LA DEMATERIALIZZAZIONE DEI DOCUMENTI E DELLE INFORMAZIONI SENSIBILI: UN BILANCIO DELLA SITUAZIONE

di Serena Lisi

 

La dicitura “dematerializzazione” delle cartelle personali è oggetto di discussioni da diversi anni e sta a indicare quel processo (o quella serie di processi) per il trattamento, la conservazione, archiviazione, autenticazione e verifica di dati personali relativi ai comparti anagrafico, economico-tributario, sanitario e giudiziario della vita quotidiana dei cittadini. La gestione di suddetti dati richiede la creazione di vere e proprie cartelle elettroniche, come ad esempio la CCE (Cartella Clinica Elettronica) o la cartella fiscale, ossia di database individuali, per persone fisiche e giuridiche, che conservino informazioni e documentazione a proposito di ciascun soggetto censito. Spesso, però, nè gli stakeholder dei progetti di trattamento dei dati nè i titolari degli stessi  comprendono la sostanziale differenza fra i termini “informatizzazione” e “digitalizzazione” e così la vera e propria dematerializzazione di documentazione e procedure diventa lunga e farraginosa.

 

L’informatizzazione, anche quella cosiddetta sicura, è la procedura grazie alla quale i dati vengono organizzati e riprodotti in copie – per lo più elettroniche – attraverso una procedura informatica, ma sono comunque autenticati o resi ufficiali per mezzo di firme autografe, come nel caso dei contratti di utenze del settore energetico (luce, acqua, gas, ecc.), oppure sono raccolti in archivi cartacei che vengono semplicemente classificati per mezzo di una procedura elettronica, come ad esempio l’elenco dei volumi raccolti in una biblioteca. La dematerializzazione dei dati, invece, consiste nella raccolta, classificazione, gestione e autenticazione delle informazioni con una serie di processi elettronici che si avvalgono di sistemi di cifratura per la protezione degli archivi e del flusso informativo e, in aggiunta, di firme digitali forti o grafometriche per l’autenticazione dei dati stessi.

 

Con firma digitale forte si intende quel tipo di firma fatta per mezzo di una smart card, possibilmente a chip e non a banda magnetica, associata all’inserimento di un codice one time, ossia  irripetibile e generato da appositi dispositivi, come ad esempio i token utilizzati per accedere alle aree riservate dei siti bancari (gestione di conti correnti e titoli); la firma grafometrica, invece, è una firma autografa realizzata non più sulla carta, ma grazie a tavolette dotate di penne elettroniche e rilevamento di pressione e direzionamento del tratto dello scrivente, come ad esempio i tablet utilizzati, anche in questo caso, da alcuni istituti bancari.

 

In Italia molti enti della pubblica amministrazione e grandi imprese del settore privato dichiarano di aver avviato o concluso progetti di digitalizzazione di dati e archivi, con iniziative quali la conversione delle cartelle cliniche e fiscali in cartelle elettroniche, oppure l’adozione di sistemi per la gestione informatica delle presenze. Ma spesso il raggiungimento dei risultati desiderati non è pieno nè definitivo. Su CSA Magazine è stato già trattato il tema di una recente truffa a danno di utenti di servizi energetici, ai quali sono state attribuite false stipule di contratto perché il sistema di archiviazione e gestione dei contratti delle compagnie fornitrici era solo in parte dematerializzato e non disponeva nè di un sistema di firme digitali forti o grafometriche nè di un dispositivo di controllo e raffronto degli specimen di firme autografe.

 

Tale esempio è solo il primo dei tanti che potrebbero essere fatti e che aprono una lunga discussione il cui significato intrinseco verrà di seguito riassunto. La situazione italiana, anche in materia di digitalizzazione dei processi informativi e amministrativi, appare ben illustrata da una strofa del nostro inno nazionale: “perchè non siam uno, perché siam divisi”. Infatti, in ognuno dei settori già citati, la trasformazione non sta avvenendo in maniera omogenea, poiché si realizza con modalità, velocità e impatto sulla popolazione di riferimento molto differenti a seconda dei soggetti coinvolti. Enti pubblici civili e militari, grandi aziende e altri enti privati non hanno ancora trovato uno standard comune ed ognuno di essi utilizza una propria procedura (con relativo applicativo o software) per la digitalizzazione di dati. Un esempio evidente di quanto illustrato sopra viene dal settore sanitario: ogni regione ha la propria normativa (pur seguendo linee guida nazionali ed europee) e si avvale di specifici iter per implementare i progetti di digitalizzazione della cartella clinica e, a sua volta, ogni azienda sanitaria locale recepisce a modo proprio le linee guida regionali, cosicchè ogni azienda ospedaliera (o gruppo o team di ricerca) avrà il proprio protocollo interno, creando così uno scenario variegato ed ancora disomogeneo.

 

Un ulteriore esempio di suddetta disomogeneità è fornito dal sistema di gestione, autenticazione, verifica e remunerazione delle presenze del personale delle pubbliche amministrazioni (sia in ambito civile che militare) a fini stipendiali, pensionistici e, eventualmente, anche disciplinari: ogni ministero emana le proprie linee-guida ed ogni ente si dota del proprio sistema e lo implementa in più fasi, che spesso prevedono periodi di “gestione mista”, cartacea e digitale a firma debole (quindi non bastante per la fase di autenticazione degli atti), prima dell’effettivo passaggio alla vera e propria digitalizzazione.

 

In moltissimi casi, la transizione si rivela ancor più difficile del previsto per il cosiddetto digital divide, ossia per le differenze di equipaggiamento, infrastrutture e know-how presenti nei singoli presidi, uffici o distaccamenti di un determinato ente pubblico. A titolo illustrativo, si cita il discusso caso del SIGESi, il stema Informativo Gestionale dell’Esercito Italiano. Il sistema, sperimentato per la prima volta nel 2004 ma operativo su larga scala solo dal biennio 2012-14, ha la possibilità di raccogliere nel proprio database un’ampia gamma di informazioni (logistica, informazioni sul personale e altro), ma è principalmente usato per la gestione di presenze e stipendi dei dipendenti dello Stato Maggiore Esercito. Il SIGE ha funzionato per anni con una smart card a firma debole e solo di recente è stata avviata la transizione ad un meccanismo effettivamente funzionante per mezzo di un sistema a firma forte. Tutte le fasi di un così importante cambiamento sono state complesse e non esenti da discussioni (https://www.grnet.it/difesa/esercito/14-esercito-stipendi-del-personale-nel-caos-per-un-software-di-leonardo-e-vitrociset/), le più accese delle quali riguardavano due principali argomenti: la presenza di un accentuato digital divide tra le varie sedi centrali e periferiche di utenza del SIGE, spesso dovuto a differenze nelle condizioni, dotazioni e connettività di ciascuna sede, che si è cercato di sanare nel 2014 con l’intervento del public connector Sentinet3; l’effettiva sicurezza, inviolabilità e affidabilità del sistema stesso.

 

In questo caso, dunque, la complessità dell’apparato gestionale ha creato uno scenario a macchia di leopardo. Analoga situazione, seppur nata da ragioni diverse, può essere descritta per la gestione e verifica degli specimen  di firma presso istituti finanziari e bancari: trattandosi di enti privati, ancor più che nel pubblico, ogni azienda sarà incentivata ad emanare un proprio specifico regolamento e troveremo istituti in cui la firma è già stata effettivamente dematerializzata, mentre altri in cui, pur con una riduzione dei fogli stampati, la distinta e, più in generale, i documenti cartacei rappresentano ancora  la norma; ad oggi, inoltre, la procedura CAI (Centrale Allarmi Interbancari) segnala soltanto i cosiddetti “difetti di provvist”a e non altre problematiche. L’Italia digitale, dunque, è ancor più disunita dell’Italia politica e la semplificazione burocratica di cui tanto si parla presso pubbliche amministrazioni nazionali, enti privati ed Unione Europea non è così vicina come sembra.

FAKE ACCOUNT GENERATORS: PREGI E DIFETTI DI UN APPLICATIVO

di Serena Lisi

 

Da alcuni anni, il tema delle fake identities, le finte identità su internet, è spesso dibattutto ed associato ad intenti criminosi o terroristici. Spesso è così, ma è opportuno ricordare che, seppur con coseguenze meno disastrose, l’invenzione di profili verosimili – ma non very – ha avuto lo stesso tipo di genesi e di sorte dell’atomica: creata per facilitare la vita moderna, è diventata un’arma potenzialmente letale ed usata per creare caos e terrore.

 

Anche se molti ne discutono ormai da anni, ossia dai tempi dell’avvento del social network Second Life, in pochi sanno realmente come venga generata una falsa identità dal punto di vista informatico: in breve, si prendono e accoppiano nominativi e località reali presi in maniera random da archivi digitali a libero accesso o acquistati e si associano ad altre informazioni che possono essere più o meno verosimili, ma che abbiano una sintassi corretta, ossia che possano essere riconosciuti come validi nei loro formati dagli applicativi atti a riscontrarli (ad esempio, la data di nascita in formatto gg/mm/aa, oppure un finto IBAN fatto con una adeguata alternanza alfanumerica di 27 cifre).

 

Prima dell’avvento dell’era social, le finte identità già esistevano, ma erano principalmente divise in tre categorie: quelle utilizzate per scopi – leciti e non – di intelligence, quelle utilizzate per intenti criminosi e quelle inventate per giochi di ruolo e simulazioni. Ad esse si aggiungeva la categoria degli pseudonimi, che però esauriva la propria funzione nell’area marketing del settore merceologico di utilizzo (cinema, teatro, musica, letteratura, arti varie).

 

Second Life, invece, è un MUVE (Multi-User Virtual Environment, ossia Mondo Virtuale Elettronico Multi-Utente) creato nel 2003 dalla casa software Linden Lab di Phil Rosdale. Ciò che fin dall’antichità era considerato emozionante ed intrigante, dal 2003 l’avere una seconda identità è diventato un trend globale, molto più realistico di quello già in voga negli anni novanta, soprattutto tra adolescenti o determinate categorie di professionisti, con i già citati giochi di ruolo ed i primi videogame in rete. In questo mondo è possibile stringere amicizie, compiere azioni, conoscere persone e perfino fare vere e proprie transazioni, queste ultime eseguite grazie ad una delle prime monete virtuali, il Linden Dollar (L$), grazie al quale si possono comprare immobili, territori, programmi di istruzione universitaria e così via. Dal 2008 è possibile anche scambiarsi messaggi vocali, come accade anche in svariati social networks della vita “reale”. In questo metamondo, docenti di prestigiose università quali Harvard e Oxford effetuavano simulazioni e realizzavano progetti didattici. Nel 2008, si arrivò, a livello planetario, ad usare il mondo virtuale come ambiente per la promozione politica, tanto che molti personaggi con cariche istituzionali crearono appositi profili: al tempo, fece notizia il caso dell’On. Antonio Di Pietro, allora ministro delle Infrastrutture, che comprò un’isola in Second Life e vi piantò la bandiera del proprio partito, l’Italia dei Valori, con l’intento di creare anche una conferenza dei servizi virtuale, progetto successivamente abbandonato.

 

Tuttavia, questa nuova realtà – o seconda vita – non era sufficiente per molti utenti: dai politici ai ragazzini appassionati di videogiochi, dai giocatori compulsivi ai sociopatici, una seconda vita totalmente virtuale non era ancora abbastanza. Si cercava di più: non semplicemente essere se stessi in versione elettronica (come aveva fatto il Ministro Di Pietro), o essere una cyberpersona con un semplice nome falso, titolo falso e conto corrente falso, ma avere una seconda identità verosimile nella vita reale.

Contemporaneamente al sorgere di suddette nuove esigenze, la “politica in rete” ritornò in voga qualche anno dopo, con il potenziamento di altri tipi di social media, nati per comunicare come Facebook e Twitter, o per scopi statistici come Instagram. In principio, gli attori politici e alcuni gruppi di pressione entrarono in rete semplicemente portando il mondo reale  (fatto di verità e menzogne) in ambiente virtuale. Successivamente, anche questi attori desiderarono di più. Così nacquero i fake identity generators. Questi software e applicativi funzionano ed operano in una maniera piuttosto semplice e legale, ma i loro prodotti non sempre sono utilizzati in modo lecito.

 

Tecnicamente,  i fake identity generators si avvalgono di banche dati comprate da svariati soggetti (provider gratuiti di posta elettronica, social networks, società che gestiscono motori di ricerca, ecc.) ed accoppiano informazioni. In breve, quando questi generators devono creare una nuova identità, “pescano” a caso un nome ed un cognome da una delle loro banche dati e li accoppiano per creare l’identità, a proprosito della quale l’utente può aver dato più o meno informazioni: il richiedente, infatti, può esprimere o meno preferenze su genere, età, etnia e nazionalità della cyberpersona così creata. A questi primi dati, accoppiati e resi verosimili grazie ad un programma cifrato a chiave pseudocasuale, ne vengono affiancati altri – giuridicamente irreali ma sintatticamente corretti – come numero di telefono, e-mail, account social, numero di carta di credito o di polizza assicurativa/previdenza sociale.

 

Il concetto di “sintatticamente corretto/reale” è il punto focale: questi software e applicativi creano dati che non sono anagraficamente o giuridicamente veri, ma che risultano corretti alla scansinoe di lettori e software automatici che censiscono gli utenti di alcuni servizi virtuali. Ed è qui che entra in gioco lo scopo originario per cui i fake identity generator sono stati creati: proteggere la propria identità in rete; dopo lo scandalo della clonazione di molte identità e carte di credito di giocatori on-line che utilizzavano una nota console di videogiochi, molti utenti hanno voluto tutelarsi. Lo stesso può essere detto per coloro che desiderano accedere ai trial di software aziendali, coperti da brevetto, che richiedono una complessa ed accurata registrazione per poter fruire della copia di prova per 10, 15, 30 giorni. Spesso queste registrazioni richiedevano il numero di carta di credito, i cui dati, però, rischiavano di essere clonati da entità terze intromesse nella fase di verifica, che cavalcavano la vulnerabilità di uno dei due soggetti in contatti, di solito il possibile cliente. Su questa scia, visto il successo dei generator, anche scrittori e docenti hanno cominciato ad utilizzarli, ma a questo punto sono emersi alcuni interrogativi: anche se le identità sono palesemente false, è possibile che esse siano usate per scopi criminosi o terroristici? La risposta, purtroppo, è affermativa: se nessuno può usare i falsi numeri telefonici e le false carte di credito, poiché riconoscibili ad una opportuna e più specifica verifica (ad esempio il no-show degli hotel, ben più accurato nella verifica, non solo sintattica, della validità delle carte di credito usate), tuttavia, molte false identità sono state usate da terroristi e criminali comuni per adescare ed assoldare giovani adepti o vittime proprio tramite giochi on-line e social media, così come molti insider trader hanno sfruttato false identità per vendere segreti e brevetti aziendali, solo per citare alcuni esempi.

 

In conclusione, come già spiegato per altre applicazioni similari, ad esempio per quelle che permettono lo spoofing telefonico nei Paesi dove consentito (in quelli dell’Unione Europea la pratica è vietata), possiamo dire che il punto è sempre il medesimo: le app e i software sono legali e non è conveniente vietarli, poiché il provider dei medesimi dichiara apertamente costi e benefici dell’uso – debito e indebito – di suddetti strumenti e sottoscrive altresì il proprio obbligo a collaborare con le autorità qualora richiesto. Ancora una volta, dunque, la responsabilità di un uso sconsiderato ricade in buona parte sugli utenti, mentre l’onere di applicare idonee contromisure ricadrà su organi inquirenti e Forze di Pubblica Sicurezza, cosa che però porterà ad un intervento concreto solo dove esista il sospetto di un illecito.

IL CYBERSECURITY ACT: INNOVAZIONE E VECCHI PROBLEMI

di Cristiana Era

 

 La Commissione europea ha dichiarato ottobre “mese della sicurezza informatica europea” ed in questo contesto si è svolto a Roma l’incontro sul tema “Cybersecurity Act: strategia europea e priorità dell’Italia”, con la partecipazione di rappresentanti diplomatici e della Commissione stessa, oltre che a vari esponenti di imprese, associazioni per la sicurezza aziendale e per le infrastrutture critiche. Un incontro che, al di là della partecipazione di nomi noti, ha messo in luce ancora una volta i ritardi dell’Europa nell’affrontare seriamente il tema della sicurezza cibernetica. Solo due, infatti, a fronte di più di una decina di interventi sono stati i contributi concreti in grado di sottolineare aspetti non ripetuti centinaia di volte nelle decine di convegni sulla cyber security che da qualche tempo si susseguono a ritmo serrato. E, occorre aggiungere, che hanno centrato il tema in oggetto.

 

Un’occasione persa, dunque, per poter trattare più in dettaglio il nuovo regolamento europeo in tema di sicurezza cibernetica, ancora in discussione ma che si spera giunga ad approvazione prima della fine della presidenza austriaca. Il regolamento europeo, il Cybersecurity Act, è stato presentato nel settembre 2017 con lo scopo di ridefinire e migliorare la strategia europea in materia del 2013 e di ampliare i compiti dell’ENISA (European Union Agency for Network and Information Security). La nuova normativa, ha sottolineato Roberto Viola, Direttore Generale del DG Connect, trae ispirazione dalla direttiva NIS e rafforza il tema dell’importanza della comunicazione e del coordinamento fra gli Stati membri in caso di attacco cibernetico, il quale, in assenza di questi elementi potrebbe causare danni ancora maggiori.

 

In breve, la nuova direttiva poggia su tre pilastri fondamentali. Il primo è, come già sottolineato, la ridefinizione del ruolo e dei compiti dell’ENISA. L’Agenzia diventa a tutti gli effetti l’istituzione ufficiale dell’EU in materia di sicurezza cibernetica con un mandato non più provvisorio ma permanente, con funzioni di coordinamento con altri organismi e agenzie, di diffusione della cultura informatica e di supporto alla creazione di standard europei di riferimento. Tra i nuovi compiti dell’ente ci sarà anche quello di supportare gli Stati membri nella gestione tecnica della situazione dopo un attacco cyber e anche quello di condurre l’investigazione post-attacco.

 

Il secondo riguarda l’introduzione di una certificazione europea di sicurezza per processi, servizi e prodotti digitali immessi sul mercato comunitario. E’ forse questo il pilastro più innovativo del Cybersecurity Act poiché introduce qualcosa che ancora mancava, la certificazione europea, appunto, ossia un marchio che garantisce i necessari controlli per un mercato sempre più digitalizzato e al momento ancora frammentato dai numerosi standard e requisiti dei singoli Stati membri.

 

Infine, il terzo pilastro è rappresentato dall’istituzione di un centro di competenza tecnica particolare, poiché si tratta in realtà di un riferimento per un network di altri centri che lavorano sulle tecnologie informatiche più avanzate.

 

La nuova strategia del Cybersecurity Act rappresenta il tentativo dell’Unione Europea di tenere il passo con i cambiamenti che a ritmo sempre più veloce si registrano nel mondo digitalizzato, con attacchi sempre più mirati e in numero crescente. Tuttavia, il nuovo regolamento lascia ancora in sospeso alcuni aspetti e solleva alcuni dubbi. In primo luogo, in base alla normativa, la certificazione è volontaria: le aziende non avranno l’obbligo di richiederla e quindi si creeranno situazioni a macchia di leopardo senza che vi sia un input dall’alto verso standard minimi di sicurezza per tutti i prodotti ICT e per i servizi digitali. E per i consumatori potrebbe risultare difficile capire la differenza in assenza di una buona campagna di comunicazione da parte dell’UE. Secondariamente, accanto al ruolo rafforzato dell’ENISA rimangono le competenze degli enti nazionali e dei molteplici organismi che ruotano attorno alla sicurezza informatica, il che porta a chiedersi quanto possa essere tempestiva una risposta, o meglio la gestione della situazione a seguito di un attacco informatico particolarmente devastante o anche semplicemente effettuato su larga scala in un contesto in cui sono chiamati ad agire molteplici attori. Difficile pensare che un semplice coordinamento tra agenzie nazionali e transnazionali possa fare fronte a scenari che richiedono azioni tempestive. Da un certo punto di vista, si ripropone a livello europeo il quadro nazionale, in cui esistono vari organismi istituzionali e centri specializzati che però agiscono in modo indipendente e ciascuno secondo un proprio regolamento, con poco o nessun collegamento e coordinamento. In altre parole rimane in piedi la domanda: in caso di necessità di reazione rapida ad un attacco cibernetico, c’è una autorità che può decidere e agire senza passare attraverso le richieste formali di autorizzazione che richiedono notoriamente tempi più o meno lunghi?

 

Da ultimo, ma non da meno, va rilevato che se da una parte i compiti dell’ENISA sono stati ridefiniti assumendo un ruolo operativo e non più solo consultivo, dall’altro le risorse a disposizione per espletare i nuovi compiti sono state aumentate solo della metà, come ha rilevato Giorgio Mosca dell’European Organization for Security (EOS). E purtroppo la disponibilità di risorse sufficienti è elemento fondamentale per l’efficacia di qualunque politica in tema di cyber security. Resilienza e prevenzione, che sono la sola difesa nei confronti degli attacchi cibernetici, richiedono investimenti consistenti e costanti. Lo sanno bene anche negli Stati Uniti, un Paese tecnologicamente più avanzato del nostro, dove rimane acceso il dibattito di chi – governo o settore privato – debba contribuire maggiormente alla sicurezza informatica del sistema Paese.

 

Il Cybersecurity Act rappresenta un passo in avanti per la definizione di una politica di sicurezza informatica dell’Unione Europea. Sfortunatamente non lo è abbastanza. Il regolamento è ben lontano dal dare risposte concrete ed immediate – come sono immediati gli attacchi nello spazio cibernetico – alle minacce presenti e future. Il mondo digitalizzato dell’Internet delle cose e tutto ciò che ad esso è collegato, incluso il crimine cibernetico, non ha confini, né di spazio né, soprattutto, di tempo. La moltiplicazione di enti governativi, organismi specializzati, organismi europei e istituzioni nazionali dedicate creano un mosaico che rallenta necessariamente non solo i tempi di risposta, ma anche la nascita e lo sviluppo di politiche snelle ed efficaci che di per sé sono il punto di partenza della resilienza. Ben 5 anni sono passati dalla formulazione dell’UE della sua prima strategia in materia, un tempo infinito nel cyberspace. Se si considera, inoltre, che la nuova direttiva ancora non è stata approvata definitivamente dal Parlamento e dal Consiglio europei, allora forse è lecito pensare che anche in un settore critico come quello della cyber security l’Europa continua a rimanere indietro.

L’INTERNET DELLE COSE

di Pier Vittorio Romano

 

L’”Internet delle cose” è la ricetta di Jeremy Rifkin, economista americano, un trend setter, che vuole dare vita a quella che lui definisce come la terza rivoluzione industriale, dove l’attuale consumatore diventerà un piccolo produttore, un prosumer, in un nuovo mondo basato sulla sharing economy – l’economia della condivisione – che avrà nelle sue vene sangue digitale e come ricettori una rete internet pervasiva: l’internet delle cose, appunto.

 

Oltre alla digitalizzazione delle comunicazioni già presente nella nostra epoca, la terza rivoluzione industriale avrà come capisaldi anche la digitalizzazione dell’energia e la digitalizzazione della mobilità e della logistica. Servirà, pertanto, una “tripla internet” al fine di gestire tale piattaforma. Già oggi sono attivi attorno a noi 14 miliardi di sensori che entro il 2030 diventeranno 100 trilioni a servizio di un network globale e distribuito. Questo consentirà di avere bassi costi marginali, maggiore produttività e basso impatto ambientale. Grazie a questo sarà possibile aumentare l’efficienza energetica aggregata, dall’attuale 13% al 40% nei prossimi 25 anni.  

 

Attualmente siamo in presenza di un calo della produttività e dell’occupazione e questa crisi industriale, unita alla crisi ambientale causata da due rivoluzioni industriali basate su combustibili fossili, richiede una risposta diversa. La seconda rivoluzione industriale si è basata sull’automobile ma oggi le nuove generazioni vogliono il car sharing, connettendosi alla rete per chiedere un’auto, usarla e pagare. Usare un servizio se e quando serve, non possedere per il gusto di possedere. Per ogni auto condivisa ne vengono eliminate 15: in questo modo sarà possibile eliminare l’80% dei veicoli con ovvi vantaggi ambientali. Oggi ci sono in circolazione  2 miliardi di auto; ne bastano 200 milioni, condivise ed elettriche. Auto realizzate prevalentemente con stampanti 3D alimentate da energia rinnovabile.

 

Servirà un lungo periodo di transizione, almeno 20 anni, e durante questo periodo molte industrie scompariranno mentre altre nasceranno.  E poi, sempre secondo Rifkin, serve “l’Internet dei trasporti”: dovranno essere installati sui camion dei sensori affinché possano essere monitorati in tempo reale ed avere informazioni utili per la percorrenza della tratta fino ad arrivare, in futuro, ad essere guidati da remoto. Riguardo l’energia, molti hanno compreso che il costo dell’energia rinnovabile sta gradualmente diminuendo e si va verso l’autoproduzione e la condivisione del surplus. Le aziende dell’industria energetica fossile e nucleare non possono competere. L’Arabia Saudita, il maggior produttore di idrocarburi al mondo, ha recentemente dichiarato di voler puntare sull’energia rinnovabile.

 

In questo diverso modello economico occorrerà quindi orientare gli investimenti sui nuovi modelli e la fase transitoria sarà lunga e richiederà da parte dei governi la capacità di far convivere i due sistemi, incoraggiando a crescere quello del futuro ma senza “strozzare” quello del passato. La società a “costo marginale zero” che si sta affermando sulla scena mondiale, sostiene ancora Jeremy Rifkin, fa emergere l’Internet delle cose dando vita al “Commons collaborativo”, il primo nuovo paradigma economico a prendere piede dall’avvento del capitalismo e del socialismo nel XIX secolo. Il Commons collaborativo sta trasformando il nostro modo di organizzare la vita economica, schiudendo la possibilità a una drastica riduzione delle disparità di reddito, democratizzando l’economia globale e dando vita a una società ecologicamente più sostenibile. Per raggiungere questo risultato occorrerà creare un’infrastruttura intelligente, formata dal virtuoso intreccio di Internet delle comunicazioni, Internet dell’energia ed Internet della logistica, che avrà l’effetto di spingere la produttività fino al punto in cui il costo marginale di numerosi beni e servizi, ovvero il costo di produzione di un’unità aggiuntiva di un bene o di un servizio, dopo che sono stati ammortizzati i costi fissi di impianto, sarà quasi azzerato, rendendo gli uni e gli altri praticamente gratuiti, abbondanti e non più soggetti alle forze del mercato.

 

La digitalizzazione della comunicazione, dell’energia e dei trasporti comporta anche rischi e sfide. Non da ultimo quelle relative alla neutralità della rete, alla prevenzione della creazione di nuovi monopoli privati, alla protezione della privacy personale, garantendo la sicurezza dei dati, e il contrasto della criminalità informatica del cyber-terrorismo. La Commissione Europea ha già iniziato ad affrontare questi problemi stabilendo il principio generale che la privacy, la protezione dei dati e la sicurezza delle informazioni sono requisiti gratuiti per i servizi dell’Internet delle cose ed i nuovi imprenditori del settore potranno utilizzare i Big Data ed i sistemi di analisi avanzati per lo sviluppo di algoritmi finalizzarti ad accelerare l’efficienza, aumentare la produttività e ridurre drasticamente il costo marginale di produzione e distribuzione di beni e servizi, rendendo le imprese europee più competitive in un emergente mercato globale post-carbon.

 

Già da tempo sono sorte nuove imprese commerciali a costo marginale prossimo allo zero tra cui Google, Facebook, Twitter, YouTube, e migliaia di altre aziende di Internet, che riescono a fare profitti creando nuove applicazioni e realizzando le reti che permettono alla sharing economy di prosperare. Gli economisti hanno riconosciuto che il costo marginale quasi prossimo allo zero ha avuto un forte impatto sull’industria dell’informazione ma, fino a poco tempo fa, hanno sostenuto che l’aumento di produttività dell’economia digitale sarebbe rimasto confinato nel mondo del virtuale e non avrebbe mai potuto superare il muro invalicabile dell’economia reale, estendendosi ai settori dell’energia e della produzione di beni e servizi fisici. Questo muro invalicabile è stato ormai abbattuto. L’Internet delle cose è in continua evoluzione e permetterà ad aziende convenzionali, così come a milioni di prosumer, di generare e distribuire la propria energia da fonti rinnovabili, di usare in condivisione veicoli elettrici ed a idrogeno senza conducente finanche produrre una quantità crescente di prodotti fisici stampati in 3D a bassissimo costo marginale nell’economia di mercato, o a costo marginale quasi zero, proprio come già avviene nel settore dell’informazione.

 

Già Direttore responsabile della rivista “Informazioni della Difesa”, organo ufficiale dello Stato maggiore della Difesa per il quale ha curato lo speciale “Lo spazio cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali” , Pier Vittorio Romano è giornalista pubblicista e attuale Capo di Stato Maggiore della Legione Carabinieri Abruzzo e Molise. 

IL VALORE DI UNA FIRMA

di Serena Lisi

 

Nelle ultime settimane, media nazionali e locali di alcune regioni italiane (Toscana, Emilia Romagna, Lazio e Sicilia) hanno riportato numerosi casi di frodi a clienti di grandi aziende nazionali che forniscono e distribuiscono energia elettrica e gas. Si tratta, di norma, di un illecito che  coinvolge privati cittadini creando, nella maggior parte dei casi, disagi e danni d’immagine ed economici alle vittime, ma che potrebbe invece comportare più gravi conseguenze se l’illecito fosse compiuto da criminali o terroristi anziché da lavoratori disonesti e se servisse a celare un cosiddetto attacco semantico, (ossia un attacco cyber che non cancella, ma rimescola e confonde i dati telematici) ai database di infrastrutture critiche del settore energetico, perpetrato per scopi strategici come, a suo tempo,  accadde nel 2007 con lo storico black out  estone.

 

L’atto di frode viene compiuto ovunque secondo un clichè ricorrente: ignari clienti ritrovano la propria utenza dirottata  proditoriamente verso un altro gestore e vengono avvertiti del passaggio da una falsa bolletta, mensile anziché bimestrale, indicante la chiusura del precedente contratto con un fittizio conguaglio delle spese a favore della malcapitata vittima, che crede così di essere in credito di un certo numero di euro con l’azienda di riferimento e di non dover pagare alcunché. Molti frodati hanno dichiarato di non aver notato la dicitura “chiusura contratto” sulla finta bolletta, vista la piccola dimensione dei caratteri con cui tale indicazione è scritta. Nel giro di un paio di mesi, molti utenti si sono visti tagliare l’utenza di luce, gas o entrambi, perché dichiarati morosi dall’azienda con cui avevano, in principio, stipulato il contratto, giacché, dopo aver ricevuto il falso conguaglio, non hanno poi trovato alcuna bolletta in cassetta postale, mail o domiciliata, presso la propria banca e, dunque, non hanno pagato per un paio di mesi il costo delle utenze citate. Alcuni, più fortunati, hanno notato la situazione anomala prima di essere danneggiati dal taglio delle utenze e quindi hanno potuto sporgere regolare denuncia e sanare la situazione prima che essa arrecasse loro danno.

 

In tutti i casi, sanati e non, la sostanza della truffa è sempre la medesima: ignoti dipendenti corrotti hanno violato le banche dati digitali delle aziende presso cui lavorano ricorrendo ad un utilizzo illegale dei dati dei clienti. In alcuni casi, i dati sono stati venduti a soggetti concorrenti da dipendenti che hanno violato la banca dati dell’azienda presso cui lavorano; in altri casi, invece, il concorrente sleale ha pagato dipendenti o soggetti terzi per violare le banche dati di altre aziende ed acquisire nominativi ed estremi matricolari, come ad esempio i cosiddetti POD numbers dei contatori elettrici, per poter effettuare il passaggio.

 

Quello che ha messo in allarme i nuclei investigativi della Polizia Postale e dei Carabinieri non è stata, tuttavia, la semplice violazione delle  banche dati, la cui penetrabilità è nota, nonostante i passi avanti compiuti da soggetti pubblici e privati in materia di sicurezza e tutela dei cosiddetti dati sensibili e delle infrastrutture critiche. Ciò che colpisce nella vicenda è il prosieguo della medesima, nonché la modalità con cui la truffa è stata perpetrata e perfezionata. Infatti, il semplice furto dei nominativi dei clienti e del loro POD/numero matricolare non sarebbe dovuto, in teoria, bastare per perfezionare il passaggio di utenza dal punto di vista burocratico. Tale passaggio di utenza, per essere effettivo, deve essere accompagnato da un contratto, regolarmente sottoscritto dal titolare dell’utenza e completo di indicazioni anagrafiche e residenza, fisica e fiscale del predetto soggetto.

 

I contratti, invece, non riportano informazioni veritiere sui dati, che vengono letteralmente inventati in tutto e per tutto, dal numero di carta d’identità al luogo e data di nascita, dal recapito telefonico a residenza e indirizzo, fisico e virtuale, di recapito della nuova bolletta: tali indirizzi, se fisici, corrispondono spesso a stradine di campagna o di montagna di piccoli paesi; se elettronici o domiciliati, invece, i recapiti corrispondono a istituti bancari esistenti o provider di posta elettronica reali, ma scritti con una sintassi errata. Queste falsificazioni costituirebbero già reato (falso ideologico, punito ai sensi dell’art. 481 e seguenti del Codice Penale). Nei casi citati, tuttavia, al reato di falso ideologico, si aggiunge il falso materiale (art. 476 e seguenti), poiché tutti i contratti riportano firme palesemente false. I contratti sono digitalizzati, ossia scansionati ed immessi, sotto forma di file .jpeg o . pdf, nel database dell’azienda destinataria del cambiamento. Il paradosso  consiste nel fatto che le firme autografe false non possono essere controllate né riscontrate perché i database dove sono raccolti i contratti non dispongono di un sistema di raccolta, controllo e confronto automatico degli specimen di firma autografa, né di un pin, una chiave o un token o una password da accoppiare al pod/codice identificativo del cliente.

 

Non è ancora quantificabile, per le aziende colpite, il costo di un simile attacco in termini di danno economico e d’immagine e quale sia, al giorno d’oggi, il valore di una firma, digitale o autografa che sia; più nello specifico, resta da valutare quanto sia importante la corretta identificazione degli utenti dei pubblici servizi e quanto accurata sia la cura della sicurezza delle infrastrutture critiche nel nostro Paese. Già da una decina di anni numerosi esperti in molti convegni hanno catalizzato l’attenzione su questo argomento. Ma sorgono numerosi dubbi anche sulla reale consapevolezza del problema di fronte a episodi quali attacchi di hacker a database di ospedali (il più famoso quello semantico al Gradenigo del 2013) e la scarsa attenzione data alla violazione di banche collegate a infrastrutture critiche come quelle del settore energetico o delle telecomunicazioni, solo perché tali violazioni sono compiute per scopi definiti, con molta leggerezza di “semplice concorrenza sleale”. Come più volte affermato da Mary Kaldor, le nuove guerre post-moderne, a bassa intensità, sono collegate alle attività economiche ancor più dei conflitti antichi e, sempre più spesso, utilizzano forme di violenza strutturale occulte e difficilmente riconoscibili.

DRONE REVOLUTION

by Cristiana Era

 

Forget the nice radio remote-control helicopters you used to buy to your children just few years ago for Christmas or for birthdays. Those were just toys. Today we live in the age of drones, in which we have been thrown almost unnoticeably. In less than a decade the remote-control technology has radically changed and it is now approaching its full “operational” development stage. The Unmanned Aerial Vehicles (UAVs) are gradually revealing their multidimensional capacity as dual-use tools. As it was for internet at its embryonic stage, until recently drone technology was restricted to the military environment and few connoisseurs. Largely employed in areas of crisis, like Afghanistan and Iraq, to target terrorist groups or as reconnaissance and information gathering, until recently remote controlled aerial vehicles did not find a widespread civil use.

 

But sooner or later, any dual-use device is naturally moving towards an open space as its applications in civil society becomes more and more attractive for businesses. And for the public sector as well, given the significant array of public services in which drones are being employed: from disaster relief support, to aerial security surveillance, from shipment of life-saving medicines to crops irrigation, from missing people search to film shooting and city traffic control. And, of course, their equipment of sensors, high-resolution cameras and GNSS (Global Navigation Satellite System) make drones an excellent versatile tool for intelligence, data collection and analysis in real time.

 

This process, though, does not come without side effects. Restricted and sensitive environments are by nature endowed with high standards of security, but once technology applications are extended to the open market, security is no more a foregone pivotal element. The hyper-connected world – the IoT (Internet of Things) – offers a number of examples of security-deficient devices, from smartphone apps to vehicle automation systems. Drones are no exception. So, if in places like Rwanda, where it can takes hours before an ambulance can reach the hospital from a village while they are able to deliver blood and plasma sacs in less than fifteen minutes and save lives, or like Thailand where they can fly through strict passages inside a cave and provide crucial support to rescue squads looking for a missing soccer team, drones are also a growing security concern for government authorities, either from a military or a civil perspective.

 

As Iraq confirmed, the threat is actually a “clear and present” danger. The Islamic State has resort to an extensive use of drones to target American soldiers on the ground and several government agencies (DARPA, among them) are sponsoring special projects on ways and means to neutralize drones carrying explosive devises. What American troops experienced on the ground in distant and critical areas is actually an example of what we can expect to happen domestically in the near future. Terrorists do not need an expensive Predator or Reaper-like drone to carry on an unexpected and devastating attack in a crowded spot, be it a stadium, a mall, a beach or any sort of gathering place. A simple off-the-shelf quadcopter, easily bought on internet for a few hundred euros and eventually loaded with explosive or with toxic material will suffice. Furthermore, many of the ready available drones can easily avoid detection due to the plastic material they are made of.

 

Terrorists are not the only malicious actors who can get the most from UAV technology. Common criminals have successfully exploited these devices to drop down drugs and other kinds of illegal items inside detention facilities or to facilitate jail breakout. And there is more: these little mobile and flying devices can be used for espionage, not just as a plain spy tool but also by its being hacked, since at this stage – and like many applications of the IoT – drones are not designed to offer a high level of security. Control of a drone can be an easy task, and if it is connected to a wireless system of a company, this can have a negative impact and interfere with the network, in addition to the loss of data inside the drone itself; or it can fly over a crowded place and through the wireless connection steal personal data of all those who are connected.

 

And besides the intent of malicious individuals or groups, let’s think of a fleet of small quadcopters crossing the airplanes lanes. It is not a hypothetical issue: several cases of drones causing incidents with civilian aircrafts have been reported and have forced the American FAA (Federal Aviation Administration) to address a pressing need for drone circulation rules and public safety preservation. If a small UAV can be “swallowed up” by the engine of a crossing aircraft causing the latter to crush, imagine what a bunch of them can do to compromise aerial circulation.

So far, drones have not developed their full potential. Their flying autonomy and – as we have already mentioned – device security are low. For the latter, we should not expect a big development in the short time. Device security requires significant investments and, again, small commercial UAVs are not conceived to be endowed with a high protection from hacking activities. On the first issue, instead, the private sector is already working on development of specific long-lasting batteries and progress on that will be reached very soon, especially because the commercial exploitation of drones is rising with expected significant revenues. The attention on commercial exploitation of UAV is so high at present, that several companies, like Ehang, Volocopter and Uber, are already competing on the development of AAV (Autonomous Aerial Vehicle) prototypes, the first step towards the unmanned flying taxis.

 

The overall expansion of drone technology will likely take place at a fast pace, as it happened for any dual-use device. And again, like everything connected to cyberspace and IoT, it will come with a number of unresolved security issues and with a legislative gap that will require to be filled soon but that will also entail a trade-off between business and security needs. Furthermore, the possible connection between UAV and AI (Artificial Intelligence) in future applications will open the floor to a number of ethical, legal and security debates as well. In conclusion, the rapidity of the IoT technology evolution – and its practical application in goods and services sectors – compared to the long bureaucratic time-span of the legislative and political system to keep the pace with a changing virtual-and-real society will create a potentially dangerous vacuum in terms of rule of law in a world in which the machine will increasingly acquire new autonomous capabilities with less and less control by human beings.

LA NUOVA NORMATIVA EUROPEA IN MATERIA DI PRIVACY: I RISVOLTI IN MATERIA DI CONSERVAZIONE DEI DATI DIGITALI

di Serena Lisi

 

Il 25 maggio 2018 è entrato in vigore, in tutti i Paesi europei, il regolamento UE 2016/679 in materia di privacy e tutela dei dati sensibili. Il regolamento è entrato direttamente in vigore negli Stati membri, dato che si tratta di fonte normativa comunitaria, alla quale la legislazione interna di ciascuno Stato si è adeguata senza l’emanazione di decreti attuativi o altro tipo di provvedimento interno. I contenuti del regolamento possono essere integrati da ciascuno Stato, ma la ratio di questo provvedimento è che tutti i membri dovranno seguire una linea di condotta comune, che renda più omogeneo ed elevato il livello di protezione dei dati personali, poiché l’UE è stata definita come spazio comune di sicurezza, libertà e garanzie.

 

Molti cittadini si domandano che cosa significhi questa novità ed in cosa consista il cambiamento, soprattutto in materia di sicurezza informatica. Oggi, infatti, gran parte della vita quotidiana, anche quella di coloro che vengono definiti analfabeti digitali, è in realtà proiettata in rete, anche senza un espresso consenso: si pensi, ad esempio, a chi dispone di uno o più conti bancari, chi usufruisce di buoni pasto di nuova generazione o a chi è inserito nei pur incompleti (e talora frammentari) archivi del sistema sanitario nazionale. La domanda è legittima, poiché il regolamento disciplina il trattamento dei dati di persone fisiche viventi e non di persone giuridiche ed anche l’entrata in vigore del regolamento è stata largamente pubblicizzata in molti Paesi, inclusa l’Italia.

 

In realtà, la pubblicità dell’evento non ha spiegato esattamente nè la portata delle innovazioni nè la loro reale efficacia. L’Unione Europea stessa aveva definito questo regolamento come un modo per far sì che il trattamento dei dati personali fosse al servizio dell’uomo. Ma l’evidenza dei fatti ci dimostra che i pur importanti cambiamenti introdotti non sono esattamente all’altezza delle aspettative. Si parla in primo luogo di trattamento automatizzato dei dati con nuovi limiti, nel senso che, ogni volta che tali dati verranno processati, il titolare dei medesimi dovrà esprimere il proprio consenso; suddetto titolare avrà diritto all’oblio, ossia alla cancellazione di ciò che lo riguarda da archivi fisici ed elettronici, che peraltro devono essere resi sicuri attraverso procedure che li rendano accessibili solo a soggetti qualificati e riconoscibili e resilienti, ossia capaci di resistere ad intrusioni o, ove ciò non sia possibile, facili da ripristinare o riportare in condizioni di sicurezza; il consenso al trattamento dei dati citati dovrà essere breve, conciso ed espresso in maniera trasparente (ossia senza clausole occulte) e diretta, ma dovrà anche riportare le cosiddette specifiche, ossia ambito e scopo per cui le informazioni vengono processate; è infine diventato obbligatorio segnalare le violazioni (data breach).

 

I problemi che questo nuovo impianto normativo presenta sono purtroppo numerosi. Innanzitutto, nonostante sia obbligatorio segnalare le violazioni, nella prassi non è così semplice farlo: alcuni dei nostri sistemi, infatti, appaiono complessi per coloro che non sono nativi digitali. Inoltre, sia per ciò che riguarda l’obbligo di segnalazione dei reati che per ciò che riguarda la conservazione dei dati, il digital divide (sia interno ad ogni Paese che tra Paesi membri) resterà comunque evidente: coloro che risulteranno più svantaggiati saranno, come di consueto, persone fisiche poco pratiche del mondo digitale e persone giuridiche afferenti a piccole realtà, come ad esempio le PMI. Queste ultime, in particolare, avranno nuovi obblighi ma non potranno godere, se non in maniera indiretta (garanzie per i clienti e i lavoratori ivi impiegati, intesi come persone fisiche) di maggiori tutele, a fronte della necessità, spesso non supportata dalle infrastrutture pubbliche,  di aggiornare i propri sistemi di gestione e conservazione dei dati. Inoltre, anche per ciò che riguarda il consenso informato, le novità non sempre sono al passo con la prassi: in un Paese come l’Italia, ad esempio, il  nuovo consenso informato non è così chiaro come dovrebbe essere e, per coloro che fanno già parte di una banca dati, si limita ad essere un avviso relativo al diritto di recesso – e quindi di cancellazione – dalla banca dati. Discorso analogo è quello del diritto all’oblio: è facile esercitare tale diritto con soggetti qualificati e che operano nel rispetto della legge. Ma non è altrettanto semplice agire in quei settori, peraltro ancora scarsamente regolamentati, dove le informazioni circolano con estrema facilità, come ad esempio i social networks,  dove chiunque, ivi compresi gli amici, possono postare dati che ci riguardano senza il nostro esplicito consenso. Vero è che, al giorno d’oggi, anche i social networks si stanno adeguando al rispetto del cosiddetto diritto all’oblio, ma è anche vero che, spesso, i nostri dati vengono letteralmente venduti (o comunque ceduti) a terzi, seppur in forma anonima, prima che ci sia possibile esercitare il diritto citato. Infine, sempre per parlare di diritto all’oblio, in un Paese come l’Italia, è assai difficile riuscire a ricomporre una normativa organica a proposito di illeciti e crimini informatici: molto spesso, tali crimini vengono codificati nel contesto di preesistenti articoli del codice penale o trattati come aggravanti di altri reati, ma non costituiscono un corpus organico.

 

Un ulteriore problema riguarda tutti quei provvedimenti degli organi nazionali di garanzia in materia di  videosorveglianza, amministrazione di sistema, fidelity cards, uso di dati biometrici e tracciamento flussi bancari: i singoli regolamenti nazionali non vengono aboliti dal nuovo regolamento europeo, ma dovranno essere aggiornati alla luce del medesimo. Appare paradossale che un settore così delicato non sia stato regolamentato dall’Unione, anche perché, soprattutto in materia bancaria, l’UE ha spesso agito per dare linee di condotta comuni, come nel caso di Basilea3. In tutto questo panorama, infine, numerosi dubbi sono sollevati dalla creazione di una nuova figura, il Data Protection Officer (DPO), che andrà a sostituire il Privacy Officer  quale figura preposta alla sicurezza dei dati personali. In Paesi come l’Italia, questa figura potrebbe essere esternalizzata e questo costituirebbe un ulteriore problema, soprattutto per gli enti pubblici, ove le procedure di selezione sono lunghe e talora poco aderenti alle reali necessità del soggetto promotore della selezione. La sicurezza in rete dovrebbe essere il risultato di un processo di formazione e responsabilizzazione dei cittadini e non la semplice risultante di un nuovo inquadramento normativo  proveniente da una fonte superiore: non è un caso che, con la normativa già in vigore, siano aumentati anziché diminuiti i casi di cellulari ed altri dispositivi mobili colpiti da ramsomware, ossia da malware (software malevoli) informatici che chiedono un riscatto (in bitcoin o denaro tradizionale) a utenti che temono di veder diffusi indebitamente i propri dati personali “rapiti”, ossia sottratti con l’inganno.

 

 

IL GIOCO PERICOLOSO DEI RANSOMWARE

di Serena Lisi

 

Il 28 luglio 2018, a poco più di due mesi dall’entrata in vigore del nuovo regolamento europeo  2016/679, testate nazionali, locali e diffuse via web diffondono la notizia di un nuovo, ennesimo attacco alla privacy degli utenti di internet e social network, nonché proprietari di dispositivi mobili, in primis di smartphone, tablet e altri computer portatili. L’attacco è stato perpetrato attraverso una e-mail o tramite SMS ed MMS (Messaggi Multimediali) o ancora messaggi inviati tramite app dei social network (un esempio è il famosissimo Messenger di Whatsapp). Il contenuto del messaggio incriminato è un link che, se aperto dall’utente, mostra un video pornografico. L’oggetto del suddetto messaggio riguarda la password, non meglio identificata, dell’utente che, preso da una iniziale perplessità, continua a leggere pensando che la parola-chiave menzionata sia riferita all’account di posta stesso (privato o di lavoro) oppure ad un conto postale, bancario e affini. Durante la lettura, la vittima scopre che, in effetti, una delle sue password, quella della posta che sta leggendo (o del suo account principale collegato ai social network su cui riceve riceve la minaccia), è stata effettivamente sottratta e che la “controparte” chiede un vero e proprio riscatto (ransom), il più delle volte in bitcoin, affinché quella password non venga utilizzata per far sì che gli spazi personali (posta ed altro) ad esse correlati diventino un vero e proprio trampolino di lancio per la diffusione di un video che riprende l’utente intento nell’aprire il video pornografico accessibile tramite il link-esca contenuto nel messaggio. Il messaggio spiega che tramite il link  pornografico aperto è stato effettuato un accesso alla webcam della vittima, che viene ripresa mentre guarda, suo malgrado, il video porno inviato.

 

La realtà dei fatti è, però, più semplice, come spiegato anche nel forum della Polizia Postale dedicato ai reati telematici (https://www.commissariatodips.it/profilo/commissariato-di-ps-on-line.html). La password dell’account di posta è stata effettivamente reperita, magari tramite dark web, tra quelle più recenti (può trattarsi di quella attuale o della penultima), ma essa non può dare la possibilità di accedere al controllo di dispositivi quali telecamere e microfoni; la password  è stata carpita in un momento precedente all’invio del messaggio incriminato ma non è sufficiente, di per sè, ad accedere alle app e hardware collegati al dispositivo. Il link al video pornografico, al più, può dare accesso alla galleria di immagini collegata a posta e social network e bloccare il sistema per un overflow, ossia inondazione di immagini e dati. Tecnicamente, l’accesso a telecamere e microfoni  tramite il furto di password e link di posta elettronica è possibile ma, almeno n quest’ultimo caso, ciò non è accaduto, perché il ricatto era basato sulla paura e parziale disinformazione delle vittime e non su una struttura robusta del malware. In breve, questo ransomware sfruttava quello che in etologia è chiamato mimetismo mülleriano, ossia fingeva di essere qualcosa di più pericoloso di ciò che è in realtà: chi ha ricevuto il messaggio, in sostanza, credeva di essere oggetto della cosiddetta revenge porn, una forma di vendetta (con ricatto) basata sulla diffusione di immagini pornografiche presso i propri contatti privati e di lavoro.

 

In casi come questi, il problema non risiede solo nella violazione della privacy delle persone fisiche, oggetto della nuova normativa europea. Tale violazione spalanca la porta a reati ancora più gravi e preoccupanti, come la violazione di segreti di azienda o di archivi di enti pubblici. Italia e Paesi europei sono solo le ultime vittime di questo sistema di ricatto e riscatto, ormai noto agli esperti da più di tre anni: sviluppatosi come gioco pericoloso tra adolescenti in cerca di riscatto, notorietà o vendette private contro coetanei e adulti, i ransomware, ossia i codici malevoli che conducono a richieste di riscatto per furto di dati e/o identità, hanno colpito in tutto il mondo: dagli Stati Uniti all’Estonia, dalla Russia alla Cina. Gli attacchi più noti al grande pubblico sono stati White Rose, citato anche sul sito del DIS, l’attacco ad Atlanta, l’attacco allo spazio iCloud e Mirai.

 

White Rose è un ransomware della famiglia di Infinite Tear, così come lo sono Black Ruby e Zenis. Tutti questi codici malevoli agiscono principalmente sui sistemi Windows ed accedono con vari metodi al desktop o altri spazi del device colpito bloccando file di svariate estensioni (moltissime) attraverso una vera e propria operazione di encryption, ossia di cifratura. I target file vengono resi inutilizzabili perché ne viene cambiata l’estensione: ad esempio, Infinite Tear cifrava numerosissimi tipi di file aggiungendo una ulteriore estensione alla fine della denominazione degli stessi, del tipo .JezRos, in modo che l’utente si ritrovasse di fronte a file del tipo .doc.JezRos anziché .doc, .docx, jpeg, e via dicendo. I vari tipi di ransomware della famigli di Infinite Tear riportano, in luogo dell’apertura dei file compromessi, un messaggio che richiede il riscatto. A differenza di altri ransomware, il messaggio è scritto in un inglese accettabile, con linguaggio falsamente poetico ed evocativo, ma privo degli errori vistosi che saltano agli occhi negli ultimi attacchi del 2018. In breve, questa famiglia di codici è creata con cura e attenzione da personaggi esperti.

 

Anche l’attacco ad Atlanta ha funzionato come un denial of service. Il pericolo derivava dal fatto che i computer bloccati erano quelli dell’amministrazione cittadina, contenenti i dati dei cittadini, ma anche altre informazioni ed accessi ad ulteriori funzionalità dei pubblici servizi. E anche in questo caso, è stato richiesto un riscatto per “liberare” dati e funzionalità.

 

Diversamente, l’interesse del grande pubblico per iCloud è dovuto al fatto che ad essere colpiti sono stati i dispositivi Mac, funzionanti fondamentalmente con un sistema operativo Linux e non con Windows: il Cloud che raccoglieva i dati degli utenti Mac colpiti veniva criptato e reso inaccessibile richiesto con l’automatica richiesta di riscatto per lo sblocco.

 

Al contrario dei precedenti malware citati, Mirai ha creato scompiglio proprio perché nel 2016 ha realizzato in concreto quello che l’attacco di luglio 2018 non avrebbe mai potuto compiere: ha preso di mira le password di svariati utenti ed ha ottenuto l’accesso a dispositivi di vario tipo (in pratica, all’intero Internet of Things, IoT), prendendo il controllo di telecamere, monitor, webcam, microfoni e altro ancora e, tramite botnet (connessioni-pirata), ha trasformato i dispositivi in veri e propri computer zombie.

 

Sul come difendersi non esiste una risposta univoca, ma si possono sicuramente usare alcune accortezze basilari ma spesso trascurate: aver cura delle proprie password ed eseguire sempre il log out  da posta, social network ed altre app collegate alla rete; prestare attenzione ai permessi (richiesti o automatici) di varie app, come ad esempio l’accesso automatico alla propria galleria di immagini e foto (una app come Whatsapp lo fa); non aprire o cliccare links sconosciuti o dubbi; non farsi prendere dal panico al primo messaggio minaccioso ricevuto, facendo attenzione anche al linguaggio (ed alla grammatica del medesimo) con cui esso è scritto; non collegare la propria posizione lavorativa (e quindi l’eventuale comunicazione di segreti di ufficio) a quella privata. Le accortezze qui riportate sono solo la base di una  più complessa cultura e cura della sicurezza globale, ma sono il punto di partenza dal quale ogni cittadino medio dovrebbe trarre spunti di riflessioni sul proprio operato ed uso dei dispositivi internet in suo possesso.

L’EUROPA CYBER E’ PRONTA?

di Serena Lisi

 

In Europa, la prima metà degli anni 2000 è trascorsa alla ricerca di una costituzione per l’Unione Europea, definita proprio allora come “spazio di libertà, giustizia e sicurezza”. Il progetto tramontò definitivamente tra 2007 e 2009, anni in cui è stato ratificato e reso operativo il Trattato di Lisbona che, tra le altre cose, ha sancito la cessione di alcune competenze in materia di sicurezza ai singoli Stati ed alle organizzazioni regionali (in primis la NATO). In quegli stessi anni, molti Paesi europei, tra cui l’Italia, cominciavano a prendere in più seria considerazione il Wassenaar Arrangement sui dual-use device, nato nel 1996 come corollario degli accordi START post guerra fredda. I dual-use devices sono strumenti che possono essere impiegati sia per un uso civile che per scopi strategico-militari e richiedono un trattamento particolarmente cauto proprio in virtù della loro natura. Sia l’Unione Europea che la NATO, in quanto persone giuriche ed organizzazioni regionali, hanno sottoscritto il Wassenaar Arrangement. Tale sottoscrizione sembrava indice di una precisa volontà di creare un quadro normativo organico ed unitario, sia alla luce della stipula della Convenzione di Budapest sul Cybercrime (2001), che delle nove categorie merceologiche del Wassenaar Arrangement (che in virtù della sua natura politico-economica ben sposava l’adesione dell’UE).

           

Tuttavia, né il framework europeo in materia di cyber security né la normativa dei singoli Stati sono risultati altrettanto organici quanto invece sarebbe stato opportuno. Che la normativa degli Stati potesse risultare complessa e cavillosa, specialmente in Paesi come l’Italia (sistema di civil law – misto), non dovrebbe stupire. È invece più difficile comprendere limiti e dubbi del framework europeo, giacché esso rappresenta, appunto, una normativa-quadro, una serie di linee-guida, che facilmente avrebbe potuto riassumere ed integrare categorie quali quelle già enumerate nel Wassenaar Arrangement, ossia: materiali speciali ed equipaggiamenti correlati; semi-lavorati; elettronica; computer/processori; telecomunicazioni e infosec; sensori e laser; navigazione e avionica; industria marittima; propulsori e ingegneria aerospaziale. Diversamente, dal 2000 ad oggi la normativa-quadro è stata incentrata su alcune aree (o materie) politiche che, però, restano necessariamente generiche, poiché per loro natura possono contenere moltissime fattispecie giuridiche ed economiche, sia astratte (temi normativi) che concrete (esempi su cui applicare la normativa), senza mai fare chiarezza sulle categorie di mezzi cyber coinvolte. In breve, è come se l’Unione Europea avesse voluto regolare il traffico stradale senza citare i mezzi utilizzati e le strade percorse dai conducenti che debbono rispettare il codice della strada. Le materie nel framework europeo sono state a loro volta divise in quattro macro-aree in occasione dell’adozione del cosiddetto cybersecurity package (13 settembre 2017): Le quattro macro-aree sono: resilienza, che comprende il rafforzamento dell’Agenzia per la Sicurezza Europea (ENISA), la creazione di un mercato unico digitale, l’implementazione della direttiva sulla sicurezza delle reti e dei sistemi informativi e il progetto per una efficiente risposta alle emergenze; l’area delle relazioni “esterne”; quella della cyberdefence (termine volutamente lasciato in lingua originale perché già abbastanza generico in originale, nonché parzialmente sovrapposto ad alcune categorie della prima area); l’area del crimine informatico.

 

Sicuramente, le macro-aree rappresentano una importante risorsa per le singole strategie nazionali, ma una strategia senza un concreto ed organico sostegno normativo non può essere efficace e rappresenta, anzi, una sorta di sovrapposizione con l’opera di organizzazioni regionali quali la NATO. Lo sviluppo del nuovo cybersecurity package sarà graduale, come mostrato dallo schema riportato di seguito estratto dalla pagina ufficiale dedicata dall’ENISA al tema (https://epthinktank.eu/2018/01/03/enisa-and-a-new-cybersecurity-act-eu-legislation-in-progress/). Attualmente, siamo solo al secondo step su nove e ciò non dipende soltanto dalla struttura del processo decisionale in seno all’Unione Europea, ma anche al fatto che l’UE non ha un testo normativo, vista la prematura fine del progetto di promulgazione di un testo costituzionale unico.

Un indicatore chiaro di tale mancanza è rappresentato dal complesso scenario dei CERT (Computer Emergency Response Team) nazionali, europeo ed extra-europei. I CERT nazionali, benché condividano alcuni punti cardine, sono spesso difformi e poggiano su basi normative profondamente variabili da Stato a Stato, il che comporta non solo una differenza nei tempi di reazione, ma anche nelle fasi di deterrenza. E’ infatti vero che il CERT deve rappresentare, in primis, una risposta alle emergenze, una sorta di “unità di crisi cibernetica”. Ma è anche vero che la loro efficacia è strettamente connessa all’efficacia di altre misure, connesse ai concetti di “deterrenza” e di “sanzione”. Fino a pochissimi anni fa, rifacendosi ad un linguaggio preso a prestito dagli anni della guerra fredda, si usava dire che non può esistere una deterrenza cibernetica, perché, in caso di attacco cyber, il cosiddetto first strike è quello decisivo. Ciò è ancora vero, in parte. Ma, se vogliamo parlare di uno spazio di “libertà, giustizia e sicurezza”, quale l’UE si è auto-definita, non possiamo fermarci a parlare di realpolitik  e di cosiddetti major e high crimes, ma dobbiamo piuttosto pensare ai cambiamenti che l’avvento della quinta dimensione ha portato nella vita quotidiana dei cittadini europei. E al concetto di cittadinanza sono legati anche i concetti di normativa (ove i termini “deterrenza” e “sanzione” hanno un significato esplicito) e di territorialità . Il quesito che l’UE dovrebbe, a questo punto porsi, è quello di come legare questi due concetti, così specifici e concreti, allo spazio cyber, che è invece virtuale e tendenzialmente anarchico. Le basi erano state poste con l’adesione dell’UE al Wassenaar Arrangement che, come l’UE, aveva natura strategica ed economica. Ma queste basi debbono essere consolidate, poiché, in caso contrario, l’Unione Europea rischia di restare sempre e solo “pronta a partire”, senza però decollare quale attore importante nel mondo della cyber security.

CINA E CYBERPOLITICS. UNA PROSPETTIVA

di Serena Lisi

 

Fin dagli Anni ‘80, le cosiddette tigri asiatiche hanno suscitato l’attenzione di economisti ed analisti, sia per il loro crescente peso economico e politico sullo scenario internazionale che per le contraddizioni insite nella loro storia e cultura. Ai giorni nostri, la “tigre” per eccellenza è senza dubbio la Repubblica Popolare Cinese, attore politico ed economico di primo piano, come già evidenziato in un report proposto lo scorso anno da The Independent, in cui appare chiaro quale sia, su scala mondiale, l’enorme volume di affari di questo stato che, tra le altre cose, fa parte del gruppo BRICS (Brasile, India, Russia, Cina, Sudafrica).

 

 

Il fatto che la Cina sia inserita nel gruppo dei Paesi BRICS non è un caso: a prima vista, l’elemento più importante pare essere costituito dal fatto che a livello mondiale il suo volume di affari segue quello degli Stati Uniti, ed è decisamente superiore a quello dell’eterna “alleata-rivale” Russia. Ma il vero fulcro della questione può essere individuato nel fatto che la Cina ha un posto molto particolare all’interno del gruppo BRICS: è stata la Cina, ad esempio, a spingere per l’ingresso del Sudafrica nel gruppo e a sostenere la cessione di fondi a suo favore per l’avvio di politiche di aggiornamento di cultura e infrastrutture del settore digitale. Decisioni prese alla luce del fatto che la Cina già da dieci anni investe acquistando terreni nel continente africano, ove porre le proprie infrastrutture digitali per poter usufruire di una vera e propria “arma” strategica, lo spazio elettromagnetico. È ormai noto a livello globale il cosiddetto slot problem legato alle difficoltà di inviare in orbita nuovi satelliti geostazionari (ogni satellite ha bisogno di uno spazio angolare, cioè di un angolo di visuale entro il quale lanciare il proprio segnale e l’orbita terrestre, ellittica, ha ovviamente uno spazio limitato). La Cina, così come altri Paesi, sta cercando di aggirare questo problema utilizzando lo spazio elettromagnetico e satelliti “in orbita bassa” (tra i 300 e i 2.000 km di altitudine) per rimbalzare segnali di vario genere da un capo all’altro del globo, senza dover ricorrere all’acquisto di ulteriori posizioni in orbita geostazionaria. In questo senso, il sodalizio cinese con il continente africano rappresenta un turning point strategico, anche in virtù della morfologia fisica del territorio stesso, in larga parte pianeggiante, che permette l’agevole installazione di idonei ripetitori e infrastrutture.

 

È facile spiegare come mai la Cina si sia imbarcata in una simile avventura e quale connessione abbia questo fatto con la politica nazionale sulla cyber security. In primo luogo, la Cina ha scelto una forma di indipendenza dal “circuito internet globale” che si differenzia dalle soluzioni scelte da altri due Paesi (guarda caso sempre dei BRICS) controcorrente, come la Federazione Russa ed il Brasile: la prima ha puntato principalmente sull’uso di software, app e motori di ricerca non globalizzati (si veda il caso Yandex); il secondo ha scelto di creare il proprio cavo sottomarino (in realtà al servizio di tutti i BRICS, con vantaggi, quindi, anche per la Cina) per collegarsi all’Europa e al resto del mondo, senza dover fruire dell’infrastruttura statunitense con le sue “backbones” nell’Atlantico centrale e del nord.

 

 

La Cina, invece, forse favorita dal proprio regime autoritario, ha scelto una soluzione che parte dall’infrastruttura per finire alle app (alcune delle più note app globali sono bloccate e vengono sostituite da versioni cinesi: Facebook, Twitter, Instagram, Pinterest, Tumblr, Snapchat, Picasa, WordPress.com, Blogspot, Blogger, Flickr, SoundCloud, Google, Google+, Google Hangouts, Youtube e Vimeo non funzionano). Tale soluzione prevede, naturalmente, anche l’esistenza di una apposita struttura statale, sia burocratica che normativa, adatta a gestire e controllare azioni e iniziative nel contesto dell’aleatorio spazio cibernetico. Proprio in questo contesto, emerge una delle contraddizioni citate in apertura: la struttura burocratico-amministrativa per la gestione delle politiche di cyber security è caratterizzata da una struttura gerarchizzata ed anche rigorosa, ma i mezzi per implementare tali politiche sono i più svariati e l’applicazione può essere molto flessibile, quasi arbitraria, come nel caso della criticatissima delazione “segreta” che ogni cittadino può mettere in atto ai danni di coloro che violino le regole d’uso di internet prescritte dal regime. Tale delazione “segreta” è possibile proprio in virtù della già citata struttura burocratico-amministrativa: al servizio del Ministero per la Sicurezza di Stato (MSS) si trova il Centro per la Valutazione della Sicurezza delle Tecnologie dell’Informazione (CNITSEC), che cura il Database Nazionale delle Vulnerabilità della Sicurezza Informatica (CNNVD), dentro il quale confluiscono tutte le minacce al sistema nazionale.

 

La struttura istituzionale è poi sostenuta da una aggiornata dottrina strategica e da una nuova normativa: il Libro bianco della Difesa della Cina è del 2015, mentre la Network Security Law risale al 2017 e, in tale contesto, operano la Forza di Supporto Strategico (SSF) e l’Unità 61398 della PLA (People’s Liberation Army), preposte allo svolgimento di PSYOPS e di operazioni di intelligence, da collocarsi nell’ambito della cosiddetta “difesa attiva” (o proattiva) descritta nei documenti strategico-normativi.

 

Tutta la struttura, naturalmente, funziona grazie a fondi statali ottenuti dall’ordinaria tassazione su popolazione ed attività, con un bilancio ben preciso e studiato in dettaglio fin dall’inizio del millennio, cosa che fa la differenza rispetto a democrazie europee quali l’Italia, che solo da pochi anni hanno un budget per la cyber security, peraltro ritagliato da altri capitoli di spesa, dopo anni di iniziative a “euro zero”. In un noto discorso, Winston Churcill disse che la democrazia era il peggio regime politico esistente, ma l’unico possibile. A molti anni di distanza, possiamo aggiungere una postilla: la democrazia è un sistema così presuntuoso che esso valuta come malevole le soluzioni intraprese nel contesto di altri regimi, senza valutarne le potenzialità in contesti socio-economici diversi o, peggio, etichettandole come “di nicchia”. La Cina è un Paese esteso, economicamente potente e sovrappopolato, un attore da non sottovalutare, né da relegare al ruolo di “avversario” da un lato o di “partner economico” dall’altro.