna elettorale dei due candidati, e creando false pubblicità politiche per danneggiare la Clinton

 

  • Il terzo riguarda i numerosi contatti dello staff di Trump e dei familiari con esponenti russi vicini a Putin. Incontri che si sono susseguiti numerosi durante tutta la campagna elettorale. Ma, come sappiamo, tali incontri non sono stati considerati prova evidente di una collusione fra lo staff presidenziale e Trump stesso con Mosca. Almeno queste sono le conclusioni del rapporto del procuratore speciale Robert Muller a fine indagine poco più di un mese fa. Vero è che l’indagine ha fatto comunque parecchie vittime, tra cui l’avvocato di Trump Michael Cohen, l’ex capo del comitato elettorale Paul Manafort, l’ex consigliere per la sicurezza nazionale Michael Flynn, tutti arrestati, alla fine con accuse che riguardano reati finanziari.

 

Lo scandalo Russiagate ha coinvolto e travolto anche Cambridge Analytica, già altre volte nell’occhio del ciclone per uso improprio di dati personali online. Partiamo dall’inizio. Cambridge Analytica è una azienda di analisi e consulenza fondata nel 2013 da un miliardario ultraconservatore e sostenitore di Trump, tale Robert Mercer, e da Stephen Bannon, ex consigliere di Trump in campagna elettorale. L’azienda raccoglie ingenti quantità di dati personali sul web (i big data), in particolare ma non esclusivamente sui social network, e li analizza utilizzando algoritmi secondo modelli psicometrici, riuscendo ad ottenere i profili psicologici degli utenti. Nel caso specifico, l’azienda è finita sotto accusa per aver raccolto indebitamente i dati di 50 milioni di utenti americani attraverso un’app creata per Facebook dal ricercatore Alexandr Kogan nel 2014 che permetteva l’accesso anche ai dati di tutte le persone connesse con gli utenti che avevano scaricato quell’applicazione. Kogan avrebbe poi passato i dati a Cambridge Analytica che, attraverso il sistema di microtargeting comportamentale sviluppato da Michal Kosinski, avrebbe poi manipolato le preferenze degli utenti per indurli a votare Trump nelle elezioni del 2016. Oltre a questo ci sono illazioni su presunti contatti fra i dirigenti dell’azienda ed esponenti russi. Infine, Damian Collins, un parlamentare britannico che sta conducendo un’inchiesta parlamentare su presunte manipolazioni di Cambridge Analytica relativamente al referendum sulla Brexit, ha dichiarato che sono emerse prove che la Russia ed altri Paesi stranieri hanno avuto accesso ai dati dei 50 milioni di utenti Facebook raccolti dall’azienda.

 

Come possiamo notare, rispetto alla campagna elettorale di Obama, la politica e la manipolazione della politica e degli utenti online è diventata cosa seria e complessa da analizzare. Al di là delle conclusioni del rapporto Muller, che in realtà non fa piena luce sulla questione della connivenza tra Trump, il suo staff e Mosca ma in compenso certifica l’ingerenza della Russia nella politica americana, si può comunque trarre qualche conclusione.

 

In una campagna politica condotta attraverso i nuovi mezzi di comunicazione che passano tutti attraverso la rete, emergono elementi che proprio dalle caratteristiche dello spazio cibernetico possono portare ad effetti positivi o negativi per le nostre democrazie. Abbiamo nominato l’informazione. Nell’era del web, l’informazione è diventata più rapida, più concisa, maggiormente disponibile, gratuita o quasi e disponibile in grande quantità senza filtri. E l’informazione è uno dei capisaldi di un regime democratico: pluralista e libera. Tuttavia la rete si presta, come abbiamo visto a manipolazioni di ogni genere e nel mare di news e fake news da cui siamo quotidianamente bombardati, risulta difficile, talvolta anche per i professionisti, riuscire a distinguere l’informazione dalla disinformazione. E la disinformazione è alla base della propaganda. Su questo è bene aprire una breve parentesi. La propaganda si divide in 3 categorie, come forse già sapete: bianca, grigia e nera. La propaganda bianca è ammessa nei regimi democratici, la fonte è certa e riconosciuta; le altre due categorie sono invece tipicamente usate nei regimi autoritari: la grigia riguarda l’incertezza della fonte, mentre si parla di propaganda nera quando la fonte si nasconde sotto falso nome. La propaganda nera, come abbiamo visto utilizza la disinformazione per screditare il nemico (troll russi). Le elezioni presidenziali americane del 2016 sono state caratterizzate da una informazione soffocata dalla comunicazione fatta da propaganda bianca, grigia e nera.

 

Abbiamo assistito anche alla manipolazione dei dati degli elettori – che sul web diventano utenti. Su di essi è stata messa in piedi una vera e propria campagna PsyOps volta a influenzare le decisioni di voto. Cambridge Analytica ha individuato nel target audience (gli utenti di Facebook e di altri social) le criticità (cioè le preferenze, lo stile di vita, le relazioni sociali con altri, il livello culturale, addirittura lo stato di salute) e poi ha elaborato una campagna di comunicazione mirata a ciascun utente in modo da agire su quelle criticità per influenzarne il voto. Il PsyOps non è cosa nuova, veniva utilizzata anche durante la Seconda Guerra mondiale con altri mezzi di comunicazione, così come viene utilizzata all’estero da molti eserciti, incluso il nostro. In questo caso, però, non risponde a esigenze di tipo militare ed è rivolto ad una democrazia occidentale evoluta, quindi attraverso le nuove tecnologie.

 

Si può dunque tornare alle questioni poste in partenza. Nelle società evolute, quasi tutte a regime democratico, l’iperconnessione della popolazione sempre più condizionata dalla vita online favorisce la diffusione della disinformazione e della propaganda a discapito dell’informazione obiettiva e trasparente. Uno studio dell’MIT rivela che le fake news, le informazioni false, raggiungono gli utenti sei volte più velocemente delle notizie vere. Lo studio, che si è concentrato su Twitter, ha anche rivelato che le notizie false hanno il 70% di probabilità in più di essere ri-twittate. E sono ben 70 milioni gli account di Twitter sospesi tra maggio e giugno del 2018 perché sospettati di diffondere disinformazione.

 

Allora se consideriamo che la corretta informazione è alla base di un buon sistema democratico a cominciare dalla scelta che facciamo quando andiamo a votare, è chiaro che i dibattiti politici aperti a tutti – oltre che ad inasprire i toni e a diffondere anche la cultura dell’odio, grazie all’anonimato che la rete garantisce – rischiano di danneggiare più che aiutare la democrazia. È inoltre chiaro che la manipolazione delle preferenze degli elettori non può non essere visto come un secondo elemento di rischio per i principi democratici, in particolar modo per la libertà di decidere, in una elezione o in un referendum (vedi anche il caso Brexit, per il quale è sotto accusa – ancora – Cambridge Analytica). C’è anche da fare un brevissimo accenno al voto elettronico. Le generazioni più giovani, che sembrano perfettamente integrate nel mondo virtuale, sono quelle che ricorrono al voto elettronico con maggiore insistenza, anch’esso manipolabile nonostante l’innalzamento della sicurezza informatica in Paesi dove è largamente diffuso. Alcuni studi in proposito hanno evidenziato come la maggior parte di coloro che votano elettronicamente, non sarebbero andati a votare se avessero dovuto farlo secondo il sistema tradizionale di recarsi alle urne. È facile dunque prevedere che un giorno il voto elettronico sarà il sistema di voto più diffuso in assoluto, con i rischi di cui si è appena accennato.

 

Nell’era di internet, i risultati delle elezioni possono essere distorti da disinformazione, propaganda, manipolazione dei voti e delle preferenze dei cittadini. Torniamo alla domanda: la democrazia online è vera democrazia? Indubbiamente i rischi per le elezioni ci sono e si fanno più forti via via che la politica diventa più informatizzata. E le elezioni sono uno dei cardini della democrazia stessa. Come sottolineavano già Linz e Stepan nel 1996, le elezioni sono un elemento essenziale, anche se non sufficiente, per fare di un Paese una democrazia. Non sufficiente ma essenziale significa che se le elezioni sono state manipolate tramite internet, allora il dubbio che la democrazia online possa essere vera democrazia è più che lecito.

 

Internet e i social media hanno dunque un impatto significativo in politica. Del resto questo lo si può evidenziare, da altri punti di vista, anche in Italia. Qui da noi siamo ancora indietro sullo sviluppo di campagne politiche online vere e proprie, ma non si può escludere tout court l’ingerenza e la manipolazione delle notizie politiche. Del resto anche un partito come il Movimento 5 Stelle ha propagandato il proprio sistema di votazione “democratica” online per tutti gli iscritti, che favorisce, secondo i suoi leader la più ampia partecipazione possibile. Ma anche in questo caso, ci sono dubbi che le piattaforme usate dal Movimento siano vulnerabili a manipolazione dei risultati.

 

Se da una parte è indubbio che la rete favorisca la più ampia partecipazione possibile e in casi di regimi autoritari possa costituire l’unico strumento che dà voce alle opposizioni perseguitate, e quindi può assumere un ruolo significativo nel processo di abbattimento di dittature e transizione verso regimi più liberali, dall’altra si cominciano ad intravedere le storture del mondo virtuale che per la sua natura non è facile da controllare nelle sue deviazioni nei Paesi democratici. Il caso Russiagate e Cambridge Analytica mette, infine, in luce che la rete può anche destabilizzare il sistema democratico in genere. L’elezione di Trump alla presidenza, infatti, non chiude la vicenda. Anzi, gli strascichi stanno aumentando le frizioni interne e polarizzando lo scontro fra la Presidenza stessa e i democratici. Le conclusioni dell’inchiesta del Procuratore Speciale Muller sono delle “non conclusioni”: le prove raccolte non sono sufficienti a dimostrare né la collusione, né l’ostruzione alla giustizia, anche se si evidenziano “comportamenti impropri ed inopportuni del Presidente”. Inoltre, il Congresso ancora non ha ricevuto il rapporto Muller nella versione integrale, ma ha dovuto accontentarsi, si fa per dire, del sunto fornito dal Procuratore Generale William Barr, uomo vicino a Trump, che sembra aver voluto mettere la parola fine al caso blindando la Presidenza. Vi è infatti il rischio che Barr decida di consegnare il Rapporto alla Casa Bianca prima di darlo al Congresso. In questo caso, Trump può esercitare il privilegio presidenziale di poter censurare alcune parti. Ed è su questo punto che i democratici stanno facendo battaglia.

 

È evidente l’effetto destabilizzante che il caso ha avuto e sta avendo su questo Esecutivo e in generale sulle principali istituzioni democratiche, in particolare su quella rappresentativa per eccellenza: il Congresso, che rischia di vedersi cancellare il potere di controllo sull’Esecutivo, con buona pace del sistema di check & balance. Infine, comunque vada, la vicenda ha gettato un’ombra di sospetto su questa amministrazione e creato un clima di diffidenza e sfiducia nel sistema stesso.

 

Quella che chiamiamo democrazia online non garantisce in realtà che non vengano intaccati i core principles della democrazia stessa. E ritengo anche che i suoi effetti non siano stati ancora valutati appieno. Cosa che avverrà presto, lo vedremo alle prossime elezioni: quella sfiducia e diffidenza che nel 2016 ancora non esistevano si andranno ad aggiungere agli altri elementi che potranno condizionare l’umore e la decisione di voto molto più di un programma elettorale.

 

NOTE

[1] Tratto da una lezione tenuta presso l’Università di Firenze il 17 maggio 2019

 

LA REALPOLITIK AI TEMPI DEL MONDO VIRTUALE

di Serena Lisi

 

Nel mese di maggio 2019, a seguito delle politiche restrittive annunciate dal Presidente americano Trump in materia di import-export di greggio, l’Iran ha comunicato l’intenzione di recedere da alcuni degli accordi in mateira di produzioe di energia ed armamenti nucleari siglati nel 2015, al tempo della Presidenza di Obama, con Stati Uniti, Regno Unito, Unione Europea, Francia, Germania e Cina. Da allora, è iniziato un vero e proprio braccio di ferro tra Washington e Teheran, culminato con reciproche accuse a proposito dell’attacco di metà maggio a quattro petroliere saudite, seguito da ulteriori incursioni su pipelines e – di nuovo – navi per il trasporto di greggio e affini.

 

Gli attacchi sono stati condotti sia con mezzi tradizionali che con mezzi cyber, in particolare con droni.  Molte testate italiane ed europee hanno inizialmente riportato la notizia di tali attacchi come possibile ricerca di un casus belli da parte degli Stati Uniti, che continuano a richiedere più decisive prese di posizione da parte del Consiglio di Sicurezza dell’ONU, nonché ad annunciare l’intenzione di intervenire con la forza armata nel caso in cui l’Iran non ottemperi agli impegni sul disarmo nucleare già sanciti dagli accordi del 2015, che il Presidente Trump ritiene essere stati violati dall’Iran già dal 2018, periodo in cui egli propose la politica punitiva di austerity su import-export di greggio. Infatti, a metà giugno 2019, Trump aveva annunciato una incursione aerea, che oggi risulta sospesa con una postilla dello stesso Presidente, il quale ha dichiarato che essa non è revocata ma, appunto, sospesa.

 

Questo susseguirsi di eventi riconduce, in un certo qual modo, a retaggi culturali della Prima Guerra del Golfo, nota per l’intervento in Iraq e la fulminea operazione Desert Storm, compiutasi in 100 ore, ma i cui effetti sono durati trent’anni. Anche in quel caso, il riferimento alla cosiddetta dottrina Carter era chiaro: ogni attacco agli interessi economici degli Stati Uniti (anche allora riguardanti l’import-export di petrolio), sarebbe stato considerato alla stregua di un attacco armato e come tale sarebbe stato trattato con il ricorso ad ogni mezzo, compresa la forza armata.

 

Ulteriori retaggi culturali riconducono, invece, alla Seconda Guerra del Golfo, iniziata a seguito di una ispezione dell’ONU volta ad accertare la presenza di armi di distruzione di massa in Iraq; gli esiti di tale ispezione non sono, ancora oggi, del tutto chiari ed hanno sempre lasciato molti interrogativi su ragioni e modalità dell’intervento del 2003, forse inevitabile, ma che sicuramente si sarebbe potuto gestire con maggior lungimiranza.

 

Se i casi citati sono complessi, la situazione attuale lo è ancora di più. Pochi giorni dopo l’annunciata sospensione dell’incursione aerea, infatti, le più illustri testate statunitensi, tra le quali il New York Times e il Washington Post hanno riportato la notizia di attacchi cyber ordinati dal Presidente Trump in persona e compiuti dallo US Cyber Command a scopo di rappresaglia ai danni delle centrali di comando di missili e droni iraniani, nocche di un gruppo di intelligence iraniano ritenuto responsabile della localizzazione delle petroliere e pipeline poi colpite dalle incursioni dell’ultimo mese.

 

La prima riflessione, in questo caso, riguarda il termine “guerra” spesso usato con leggerezza dalla stampa nazionale ed estera. Se nella dimensione sociologica e psicologica, spesso, i termini “guerra” e “conflitto” sono sinonimi, non è così nel diritto internazionale e nelle relazioni internazionali: il termine “guerra” può essere usato se almeno uno degli attori in campo è uno Stato e, soprattutto, se è presente una dichiarazione, ben riconoscibile e riconducibile ad una precisa ed ufficiale attribuzione. Non è un caso che, già nel 2007, ai tempi del famigerato attacco con DDoS (Distributed Denial of Services) in Estonia non si sia infine applicato l’articolo 5 del Patto Atlantico (mutua difesa in caso di attacco armato) per la difficoltà di attribuzione dell’attacco stesso. Anche nel caso Iran-USA, pur con le dovute differenze, le difficoltà di attribuzione rimangono: siamo, infatti, di fronte all’ennesimo casus belli in cui due contendenti attribuiscono illeciti alla parte avversa senza assumersi l’onere della prova e senza aver dimostrato concretamente i loro pur ragionevoli dubbi. Quanto alla dichiarazione di guerra, inoltre, a poco valgono notizie – più ufficiose che ufficiali – senza una data certa pur se riportate da eminenti testate giornalistiche. Come già dal 1991 afferma Martin Levi Van Creveld, siamo di fronte ad una “rivoluzione degli affari militari”, in cui la tricotomia clausewitziana della guerra (governo, esercito, popolo) – e più in generale dei conflitti armati – è superata, per far spazio a nuovi tipi di contrapposizione, a loro volta sempre più lontani dalla classificazione dei Protocolli aggiuntivi alle Convenzioni di Ginevra (1977), che trattano di conflitti armati internazionali e non internazionali.

 

Alla luce di ciò, è bene fare una riflessione anche a proposito dell’espressione “conflitto armato”. Se, infatti, è innegabile che tra Iran e Stati Uniti si sia innescata una forte escalation della conflittualità, è opportuno trattare il termine “armato” con sensibilità e responsabilità: si pensi solo al fatto che molte delle traduzioni ufficiali dell’art. 51 della carta dell’ONU, a proposito di self-defense, parlano della possibilità di ricorrere alla cosiddetta legittima difesa nel caso in cui uno Stato sia vittima di un attacco armato. Il classificare gli strumenti cyber come arma tout court matterebbe in discussione tutta una serie di impianti giuridici (e non solo) riguardanti la legittima difesa e l’intervento preventivo. Se nel mondo reale è difficile giudicare se la minaccia sia imminente (il che autorizzerebbe l’uso della forza armata) o meno, nel mondo cyber, fatto di soundbyte, questo è ancor più aleatorio. Così come è aleatorio parlare di first e second strike, nonché di rappresaglia. Ciò che invece è reale e ben tangibile in questo caso è un’altra dimensione della conflittualità: nelle più accreditate teorie delle Relazioni Internazionali, si afferma che, per parlare di guerra, gli attori in campo debbano essere mossi da regioni di realpolitik, ossia da elementi riconducibili a ciò che un tempo veniva chiamato “interesse nazionale” e che oggi spesso non viene nominato per political correctness. In questo caso, è innegabile che le ragioni di realpolitik ci siano e che la contesa in corso si possa configurare come ciò che Libicki, ormai 15 anni fa, aveva definito Information Warfare, una guerra delle informazioni e delle notizie, di cui la cyber warfare  è solo una (pur di crescente importanza) componente.

LE COMPETENZE DIGITALI DA UNA PROSPETTIVA CULTURALE

di Cristiano Galli

 

Il tema dello sviluppo delle competenze digitali è ormai un “hot topic” per le organizzazioni moderne che mirano ad ottenere e mantenere un costante vantaggio competitivo, siano esse organizzazioni profit, non profit o governative.

 

Anche l’European Commission’s science and knowledge service ha sviluppato il Digital Competence Framework 2.0 nel quale sono identificate cinque aree e ventuno competenze riguardanti la capacità di processare dati ed informazioni (information and data literacy), la capacità di comunicare e collaborare utilizzando le tecnologie digitali (communication and collaboration), la capacità di creare contenuti digitali mantenendo la consapevolezza dei relativi copyright (digital content creation), la capacità di garantire la protezione fisica dei propri dispositivi, della propria identità digitale e dei contenuti personali ed organizzativi (safety) e la capacità di esercitare un’efficace azione decisionale e di problem solving nell’ambito della dimensione digitale (problem solving).

 

Digital Competence Framework 2.0

 

Questo approfondito risultato di ricerca della Commissione Europea si affianca ad altri altrettanto validi modelli di competenze digitali, accomunati da un approccio orientato ai cosiddetti hard skills o capacità tecnico professionali che possono essere collegate direttamente a comportamenti osservabili. Poco ancora si è scritto e ricercato nel merito delle soft skills ossia quelle competenze trasversali che abilitino le persone ad operare efficacemente all’interno di una struttura organizzativa 4.0.

 

Tutti i processi di digitalizzazione organizzativa si sono finora confrontati con lo scoglio culturale. Il vero problema della digitalizzazione nelle organizzazioni non è nell’implementazione di nuove tecnologie e processi organizzativi, bensì nella scarsa disposizione culturale dell’elemento umano che rimane comunque al centro dei processi produttivi. La criticità riguarda, in egual misura, il personale esecutivo e la leadership.

 

Seguendo il modello di cultura organizzativa di Edgar Schein, per rendere efficace un processo di digitalizzazione organizzativa, l’iceberg culturale deve subire una profonda e radicale trasformazione. Dalla parte visibile degli artefatti (artefacts) a quella sommersa dei valori (values) e degli assunti di base (basic assumptions), è necessaria una vera e propria rivoluzione che abiliti le potenzialità offerte dalla tecnologia.

Edgar Schein Cultural Iceberg

 

Il primo elemento caratterizzante della cultura digitale riguarda l’agilità mentale del personale. Lo tsunami informativo che travolge l’organizzazione ogni giorno deve essere processato in maniera collettiva e devono essere creati gli strumenti e le opportunità per permettere al flusso informativo di transitare all’interno dell’organizzazione nel minor tempo possibile e trasversalmente alla struttura gerarchico funzionale. Ne deriva così il secondo elemento caratterizzante; la necessità di rivedere le strutture gerarchico funzionali in strutture reticolari. La gerarchia è un fattore inibitorio dello sviluppo della cultura digitale. Questo è sicuramente un grosso problema per le strutture governative di natura militare che trovano nell’elemento gerarchico uno dei propri valori se non addirittura un assunto di base. Ciononostante le organizzazioni militari dovranno comunque affrontare questo dilemma promuovendo dinamiche relazionali che permettano un’esecuzione di ordini decentralizzata e sempre più autonoma. Nel merito si è espresso significativamente il Generale Mark Milley quando ha dichiarato che per essere rilevanti nei conflitti moderni i soldati dovranno sviluppare la capacità di esercitare quella che ha definito “disciplined disobedience”, ossia “disobbedienza disciplinata”.

 

Il termine, apparentemente un ossimoro, contiene invece un concetto profondo e rivoluzionario. Per massimizzare gli effetti generati dalla digitalizzazione, ogni elemento dell’organizzazione deve poter operare con un confine ampio di autonomia che sia però riconducibile all’interno di un framework prevedibile di potenziali e probabili azioni e conseguenze. Ogni elemento deve quindi poter affrontare le situazioni dinamiche ed impreviste che gli si presentano avendo un’idea generale del “perché” organizzativo entro il quale conformare i propri pensieri ed azioni, sapendo comunque di poter, anzi a volte dover, sbagliare.

 

Ecco quindi un altro elemento caratterizzante della cultura digitale, la consapevolezza della necessità di sbagliare per risolvere problemi innovativi. Nei processi strutturati di natura tayloristica l’errore era ed è tuttora un problema, perché i processi tayloristici hanno come obiettivo finale l’efficienza del sistema. La cultura digitale deve invece promuovere processi costantemente innovativi che richiedono un approccio mirato all’efficacia e non all’efficienza.

 

Da questo deriva anche un altro elemento caratterizzante della cultura digitale; i processi di decision making. A differenza di quanto avviene nelle strutture organizzative classiche, nelle organizzazioni 4.0 i processi decisionali devono seguire processi di condivisione. Non vale più il vecchio adagio “tanto poi decide il capo perché ha lui la responsabilità”. Le decisioni devono essere prese sfruttando l’intelligenza collettiva e generare scelte condivise che possano poi essere “messe a terra” dalla comunità lavorativa. Allo stesso modo il concetto di responsabilità è superato in un più ampio e condivisibile concetto di accountability o senso di proprietà del proprio ruolo e delle proprie decisioni.

 

Ultimo, ma non in senso di importanza, elemento caratterizzante della cultura digitale è il senso di cooperazione e collaborazione che deve pervadere tutto il personale dell’organizzazione. Solamente sentendosi parte di un tutto organizzativo nel quale l’altro è sentito come elemento collaborativo e non solo competitivo l’elemento umano delle organizzazioni 4.0 può dare il miglio contributo nel rendere la realtà digitale veramente efficace.

IL CASO EXODUS: UNO STRUMENTO PER LA GIUSTIZIA SFUGGITO DI MANO

di Serena Lisi

 

Da alcuni mesi, media e siti specializzati in materia cyber riportano notizie a proposito del malware Exodus e del suo potenziale dannoso nei confronti della privacy degli utenti del sistema Android e, più in generale, dei cittadini connessi in rete. Il malware, a detta di molti creato da un ente governativo italiano per eseguire legalmente intercettazioni informatiche, è stato diffuso in rete sul cosiddetto app store, ossia sullo spazio virtuale da cui gli utenti possono scaricare le app da installare sul proprio dispositivo mobile.

 

Secondo un report di Security Without Borders, una ONG specializzata in tematiche cyber, Exodus riesce ad ottenere i dati dei soggetti sotto osservazione nel momento in cui costoro utilizzano alcune particolari applicazioni che funzionano da backdoor, ossia da accesso di servizio. Si tratta di accessi particolarmente insidiosi perché restano – come si dice in gergo tecnico – aperti e connessi alla rete wi-fi a cui si è connesso il dispositivo infetto, creando rischi anche per soggetti terzi: non a caso tra le capacità specifiche di Exodus c’è quella di registrare e memorizzare password di accesso alle reti private, oltreché log (serie di comandi operativi e registrazioni) e messaggi (anche cifrati) di applicazioni quali Viber Messenger, Telegram e Whatsapp, quest’ultimo vulnerabile anche per ciò che riguarda file e immagini scambiate, che finiscono di default in cartelle facilmente aggredibili, come ad esempio la galleria immagini.  Il malware sarebbe inoltre in grado di leggere il codice IMEI di cellulari ed altri device simili e, tramite questo, identificare univocamente ed associare le informazioni agli utenti. 

 

Ulteriore peculiarità di Exodus è che esso si attiva in due fasi e per mezzo di due diversi service pack, Exodus1 e Exodus2. Il primo pacchetto traccia il dispositivo colpito, lo identifica ed eventualmente aggira i più comuni strumenti anti-tracciamento, come i fake-IMEI e fake-identity generators, ossia software che permettono all’utente di inserire informazioni usa e getta e verosimili – ma non autentiche – per compiere registrazioni necessarie per scaricare alcuni tipi di app. Il secondo pacchetto contiene il vero e proprio codice infetto, che apre le backdoor e procede con il rastrellamento di dati, ivi compresi quelli relativi a posizione, rubrica dei contatti e messaggi di testo.

 

Anche se ormai siamo abituati ad essere tracciati, profilati e, in un certo qual modo, osservati di continuo, la novità introdotta da Exodus è degna di nota, soprattutto se risultasse vera la già citata ipotesi riportata da Motherboard ed altri siti, secondo i quali la diffusione in rete sia servita a testarne l’efficacia per uso investigativo da parte di organi di Stato. Infatti, fino ad oggi, gli organi di Polizia Giudiziaria e tutti i soggetti con funzione investigativa hanno sempre avuto difficoltà a risalire a testi e conversazioni se non intercettati in tempo reale con apposito provvedimento del PM, che avrebbe dovuto autorizzare l’intercettazione per 15 o 40 giorni a seconda dei casi previsti dalla legge agli articoli 267 c.p.p. Exodus, invece, permette di raccogliere messaggi di testo, vocali e immagini presenti nel dispositivo intercettato anche qualora essi risalgano a periodi antecedenti, se non debitamente cancellati dall’utente, operando come “captatore informatico”, il cui uso è previsto dalla nuova normativa in materia di intercettazioni, introdotta con il Decreto legislativo 29 dicembre 2017, n. 216. Disposizioni in materia di intercettazioni di conversazioni o comunicazioni, in attuazione della delega di cui all’articolo 1, commi 82, 83 e 84, lettere a), b), c), d) ed e), della legge 23 giugno 2017, n. 103, ove però non sono del tutto chiarite le questioni riguardanti il limite temporale e le modalità di uso del nuovo strumento di raccolta dati.

 

A prescindere dal reale scopo per cui Exodus è stato creato, è importante segnalare che esso è in circolazione da ormai più di due anni e che può aver raccolto una enorme quantità di dati, anche se le app che lo nascondevano sono state rimosse dagli store a fine 2018. Fino ad oggi, sono state contate circa 25 applicazioni contenenti il malware: fanno tutte riferimento a fantomatiche offerte di assistenza, promozioni, sconti e promesse di irreali vantaggi per utenti a caccia di novità ed agevolazioni. La diffusione è stata silenziosa ma virale, sia a causa della già citata attivazione in due fasi, sia perché la schedatura di Exodus nelle library degli antivirus, finanche di quelli più comuni. Tale diffusione, oltre che a ledere la privacy di alcuni ignari utenti, ha creato danni economici per alcuni soggetti ed ingenti guadagni per altri poiché, come è noto, il tempo è denaro, sia nel mondo reale, che in quello cyber, fatto di soundbyte e screenshot.

DAI SOUNDBYTE ALLE E-MAIL POSTICIPATE, RISVOLTI NELLA NORMATIVA ITALIANA

di Serena Lisi

 

Nel mese di aprile 2019, alcuni provider di servizi di posta elettronica, come ad esempio Gmail, hanno annunciato che, da oggi in poi, sarà possibile inviare messaggi dilazionati nel tempo, programmandone la consegna pochi minuti o anni dopo, senza più dover ricorrere ad apposite applicazioni, come ad esempio LetterMeLater o FutureMe, poco note e caratterizzate da diversi limiti d’impiego e capienza. Gmail, ad esempio, ha annunciato che potrà posticipare le proprie e-mail fino a cinquant’anni e senza bisogno di avere a disposizione una connessione attiva al momento dell’invio precedentemente programmato.

 

La nuova funzionalità avrà certamente aspetti utili nella vita quotidiana – lavorativa e privata –  di utenti senza particolari pretese, che vedono il provider di posta come un semplice mezzo per la diffusione di comunicazioni e file. Tuttavia, questa semplice novità cambierà radicalmente alcuni aspetti del già complesso universo della comunicazione digitale. Quasi certamente, un particolare impatto verrà riscontrato in ambito investigativo e giudiziario.

 

Paesi come l’Italia già risentono della nuova normativa in materia di intercettazioni: il Decreto legislativo 29 dicembre 2017, n. 216 e la recente regolazione in materia di prova digitale ed investigazioni su reati finanziari e di evasione fiscale (Circolare 1/2018 della Guardia di Finanzia). In questi due testi, che riepilogano alcune disposizioni contenute nel framework comune europeo a proposito di cybercrime e che vanno a completare il disposto della legge 48/2008 (sempre sui crimini informatici), vengono introdotti concetti nuovi quali quello di catena di custodia della prova digitale e di captatore informatico atto a procurare dati concorrenti alla formazione della prova in sede di dibattimento. Con “catena di custodia delle prove digitali” si intende quell’insieme di operazioni svolte con procedura standard da personale qualificato ed atte a reperire e conservare adeguatamente e senza alterazione i dati e metadati (dati a proposito dei dati) digitali utili per la formazione di una prova in sede di dibattimento. Con l’espressione “captatore informatico” si intende, invece, uno strumento che riesca a carpire ed intercettare dati e file contenuti e scambiati dal dispositivo di un utente posto sotto controllo giudiziari, in breve “intercettato”.

 

È facile comprendere che la possibilità di posticipare una comunicazione, potenzialmente corposa e ricca di allegati come una e-mail, costituisce un vero e proprio punto di svolta sia in sede di investigazioni che di dibattito (quindi di formazione della prova durante il dibattito), soprattutto in materia penale o di prevenzione di crimini ed atti di terrorismo. La semplice programmazione di una comunicazione in uscita, infatti, non costituisce di per sé la prova inconfutabile che tale comunicazione partirà, poiché essa potrebbe essere cancellata o cambiata prima dell’invio medesimo.

 

Allo stesso modo, il già difficoltoso tracciamento di un simile tipo di comunicazione risulterà ancor più complesso. Già prima dell’avvento di questo noto tipo di funzione, il tracciamento di una comunicazione a fini investigativi e probatori richiedeva cura ed attenzione dal punto di vista metodologico: tecnicamente è abbastanza facile o comunque non impossibile, per un addetto ai lavori, risalire all’IP (Internet Protocol address) al quale un certo dispositivo si connette per operare, eppure, nella storia di molte investigazioni e molti processi recenti, tale passaggio viene sottovalutato o tralasciato, concentrandosi piuttosto sul mero contenuto delle informazioni ricavate dall’accesso alla corrispondenza e ai file elettronici presi in esame.

 

Oggi, a questo tipo di onere metodologico, si aggiunge una problematica di tipo materiale. Con la possibilità di inviare comunicazioni dilazionate nel tempo, in alcuni casi, gli accertamenti necessari per stabilire informazioni fondamentali come il posizionamento degli attori di un certo evento – in particolare di coloro che sono sospettati di illecito/crimine – potrebbero diventare automaticamente accertamenti tecnici irripetibili ex art. 360 bis c.p.p. Si pensi, ad esempio, al caso di un soggetto indagato in un futuro prossimo, che abbia inviato oggi una e-mail dal proprio computer da un determinato luogo programmandone la consegna a distanza di quattro anni. Se si volesse incrociare questo tipo di informazioni con altre, come ad esempio il tracciamento di una telefonata eseguita con il cellulare o qualsiasi altro dispositivo di telefonia “classica”, non si potrebbe fare, poiché i tabulati di questo genere di comunicazioni (telefonate di rete mobile e fissa, SMS) sono ad oggi disponibili solo con una retroattività di due anni. Per dare un’immagine concreta di quanto teorizzato, se un soggetto che svolge un’indagine dovesse confrontare le informazioni riguardanti l’invio di una mail o file la cui consegna è programmata oggi per il 2025, non avrebbe a disposizione quelle di analoghi tabulati telefonici antecedenti al 2023 perché, almeno ad oggi, le compagnie telefoniche italiane (ed europee) non li conservano.

 

Questo è un semplice esempio di come l’evoluzione tecnologica spesso preceda sia l’evoluzione della normativa che delle strategie per l’implementazione delle politiche di promozione di spazi di giustizia e sicurezza comune (per parafrasare un’espressione cara ai promotori di Trattati dell’Unione Europea quali quello di Lisbona del 2007). È un trend sempre esistito nella storia della politica e delle relazioni internazionali, ma è divenuto esponenziale con l’avvento della cosiddetta quinta dimensione, quella cyber, in cui le comunicazioni viaggiano a velocità-lampo sia nel tempo che nello spazio, in pieno rispetto degli enunciati della (allora) futuristica teoria della relatività di Einstein.

 

In breve, ci troviamo di fronte ad una sorta di paradosso della modernità, in cui i futuribili influenzano il passato, così come teorizzato da Fantappiè a proposito di fenomeni sintropici ed entropici o da Lorenz nel suo discorso sugli attrattori strani e l’evoluzione di un sistema dinamico verso un determinato equilibrio. Di fronte a questa nuova realtà sarà, ancor più di prima, importante garantire ad ampio spettro l’adozione di standard operativi e di formazione del personale che consentano il corretto uso di strumenti nuovi e ricchi di potenzialità quali i captatori informatici, nonché la conoscenza e l’adozione sistematica (e non sporadica o settoriale) della catena di custodia dei dati digitali, anche prima che essi diventino materiale di interesse per organi inquirenti, requirenti e autorità di polizia giudiziaria e pubblica sicurezza.

RISCHI E PERICOLI DELLE PIATTAFORME DI INTERNET

di Cristiana Era

 

Con oltre due miliardi di utenti Facebook è tra le piattaforme di internet più note ed utilizzate a livello mondiale. Il suo stesso successo, dopo il lancio del 2004, ha contribuito in modo determinante all’espansione dei social network, social media e di altre piattaforme, oltre che all’affermarsi di un modello imprenditoriale indirizzato verso algoritmi sempre più mirati ad individuare le caratteristiche e le preferenze dei singoli utenti, personalizzando i contenuti. Ad oggi, 8 persone su 10 sono costantemente collegate ai vari tipi di piattaforme sociali: Whatsapp, Messenger, Twitter, Instagram, WeChat, Qzone, Weibo, solo per menzionarne alcune.

 

La loro larga diffusione e l’assenza di qualsivoglia controllo su profili, collegamenti e post non potevano non portare con il tempo anche ad effetti indesiderati che hanno aperto un dibattito ed un confronto tra i sostenitori ad oltranza e i critici che mettono in guardia sui pericoli non solo per la privacy e la sicurezza informatica, ma per la democrazia stessa. A sostegno di questi ultimi, una serie di scandali che hanno coinvolto Facebook, Twitter e Instagram in maniera continuativa a partire dal 2016, l’anno delle elezioni presidenziali americane influenzate dai troll russi con la creazione di falsi profili (i fake accounts) sulle piattaforme di internet e riconducibili ad agenzie governative di Mosca per manipolare l’opinione pubblica in rete e quindi il voto. Le ripercussioni del Russiagate, ancora oggi ampiamente dibattuto a livello politico, legale e mediatico, hanno spinto – com’era ovvio – le agenzie di intelligence americane ad aumentare i controlli, e lo hanno fatto soprattutto con l’approssimarsi delle elezioni amministrative di mid-term del 2018.

 

Sotto accusa è finita anche la nuova strategia di web marketing denominata “growth hacking” e basata su combinazioni di tecniche di marketing ed informatica. Termine coniato da Sean Ellis nel 2010, il growth hacking è stato ed è tuttora largamente utilizzato da startups e social network. Facebook è ricorsa al growth hacking, ed in effetti negli ultimi anni l’azienda ha visto una crescita esponenziale della raccolta pubblicitaria che ha largamente superato i 50 miliardi di dollari e si accinge a raggiungere anche la soglia dei 60 miliardi. Ma il prezzo da pagare di questo modello imprenditoriale è anche molto alto. Poiché il fine ultimo di questa strategia è la crescita esponenziale del prodotto – virtuale o meno – non esistono altri parametri di riferimento quali codici etici che la possano in qualche modo rallentare o anche solo diminuire.

 

Non è una esagerazione affermare che le piattaforme di internet, per la loro diffusione e radicalizzazione, sono in grado di destabilizzare e rimodellare intere strutture politiche e sociali. Gli allarmi che riguardano, ad esempio, i processi democratici non possono essere circoscritti alle campagne elettorali online poiché, com’è noto, le libere elezioni sono un elemento portante ma di per sé non sufficiente di qualsivoglia democrazia. Alla base di questa, infatti, vi deve essere necessariamente anche una libera informazione. E se è indubbio che internet abbia reso l’informazione alla portata di tutti e consentito alla voce dei media liberi di farsi sentire abbattendo i muri della censura di taluni regimi autoritari, è altrettanto vero che l’informazione è sempre più soffocata dalla disinformazione, soprattutto se radicale, alimentata dagli algoritmi delle piattaforme che mirano a polarizzare i gruppi sulla rete. Come quasi sempre avviene, le chat di persone con opinioni, esperienze e preferenze simili sono estremamente attive, accrescono il traffico di dati e gli spazi pubblicitari ma al contempo frenano, quando addirittura non impediscono, qualunque forma di dissenso e in taluni casi alimentano i cosiddetti hate speech, con opinioni, non fatti.

 

Altro aspetto determinante è quello della privacy, che in rete è sistematicamente violata. Al di là del recente caso di Cambridge Analytica, che giusto un anno fa ha messo in forte imbarazzo i vertici di Facebook rivelando la raccolta irregolare da parte della società americana di dati di ben 87 milioni di utenti del social network che poco o nulla aveva fatto per impedire la violazione, molti altri scandali sull’uso improprio e sulla manipolazione di dati personali senza il consenso dei titolari hanno visto coinvolti i ben noti giganti del web: Amazon, Google, Netflix, Microsoft. E tuttavia, nonostante lo scalpore suscitato al momento dello scoppio dello scandalo, sembra che l’utente medio non sia in grado di capire la portata e la gravità di queste violazioni con enormi interessi economici in gioco. Tanto è vero che casi simili continuano a verificarsi con scarse conseguenze quanto alla responsabilità delle aziende del web.

 

Alcuni osservatori ed insider mettono in guardia anche sui dispositivi domestici intelligenti, quali Alexa e Google Home, con elevata capacità di raccolta dati non solo su preferenze dei consumatori, ma anche su stili di vita, cultura, abitudini. In pratica, quello che viene considerato un congegno di ultima generazione, sicuramente innovativo e divertente, può in pratica diventare una spia dentro casa, oltre a porre un serio interrogativo sulla sicurezza stessa di questi dispositivi quanto a capacità di essere hackerati e manipolati da terzi.

 

Come si cerca di ripetere da più parti, se non accompagnata da una conoscenza adeguata o consapevolezza di rischi e limiti da inserire, la tecnologia pensata per servire rischia invece di assoggettare. I segnali ci sono, spetterebbe ai legislatori regolamentare e al cittadino informarsi.

INTEROPERABILITÀ O GESTIONE FORZATA? I NOSTRI DATI ALL’INDOMANI DEL CASO CAMBRIDGE ANALYTICA

di Serena Lisi

 

Da alcuni giorni, il caso Cambridge Analytica è diventato un argomento largamente diffuso anche tra i non addetti ai lavori. Dietro a questo nome, si celano un’azienda di marketing ed il suo fondatore, un miliardario statunitense, il cui cognome, Mercer, evoca l’omnisciente (ed evanescente) figura che può riconoscere gli androidi a cui dare la caccia nel libro di P.K. Dick “Do Androids dream of electric sheep?”, da cui è stato tratto il celeberrimo film di R. Scott, “Blade Runner”.

 

Il caso si rivela complesso nella sua apparente banalità: pare che Cambridge Analytica abbia prelevato dati da Facebook in maniera scorretta e, in aggiunta, sia stata in stretto contatto – se non al servizio – di uno dei più importanti collaboratori del Presidente statunitense Trump durante la campagna del 2016. Si vocifera, infine, che la stessa società abbia avuto contatti con personaggi chiave della Federazione Russa e del Regno Unito, questi ultimi sostenitori della Brexit.

 

Come è noto, Cambridge Analytica vanta l’invenzione di un sistema psicometrico di microtargeting comportamentale, che utilizza i dati raccolti per “profilare” gli utenti e comprenderne a fondo gusti, preferenze, spostamenti (fisici e non), così da poter inviare loro proposte commerciali ed annunci pubblicitari personalizzati, commissionati da grandi aziende ed altri clienti. La particolarità del sistema sta nel fatto che esso sfrutta anche una sorta di software previsionale, evoluzione degli studi del ricercatore di Cambridge Michal Kosinski, capace di interpretare e valutare anticipatamente le reazioni emozionali, in aggiunta a quelle razionali, degli utenti profilati su Facebook. In più, la società dispone di big data ottenuti da altre compagnie, le cosiddette broker di dati, che fanno mininig su Facebook, scavando letteralmente nelle preferenze delle persone.

 

Nel caso in questione, molti dei dati aggiuntivi utilizzati da Cambridge Analytica sono stati ceduti in maniera illecita da un secondo ricercatore di Cambridge, Alexandr Kogan, che nel 2014 aveva realizzato – inizialmente solo per finalità di ricerca – una app denominata “thisisyourdigitallife”, alla quale molti users di Facebook si erano iscritti. Kogan aveva poi violato le condizioni d’uso cedendo le informazioni a terzi, ossia a Cambridge Analytica, con l’aggravante che, attraverso la app “thisisyourdigitallife”, era possibile accedere alle cosiddette reti di amici, contenenti ulteriori notizie sui soggetti profilati in origine. A seguito di proteste e, successivamente, dello scandalo stesso, Facebook ha imposto uno stretto giro di vite alla raccolta dei dati, ma ciò non è servito ad arginarne la fuoriuscita, dato che milioni di utenti erano ormai stati già profilati.

 

La vicenda ha dunque continuato ad avere un’alta risonanza mediatica, soprattutto in seguito alla notifica di una seconda notizia: a inizio marzo 2019, Mark Zuckerberg ha annunciato che Facebook, Whatsapp e Instagram saranno interoperabili e che gli utenti dei tre social networks potranno comunicare con i contatti facenti capo a tutti e tre i sistemi anche qualora siano iscritti solo ad uno di essi. Tale interazione potrebbe essere estesa, in futuro, persino a chi utilizzi soltanto gli sms dei cellulari. Secondo Zuckerberg, l’interoperabilità avverrebbe tramite sistemi sicuri e lo scambio di informazioni sarebbe interamente gestito dagli utenti, che potranno decidere se “unire” o tenere “separate” le app, nonché le informazioni in esse contenute.

 

Tralasciando i già grossi problemi tecnici ancora da risolvere, come ad esempio lo sblocco delle interazioni tra app e messaggistica su sistemi Linux/Ubuntu, che ad oggi non permettono commistione tra app vere e proprie e short messages, c’è da chiedersi se saranno davvero gli utenti a stabilire quali interazioni consentire e in che misura rendere possibile l’accesso ai propri dati. Basta pensare che una app come Whatsapp richiede di poter salvare e scaricare le immagini inviate dagli utenti direttamente nella galleria del proprio smartphone/tablet/computer, ossia in una parte del sistema operativo che poco c’entra con la app in quanto tale. Se Whatsapp diventa interoperabile con altre app, anche queste ultime potrebbero accedere ad informazioni collegate con il contenuto della galleria. Un ulteriore dubbio viene dal fatto che molti utenti potrebbero veder sfumare la privacy garantita dall’utilizzo di fake account creati con una delle tre app: se costoro diventassero raggiungibili anche via sms, parte di questa privacy potrebbe non esser più garantita come una volta. In breve, se i tre sistemi verranno resi interoperabili senza la possibilità di creare dei veri e propri “comparti stagni digitali” al loro interno, potremmo presto trovarci di fronte ad un nuovo scandalo Cambridge Analytica.

L’ITALIA E LA CATENA DI CUSTODIA DEI DATI DIGITALI

di Serena Lisi

 

Da poco più di un anno, in Italia è stata emanata la circolare 1/2018 della Guardia di Finanza in materia di custodia dei dati digitali nel settore del contrasto alla frode fiscale. Il documento funge da vero e proprio “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali”. La circolare copre tutti gli aspetti dell’ambito investigativo di competenza della Guardia di Finanza ed è, perciò, diviso in quattro volumi dedicati ai vari aspetti delle procedure di accertamento: logistici, giuridici, normativi, organizzativi, divisione o condivisione di competenze con altri organi investigativi e così via.

 

Una sezione di particolare interesse è quella dedicata alla catena di custodia dei dati digitali, dove si trovano riferimenti raccolti in maniera organica sia alla dottrina che alla pratica del settore digitale forense, a ben 10 anni dall’emanazione della legge 48/2008, ossia del provvedimento normativo che ha reso operativa anche in Italia la Convenzione di Budapest sul Cybercrime del 2001. Per la prima volta viene individuata e descritta concretamente la figura di  esperti facenti parte del personale del Corpo, che risultino in possesso della qualifica “CFDA” – Computer Forensics e Data Analysis. È un primo passo importante per la definizione delle competenze di coloro che, in ambito civile e militare, abbiano a che fare a qualsiasi titolo con la cosiddetta catena di custodia delle informazioni digitali. Così come previsto nella Convenzione di Budapest, la catena di custodia delle informazioni digitali è stata pensata soprattutto per applicazioni in campo investigativo e penale, ma può essere comunque applicata anche per semplici scopi di trattamento sicuro dei dati dematerializzati; non a caso, gli articoli specificamente dedicati a questo argomento sono gli artt. 244-47 c.p.p. (ispezione, ricognizione e perquisizione), 254-bis c.p.p. (sequestro) e 259 c.p.p. (custodia e integrità dei dati).

 

Dal testo della circolare 1/2018 emerge che il contesto italiano è ancora piuttosto difforme e variegato in materia di applicazione della normativa sui dati digitali. Ad esempio, la già citata figura del CFDA nasce proprio perché spesso, in sede di indagine, la magistratura competente non nomina né un ausiliario di polizia giudiziaria ex art. 348, comma 4, c.p.p. (cioè un soggetto, interno o esterno, in grado di assicurare il corretto trattamento della fonte di prova), né un esperto di trattamento dei dati digitali ex art. 459 c.p.p. Questo esempio ci fa concludere che può essere, in un certo senso, estesa all’intero contesto del trattamento delle fonti digitali in ambito legale: da una parte, almeno in linea di massima, la legge 48/2008 ha colmato il vuoto normativo italiano, anche se ben sette anni dopo la firma della Convenzione di Budapest; dall’altra, però, le fattispecie concrete continuano ad essere trattate in maniera difforme, secondo standard e protocolli che variano da caso a caso e senza una figure di riferimento codificate in maniera univoca dalla legge nazionale, poiché queste ultime vengono sostituite da soggetti  ad hoc individuati a discrezione delle Autorità competenti in ciascuna materia, così come evidente dal caso qui presentato.

 

La questione della difformità di trattamento dei dati digitali non è circoscritta all’eterogeneità dei soggetti titolari del trattamento, sia in fase di gestione ordinaria (custodia ed utenza quotidiana) che straordinaria (contestazioni e cause in sede civile e penale): essa si estende anche alle vere e proprie modalità del trattamento in questione. Due sono i punti critici, soprattutto in sede probatoria e penale: l’effettivo rispetto della già citata catena di custodia del dato in quanto tale e la gestione dei metadati ad esso collegati.

 

Per quello che riguarda il primo punto – la catena di custodia – possiamo dire che la legge parla chiaro ma le buone pratiche (anch’esse ormai note) stentano ad essere applicate in maniera uniforme, soprattutto dove servirebbe, ossia in materia penale. Fatta eccezione per la circolare della Guardia di Finanza, spesso il ciclo dell’informazione a fini giudiziari non osserva la necessaria scansione logica, tecnica e temporale tra le diverse e ormai note fasi della catena di custodia: ricognizione, ispezione e perquisizione, sequestro. Spesso sia gli organi inquirenti che giudicanti tendono a confondere la mera ricognizione con l’ispezione e perquisizione degli spazi virtuali ed associano, invece, il sequestro alla perquisizione dei supporti, senza però utilizzare gli strumenti necessari per evitare l’inquinamento o la corruzione delle prove, che avviene per lo più con l’involontaria modifica o cancellazione dei metadati. Un esempio è fornito dal ben noto caso del delitto di Garlasco, occasione in cui né l’accusa né la difesa ebbero la possibilità di utilizzare gli indizi (forse prove?) contenuti nel laptop del principale sospettato, poiché esso era stato acceso e spento più volte senza aver “cristallizzato” i metadati contenuti al momento della prima ricognizione. In parole più semplici, non erano stati utilizzati quegli specifici dispositivi di acquisizione sicura che oggi la circolare 1/2018 individua come segue: “specifici dispositivi (writeblocker, duplicatori) e/o applicativi (software di acquisizione forense), capaci di garantire l’integrità dell’evidenza acquisita”.

 

Come già detto, tuttavia, la circolare, al momento, riguarda per lo più reati di tipo finanziario, dove l’organo inquirente è, appunto, la Guardia di Finanza. Tuttavia, essa può essere uno spunto per tutti coloro che lavorano in sede investigativa, penale e non, in ambiente civile e militare. Infatti, il quadro offerto dalla Convenzione di Dublino e dalla legge 48/2008 avrebbe già indicato una possibile strada da percorrere. Da queste fonti normative, infatti, si possono individuare le caratteristiche-base della catena di custodia dei dati digitali, che peraltro hanno ispirato la circolare 1/2018. Caratteristiche che possono essere così riassunte:

 

– creare un Documento di Catena di Custodia, ove siano censiti tutti i soggetti che hanno maneggiato supporti e dati digitali e tutte le azioni compiute su supporti e dati;

– separare le fasi di ricognizione, ispezione e perquisizione, sequestro di dati e supporti, incaricando, con un provvedimento ufficiale, i titolari e i custodi di dati e supporti, accertandosi che eventuali passaggi di consegne o incarico siano svolti in maniera conforme al protocollo di custodia;

– tener conto di quali accertamenti siano ripetibili e quali non ripetibili, come ad esempio il posizionamento in luogo e lasso temporale idoneo di telecamere per filmare soggetti in flagranza di reato.

 

In buona sostanza, l’impianto normativo esiste: si tratta ora di applicarlo su larga scala e di cominciare ad istruire il personale addetto utilizzando un approccio interdisciplinare, senza più agire secondo la logica dei “compartimenti stagni”.