DAI SOUNDBYTE ALLE E-MAIL POSTICIPATE, RISVOLTI NELLA NORMATIVA ITALIANA

di Serena Lisi

 

Nel mese di aprile 2019, alcuni provider di servizi di posta elettronica, come ad esempio Gmail, hanno annunciato che, da oggi in poi, sarà possibile inviare messaggi dilazionati nel tempo, programmandone la consegna pochi minuti o anni dopo, senza più dover ricorrere ad apposite applicazioni, come ad esempio LetterMeLater o FutureMe, poco note e caratterizzate da diversi limiti d’impiego e capienza. Gmail, ad esempio, ha annunciato che potrà posticipare le proprie e-mail fino a cinquant’anni e senza bisogno di avere a disposizione una connessione attiva al momento dell’invio precedentemente programmato.

 

La nuova funzionalità avrà certamente aspetti utili nella vita quotidiana – lavorativa e privata –  di utenti senza particolari pretese, che vedono il provider di posta come un semplice mezzo per la diffusione di comunicazioni e file. Tuttavia, questa semplice novità cambierà radicalmente alcuni aspetti del già complesso universo della comunicazione digitale. Quasi certamente, un particolare impatto verrà riscontrato in ambito investigativo e giudiziario.

 

Paesi come l’Italia già risentono della nuova normativa in materia di intercettazioni: il Decreto legislativo 29 dicembre 2017, n. 216 e la recente regolazione in materia di prova digitale ed investigazioni su reati finanziari e di evasione fiscale (Circolare 1/2018 della Guardia di Finanzia). In questi due testi, che riepilogano alcune disposizioni contenute nel framework comune europeo a proposito di cybercrime e che vanno a completare il disposto della legge 48/2008 (sempre sui crimini informatici), vengono introdotti concetti nuovi quali quello di catena di custodia della prova digitale e di captatore informatico atto a procurare dati concorrenti alla formazione della prova in sede di dibattimento. Con “catena di custodia delle prove digitali” si intende quell’insieme di operazioni svolte con procedura standard da personale qualificato ed atte a reperire e conservare adeguatamente e senza alterazione i dati e metadati (dati a proposito dei dati) digitali utili per la formazione di una prova in sede di dibattimento. Con l’espressione “captatore informatico” si intende, invece, uno strumento che riesca a carpire ed intercettare dati e file contenuti e scambiati dal dispositivo di un utente posto sotto controllo giudiziari, in breve “intercettato”.

 

È facile comprendere che la possibilità di posticipare una comunicazione, potenzialmente corposa e ricca di allegati come una e-mail, costituisce un vero e proprio punto di svolta sia in sede di investigazioni che di dibattito (quindi di formazione della prova durante il dibattito), soprattutto in materia penale o di prevenzione di crimini ed atti di terrorismo. La semplice programmazione di una comunicazione in uscita, infatti, non costituisce di per sé la prova inconfutabile che tale comunicazione partirà, poiché essa potrebbe essere cancellata o cambiata prima dell’invio medesimo.

 

Allo stesso modo, il già difficoltoso tracciamento di un simile tipo di comunicazione risulterà ancor più complesso. Già prima dell’avvento di questo noto tipo di funzione, il tracciamento di una comunicazione a fini investigativi e probatori richiedeva cura ed attenzione dal punto di vista metodologico: tecnicamente è abbastanza facile o comunque non impossibile, per un addetto ai lavori, risalire all’IP (Internet Protocol address) al quale un certo dispositivo si connette per operare, eppure, nella storia di molte investigazioni e molti processi recenti, tale passaggio viene sottovalutato o tralasciato, concentrandosi piuttosto sul mero contenuto delle informazioni ricavate dall’accesso alla corrispondenza e ai file elettronici presi in esame.

 

Oggi, a questo tipo di onere metodologico, si aggiunge una problematica di tipo materiale. Con la possibilità di inviare comunicazioni dilazionate nel tempo, in alcuni casi, gli accertamenti necessari per stabilire informazioni fondamentali come il posizionamento degli attori di un certo evento – in particolare di coloro che sono sospettati di illecito/crimine – potrebbero diventare automaticamente accertamenti tecnici irripetibili ex art. 360 bis c.p.p. Si pensi, ad esempio, al caso di un soggetto indagato in un futuro prossimo, che abbia inviato oggi una e-mail dal proprio computer da un determinato luogo programmandone la consegna a distanza di quattro anni. Se si volesse incrociare questo tipo di informazioni con altre, come ad esempio il tracciamento di una telefonata eseguita con il cellulare o qualsiasi altro dispositivo di telefonia “classica”, non si potrebbe fare, poiché i tabulati di questo genere di comunicazioni (telefonate di rete mobile e fissa, SMS) sono ad oggi disponibili solo con una retroattività di due anni. Per dare un’immagine concreta di quanto teorizzato, se un soggetto che svolge un’indagine dovesse confrontare le informazioni riguardanti l’invio di una mail o file la cui consegna è programmata oggi per il 2025, non avrebbe a disposizione quelle di analoghi tabulati telefonici antecedenti al 2023 perché, almeno ad oggi, le compagnie telefoniche italiane (ed europee) non li conservano.

 

Questo è un semplice esempio di come l’evoluzione tecnologica spesso preceda sia l’evoluzione della normativa che delle strategie per l’implementazione delle politiche di promozione di spazi di giustizia e sicurezza comune (per parafrasare un’espressione cara ai promotori di Trattati dell’Unione Europea quali quello di Lisbona del 2007). È un trend sempre esistito nella storia della politica e delle relazioni internazionali, ma è divenuto esponenziale con l’avvento della cosiddetta quinta dimensione, quella cyber, in cui le comunicazioni viaggiano a velocità-lampo sia nel tempo che nello spazio, in pieno rispetto degli enunciati della (allora) futuristica teoria della relatività di Einstein.

 

In breve, ci troviamo di fronte ad una sorta di paradosso della modernità, in cui i futuribili influenzano il passato, così come teorizzato da Fantappiè a proposito di fenomeni sintropici ed entropici o da Lorenz nel suo discorso sugli attrattori strani e l’evoluzione di un sistema dinamico verso un determinato equilibrio. Di fronte a questa nuova realtà sarà, ancor più di prima, importante garantire ad ampio spettro l’adozione di standard operativi e di formazione del personale che consentano il corretto uso di strumenti nuovi e ricchi di potenzialità quali i captatori informatici, nonché la conoscenza e l’adozione sistematica (e non sporadica o settoriale) della catena di custodia dei dati digitali, anche prima che essi diventino materiale di interesse per organi inquirenti, requirenti e autorità di polizia giudiziaria e pubblica sicurezza.

RISCHI E PERICOLI DELLE PIATTAFORME DI INTERNET

di Cristiana Era

 

Con oltre due miliardi di utenti Facebook è tra le piattaforme di internet più note ed utilizzate a livello mondiale. Il suo stesso successo, dopo il lancio del 2004, ha contribuito in modo determinante all’espansione dei social network, social media e di altre piattaforme, oltre che all’affermarsi di un modello imprenditoriale indirizzato verso algoritmi sempre più mirati ad individuare le caratteristiche e le preferenze dei singoli utenti, personalizzando i contenuti. Ad oggi, 8 persone su 10 sono costantemente collegate ai vari tipi di piattaforme sociali: Whatsapp, Messenger, Twitter, Instagram, WeChat, Qzone, Weibo, solo per menzionarne alcune.

 

La loro larga diffusione e l’assenza di qualsivoglia controllo su profili, collegamenti e post non potevano non portare con il tempo anche ad effetti indesiderati che hanno aperto un dibattito ed un confronto tra i sostenitori ad oltranza e i critici che mettono in guardia sui pericoli non solo per la privacy e la sicurezza informatica, ma per la democrazia stessa. A sostegno di questi ultimi, una serie di scandali che hanno coinvolto Facebook, Twitter e Instagram in maniera continuativa a partire dal 2016, l’anno delle elezioni presidenziali americane influenzate dai troll russi con la creazione di falsi profili (i fake accounts) sulle piattaforme di internet e riconducibili ad agenzie governative di Mosca per manipolare l’opinione pubblica in rete e quindi il voto. Le ripercussioni del Russiagate, ancora oggi ampiamente dibattuto a livello politico, legale e mediatico, hanno spinto – com’era ovvio – le agenzie di intelligence americane ad aumentare i controlli, e lo hanno fatto soprattutto con l’approssimarsi delle elezioni amministrative di mid-term del 2018.

 

Sotto accusa è finita anche la nuova strategia di web marketing denominata “growth hacking” e basata su combinazioni di tecniche di marketing ed informatica. Termine coniato da Sean Ellis nel 2010, il growth hacking è stato ed è tuttora largamente utilizzato da startups e social network. Facebook è ricorsa al growth hacking, ed in effetti negli ultimi anni l’azienda ha visto una crescita esponenziale della raccolta pubblicitaria che ha largamente superato i 50 miliardi di dollari e si accinge a raggiungere anche la soglia dei 60 miliardi. Ma il prezzo da pagare di questo modello imprenditoriale è anche molto alto. Poiché il fine ultimo di questa strategia è la crescita esponenziale del prodotto – virtuale o meno – non esistono altri parametri di riferimento quali codici etici che la possano in qualche modo rallentare o anche solo diminuire.

 

Non è una esagerazione affermare che le piattaforme di internet, per la loro diffusione e radicalizzazione, sono in grado di destabilizzare e rimodellare intere strutture politiche e sociali. Gli allarmi che riguardano, ad esempio, i processi democratici non possono essere circoscritti alle campagne elettorali online poiché, com’è noto, le libere elezioni sono un elemento portante ma di per sé non sufficiente di qualsivoglia democrazia. Alla base di questa, infatti, vi deve essere necessariamente anche una libera informazione. E se è indubbio che internet abbia reso l’informazione alla portata di tutti e consentito alla voce dei media liberi di farsi sentire abbattendo i muri della censura di taluni regimi autoritari, è altrettanto vero che l’informazione è sempre più soffocata dalla disinformazione, soprattutto se radicale, alimentata dagli algoritmi delle piattaforme che mirano a polarizzare i gruppi sulla rete. Come quasi sempre avviene, le chat di persone con opinioni, esperienze e preferenze simili sono estremamente attive, accrescono il traffico di dati e gli spazi pubblicitari ma al contempo frenano, quando addirittura non impediscono, qualunque forma di dissenso e in taluni casi alimentano i cosiddetti hate speech, con opinioni, non fatti.

 

Altro aspetto determinante è quello della privacy, che in rete è sistematicamente violata. Al di là del recente caso di Cambridge Analytica, che giusto un anno fa ha messo in forte imbarazzo i vertici di Facebook rivelando la raccolta irregolare da parte della società americana di dati di ben 87 milioni di utenti del social network che poco o nulla aveva fatto per impedire la violazione, molti altri scandali sull’uso improprio e sulla manipolazione di dati personali senza il consenso dei titolari hanno visto coinvolti i ben noti giganti del web: Amazon, Google, Netflix, Microsoft. E tuttavia, nonostante lo scalpore suscitato al momento dello scoppio dello scandalo, sembra che l’utente medio non sia in grado di capire la portata e la gravità di queste violazioni con enormi interessi economici in gioco. Tanto è vero che casi simili continuano a verificarsi con scarse conseguenze quanto alla responsabilità delle aziende del web.

 

Alcuni osservatori ed insider mettono in guardia anche sui dispositivi domestici intelligenti, quali Alexa e Google Home, con elevata capacità di raccolta dati non solo su preferenze dei consumatori, ma anche su stili di vita, cultura, abitudini. In pratica, quello che viene considerato un congegno di ultima generazione, sicuramente innovativo e divertente, può in pratica diventare una spia dentro casa, oltre a porre un serio interrogativo sulla sicurezza stessa di questi dispositivi quanto a capacità di essere hackerati e manipolati da terzi.

 

Come si cerca di ripetere da più parti, se non accompagnata da una conoscenza adeguata o consapevolezza di rischi e limiti da inserire, la tecnologia pensata per servire rischia invece di assoggettare. I segnali ci sono, spetterebbe ai legislatori regolamentare e al cittadino informarsi.

INTEROPERABILITÀ O GESTIONE FORZATA? I NOSTRI DATI ALL’INDOMANI DEL CASO CAMBRIDGE ANALYTICA

di Serena Lisi

 

Da alcuni giorni, il caso Cambridge Analytica è diventato un argomento largamente diffuso anche tra i non addetti ai lavori. Dietro a questo nome, si celano un’azienda di marketing ed il suo fondatore, un miliardario statunitense, il cui cognome, Mercer, evoca l’omnisciente (ed evanescente) figura che può riconoscere gli androidi a cui dare la caccia nel libro di P.K. Dick “Do Androids dream of electric sheep?”, da cui è stato tratto il celeberrimo film di R. Scott, “Blade Runner”.

 

Il caso si rivela complesso nella sua apparente banalità: pare che Cambridge Analytica abbia prelevato dati da Facebook in maniera scorretta e, in aggiunta, sia stata in stretto contatto – se non al servizio – di uno dei più importanti collaboratori del Presidente statunitense Trump durante la campagna del 2016. Si vocifera, infine, che la stessa società abbia avuto contatti con personaggi chiave della Federazione Russa e del Regno Unito, questi ultimi sostenitori della Brexit.

 

Come è noto, Cambridge Analytica vanta l’invenzione di un sistema psicometrico di microtargeting comportamentale, che utilizza i dati raccolti per “profilare” gli utenti e comprenderne a fondo gusti, preferenze, spostamenti (fisici e non), così da poter inviare loro proposte commerciali ed annunci pubblicitari personalizzati, commissionati da grandi aziende ed altri clienti. La particolarità del sistema sta nel fatto che esso sfrutta anche una sorta di software previsionale, evoluzione degli studi del ricercatore di Cambridge Michal Kosinski, capace di interpretare e valutare anticipatamente le reazioni emozionali, in aggiunta a quelle razionali, degli utenti profilati su Facebook. In più, la società dispone di big data ottenuti da altre compagnie, le cosiddette broker di dati, che fanno mininig su Facebook, scavando letteralmente nelle preferenze delle persone.

 

Nel caso in questione, molti dei dati aggiuntivi utilizzati da Cambridge Analytica sono stati ceduti in maniera illecita da un secondo ricercatore di Cambridge, Alexandr Kogan, che nel 2014 aveva realizzato – inizialmente solo per finalità di ricerca – una app denominata “thisisyourdigitallife”, alla quale molti users di Facebook si erano iscritti. Kogan aveva poi violato le condizioni d’uso cedendo le informazioni a terzi, ossia a Cambridge Analytica, con l’aggravante che, attraverso la app “thisisyourdigitallife”, era possibile accedere alle cosiddette reti di amici, contenenti ulteriori notizie sui soggetti profilati in origine. A seguito di proteste e, successivamente, dello scandalo stesso, Facebook ha imposto uno stretto giro di vite alla raccolta dei dati, ma ciò non è servito ad arginarne la fuoriuscita, dato che milioni di utenti erano ormai stati già profilati.

 

La vicenda ha dunque continuato ad avere un’alta risonanza mediatica, soprattutto in seguito alla notifica di una seconda notizia: a inizio marzo 2019, Mark Zuckerberg ha annunciato che Facebook, Whatsapp e Instagram saranno interoperabili e che gli utenti dei tre social networks potranno comunicare con i contatti facenti capo a tutti e tre i sistemi anche qualora siano iscritti solo ad uno di essi. Tale interazione potrebbe essere estesa, in futuro, persino a chi utilizzi soltanto gli sms dei cellulari. Secondo Zuckerberg, l’interoperabilità avverrebbe tramite sistemi sicuri e lo scambio di informazioni sarebbe interamente gestito dagli utenti, che potranno decidere se “unire” o tenere “separate” le app, nonché le informazioni in esse contenute.

 

Tralasciando i già grossi problemi tecnici ancora da risolvere, come ad esempio lo sblocco delle interazioni tra app e messaggistica su sistemi Linux/Ubuntu, che ad oggi non permettono commistione tra app vere e proprie e short messages, c’è da chiedersi se saranno davvero gli utenti a stabilire quali interazioni consentire e in che misura rendere possibile l’accesso ai propri dati. Basta pensare che una app come Whatsapp richiede di poter salvare e scaricare le immagini inviate dagli utenti direttamente nella galleria del proprio smartphone/tablet/computer, ossia in una parte del sistema operativo che poco c’entra con la app in quanto tale. Se Whatsapp diventa interoperabile con altre app, anche queste ultime potrebbero accedere ad informazioni collegate con il contenuto della galleria. Un ulteriore dubbio viene dal fatto che molti utenti potrebbero veder sfumare la privacy garantita dall’utilizzo di fake account creati con una delle tre app: se costoro diventassero raggiungibili anche via sms, parte di questa privacy potrebbe non esser più garantita come una volta. In breve, se i tre sistemi verranno resi interoperabili senza la possibilità di creare dei veri e propri “comparti stagni digitali” al loro interno, potremmo presto trovarci di fronte ad un nuovo scandalo Cambridge Analytica.

L’ITALIA E LA CATENA DI CUSTODIA DEI DATI DIGITALI

di Serena Lisi

 

Da poco più di un anno, in Italia è stata emanata la circolare 1/2018 della Guardia di Finanza in materia di custodia dei dati digitali nel settore del contrasto alla frode fiscale. Il documento funge da vero e proprio “Manuale operativo in materia di contrasto all’evasione e alle frodi fiscali”. La circolare copre tutti gli aspetti dell’ambito investigativo di competenza della Guardia di Finanza ed è, perciò, diviso in quattro volumi dedicati ai vari aspetti delle procedure di accertamento: logistici, giuridici, normativi, organizzativi, divisione o condivisione di competenze con altri organi investigativi e così via.

 

Una sezione di particolare interesse è quella dedicata alla catena di custodia dei dati digitali, dove si trovano riferimenti raccolti in maniera organica sia alla dottrina che alla pratica del settore digitale forense, a ben 10 anni dall’emanazione della legge 48/2008, ossia del provvedimento normativo che ha reso operativa anche in Italia la Convenzione di Budapest sul Cybercrime del 2001. Per la prima volta viene individuata e descritta concretamente la figura di  esperti facenti parte del personale del Corpo, che risultino in possesso della qualifica “CFDA” – Computer Forensics e Data Analysis. È un primo passo importante per la definizione delle competenze di coloro che, in ambito civile e militare, abbiano a che fare a qualsiasi titolo con la cosiddetta catena di custodia delle informazioni digitali. Così come previsto nella Convenzione di Budapest, la catena di custodia delle informazioni digitali è stata pensata soprattutto per applicazioni in campo investigativo e penale, ma può essere comunque applicata anche per semplici scopi di trattamento sicuro dei dati dematerializzati; non a caso, gli articoli specificamente dedicati a questo argomento sono gli artt. 244-47 c.p.p. (ispezione, ricognizione e perquisizione), 254-bis c.p.p. (sequestro) e 259 c.p.p. (custodia e integrità dei dati).

 

Dal testo della circolare 1/2018 emerge che il contesto italiano è ancora piuttosto difforme e variegato in materia di applicazione della normativa sui dati digitali. Ad esempio, la già citata figura del CFDA nasce proprio perché spesso, in sede di indagine, la magistratura competente non nomina né un ausiliario di polizia giudiziaria ex art. 348, comma 4, c.p.p. (cioè un soggetto, interno o esterno, in grado di assicurare il corretto trattamento della fonte di prova), né un esperto di trattamento dei dati digitali ex art. 459 c.p.p. Questo esempio ci fa concludere che può essere, in un certo senso, estesa all’intero contesto del trattamento delle fonti digitali in ambito legale: da una parte, almeno in linea di massima, la legge 48/2008 ha colmato il vuoto normativo italiano, anche se ben sette anni dopo la firma della Convenzione di Budapest; dall’altra, però, le fattispecie concrete continuano ad essere trattate in maniera difforme, secondo standard e protocolli che variano da caso a caso e senza una figure di riferimento codificate in maniera univoca dalla legge nazionale, poiché queste ultime vengono sostituite da soggetti  ad hoc individuati a discrezione delle Autorità competenti in ciascuna materia, così come evidente dal caso qui presentato.

 

La questione della difformità di trattamento dei dati digitali non è circoscritta all’eterogeneità dei soggetti titolari del trattamento, sia in fase di gestione ordinaria (custodia ed utenza quotidiana) che straordinaria (contestazioni e cause in sede civile e penale): essa si estende anche alle vere e proprie modalità del trattamento in questione. Due sono i punti critici, soprattutto in sede probatoria e penale: l’effettivo rispetto della già citata catena di custodia del dato in quanto tale e la gestione dei metadati ad esso collegati.

 

Per quello che riguarda il primo punto – la catena di custodia – possiamo dire che la legge parla chiaro ma le buone pratiche (anch’esse ormai note) stentano ad essere applicate in maniera uniforme, soprattutto dove servirebbe, ossia in materia penale. Fatta eccezione per la circolare della Guardia di Finanza, spesso il ciclo dell’informazione a fini giudiziari non osserva la necessaria scansione logica, tecnica e temporale tra le diverse e ormai note fasi della catena di custodia: ricognizione, ispezione e perquisizione, sequestro. Spesso sia gli organi inquirenti che giudicanti tendono a confondere la mera ricognizione con l’ispezione e perquisizione degli spazi virtuali ed associano, invece, il sequestro alla perquisizione dei supporti, senza però utilizzare gli strumenti necessari per evitare l’inquinamento o la corruzione delle prove, che avviene per lo più con l’involontaria modifica o cancellazione dei metadati. Un esempio è fornito dal ben noto caso del delitto di Garlasco, occasione in cui né l’accusa né la difesa ebbero la possibilità di utilizzare gli indizi (forse prove?) contenuti nel laptop del principale sospettato, poiché esso era stato acceso e spento più volte senza aver “cristallizzato” i metadati contenuti al momento della prima ricognizione. In parole più semplici, non erano stati utilizzati quegli specifici dispositivi di acquisizione sicura che oggi la circolare 1/2018 individua come segue: “specifici dispositivi (writeblocker, duplicatori) e/o applicativi (software di acquisizione forense), capaci di garantire l’integrità dell’evidenza acquisita”.

 

Come già detto, tuttavia, la circolare, al momento, riguarda per lo più reati di tipo finanziario, dove l’organo inquirente è, appunto, la Guardia di Finanza. Tuttavia, essa può essere uno spunto per tutti coloro che lavorano in sede investigativa, penale e non, in ambiente civile e militare. Infatti, il quadro offerto dalla Convenzione di Dublino e dalla legge 48/2008 avrebbe già indicato una possibile strada da percorrere. Da queste fonti normative, infatti, si possono individuare le caratteristiche-base della catena di custodia dei dati digitali, che peraltro hanno ispirato la circolare 1/2018. Caratteristiche che possono essere così riassunte:

 

– creare un Documento di Catena di Custodia, ove siano censiti tutti i soggetti che hanno maneggiato supporti e dati digitali e tutte le azioni compiute su supporti e dati;

– separare le fasi di ricognizione, ispezione e perquisizione, sequestro di dati e supporti, incaricando, con un provvedimento ufficiale, i titolari e i custodi di dati e supporti, accertandosi che eventuali passaggi di consegne o incarico siano svolti in maniera conforme al protocollo di custodia;

– tener conto di quali accertamenti siano ripetibili e quali non ripetibili, come ad esempio il posizionamento in luogo e lasso temporale idoneo di telecamere per filmare soggetti in flagranza di reato.

 

In buona sostanza, l’impianto normativo esiste: si tratta ora di applicarlo su larga scala e di cominciare ad istruire il personale addetto utilizzando un approccio interdisciplinare, senza più agire secondo la logica dei “compartimenti stagni”.

L’EVOLUZIONE DELLA MINACCIA CIBERNETICA COME STRATEGIA DEGLI STATI

di Pier Vittorio Romano

 

11 settembre 2001. Da quel giorno tutto il mondo ha la consapevolezza di una nuova e micidiale minaccia non convenzionale: la dimensione cibernetica. Con l’attacco alle Torri Gemelle si è chiusa la tradizionale percezione della minaccia, l’aspetto asimmetrico ha preso il sopravvento; d’altronde lo scenario della Guerra Fredda, che ha dominato per oltre 50 anni, è stato del tutto ed irrevocabilmente modificato poiché la minaccia non ha più un confine territoriale.

 

Lo sviluppo tecnologico dell’informatica ne ha trasformato l’uso: da strumento “tattico” utilizzato per snellire l’attività burocratica è diventato, oramai, un’irrinunciabile strumento “strategico” per l’industria in generale ed anche per le forze armate di ogni nazione. Con lo sviluppo del web si sono evolute anche le sue minacce. Worms e virus si sono trasformati da semplici inconvenienti in serie sfide per la sicurezza e perfetti strumenti di spionaggio cibernetico.

 

Una delle prime modalità attacco cibernetico divenuto strumento di “guerra informatica” è il DDOS, acronimo di Distributed Denial of Services. Si tratta di un attacco informatico che cerca di mettere in sovraccarico le richieste verso un computer, generalmente un server, fino a rendergli impossibile l’erogazione dei servizi per cui è stato programmato. Questi attacchi vengono messi in atto generando un numero estremamente elevato di pacchetti di richieste che, ovviamente, il server non è in grado di gestire contemporaneamente, portando all’arresto del sistema e quindi alla “negazione” del servizio.

 

Ma ben più grave si è rivelato il malware “Stuxnet” divenuto pubblico nel giugno del 2010. Il virus fu scoperto da Sergey Ulasen, impiegato di VirusBlokAda, una società di sicurezza bielorussa. Ulasen fu chiamato dai gestori della centrale nucleare iraniana di Natanz perché un tecnico aveva osservato un riavvio inaspettato di una macchina dopo un BSoD, ovverosia “Blue Screen of Death” (schermata blu della morte), nome dato comunemente alla schermata di colore blu mostrata da un computer con un sistema operativo Microsoft Windows quando si verifica un errore di sistema critico che non può essere risolto. Dopo un’analisi, il tecnico bielorusso rilevò che tali anomalie si presentavano su più macchine e osservò comportamenti diversi tra i PC industriali ancora puliti e quelli infetti. A seguito di test con macchine ancora non infettate munite di un sistema di rilevamento collegate in rete, scoprì il tentativo di infezione.

 

Successivamente emerse che Stuxnet è un virus informatico appositamente creato e diffuso dal governo statunitense nell’ambito dell’operazione “Giochi Olimpici”, promossa da Bush nel 2006, che consisteva nel realizzare una moltitudine di “attacchi digitali” contro l’Iran in collaborazione col governo israeliano; in particolare lo scopo del software era il sabotaggio della citata centrale nucleare iraniana di Natanz. Il virus andava ad interagire con i PLC, “Programmable Logic Controller” ovvero con quei componenti hardware programmabili via software fondamentali per l’automazione degli impianti della centrale, in particolare quelli adibiti al controllo delle centrifughe, utilizzate per separare materiali nucleari come l’uranio arricchito, riuscendo anche a nascondere la propria presenza. La caratteristica che ha colpito gli esperti fin dall’inizio fu il livello di sofisticazione di Stuxnet – composto da tre grandi moduli: un worm che danneggia i PLC e permette l’autoreplicazione su altri computer, un collegamento che mette in esecuzione le copie create dal worm e un rootkit che lo nascondeva in modo da renderlo non individuabile – a dimostrazione che chi aveva scritto il programma conosceva fin nei dettagli l’ambiente informatico in uso alla centrale. Questo malware, fra l’altro, faceva leva su quattro vulnerabilità di Windows ancora inedite (0-day) all’epoca del contagio per poi propagarsi verso il software “Step7” della Siemens, quello utilizzato per controllare i PLC, informazioni che, secondo alcuni specialisti del settore, varrebbero sul mercato nero almeno un quarto di milione di dollari ciascuna. Il contagio da parte di Stuxnet è probabilmente avvenuto dall’interno del sistema industriale tramite l’inserimento di una chiavetta USB infetta in un computer da parte di un ignaro ingegnere iraniano: il worm si è poi propagato in rete fino a trovare il software “Step7” della Siemens, modificandone il codice, in modo da danneggiare il sistema facendo credere all’operatore che tutto funzionasse correttamente.

 

Successivamente Stuxnet si è diffuso anche al di fuori dalla centrale nucleare iraniana, tramite un PC portatile infetto, a causa di un errore di programmazione presente nel virus stesso, dato che Stuxnet poteva essere eseguito non solo sui citati PLC ma anche sui sistemi SCADA (Supervisory Control And Data Acquisition), colpendo principalmente le aziende da cui provenivano le attrezzature per il programma atomico iraniano: Giappone, Europa e Unione Sovietica.

 

Le tre settimane di massicci attacchi cibernetici mostrarono che, sul fronte informatico, le società dei paesi della NATO dipendenti dalle comunicazioni elettroniche erano anch’esse estremamente vulnerabili. In precedenza, durante la crisi del Kosovo, la NATO ha subìto degli attacchi cibernetici che hanno portato al blocco, per molti giorni, degli account di posta elettronica dell’Alleanza per i visitatori esterni ed alla ripetuta distruzione del sito web della NATO. Nonostante ciò, la dimensione cibernetica del conflitto venne ancora considerata solo come un ostacolo alla campagna d’informazione della NATO con rischio limitato nella sua portata al potenziale danno richiedendo, pertanto, limitate azioni tecniche di risposta accompagnate da azioni informative di basso profilo verso l’opinione pubblica.

Ci sono voluti gli eventi dell’11 settembre per cambiare tale percezione. E sono stati necessari gli incidenti in Estonia dell’estate 2007 per attirare l’attenzione politica verso questa crescente fonte di minaccia per la sicurezza pubblica e la stabilità dello Stato.

 

Nel 2008, uno dei più seri attacchi fu lanciato contro i sistemi computeristici militari USA. Attraverso una semplice penna USB collegata a un pc portatile del sistema militare in una base militare in Medio Oriente, la spia penetrò inosservata tanto nei sistemi classificati che in quelli non classificati. Ciò mostrò cosa voleva dire avere una testa di ponte digitale, da cui migliaia di file furono trasferiti a server sotto controllo straniero.

 

Dei massicci attacchi ai siti web governativi e ai server si verificarono anche in Georgia durante il conflitto con la Russia, rendendo concreto il termine guerra cibernetica. Queste azioni non produssero un danno fisico, ma indebolirono il Governo georgiano durante una fase critica del conflitto ed influirono sulla sua capacità di comunicare con un’opinione pubblica nazionale e mondiale assai scossa. Da allora, lo spionaggio cibernetico è divenuto una minaccia quasi costante. Incidenti simili si sono verificati in quasi tutti i paesi NATO e, soprattutto, negli USA.

 

Questi numerosi incidenti negli ultimi 5-6 anni sono un trasferimento di ricchezza e di segreti nazionali gelosamente custoditi verso mani per lo più anonime e assai probabilmente ostili senza precedenti nella storia. Questa tipologia di attacco chiarisce che, finora, i protagonisti più pericolosi in campo cibernetico sono ancora gli Stati. Nonostante una crescente disponibilità di capacità offensive da parte delle reti criminali, che potrebbero in futuro essere utilizzate anche da attori non statuali come i terroristi, uno spionaggio e sabotaggio assai sofisticato nel campo cibernetico necessita ancora delle capacità, della determinazione e di una logica costi-benefici che può fare capo solo ad uno Stato. Fortunatamente un terrorismo cibernetico con danni fisici ed effetti materiali non si è ancora verificato. Ma la tecnologia degli attacchi cibernetici sta chiaramente evolvendo da semplice inconveniente a seria minaccia contro la sicurezza informatica e contro le fondamentali infrastrutture nazionali.

 

Già Direttore responsabile della rivista “Informazioni della Difesa”, organo ufficiale dello Stato maggiore della Difesa per il quale ha curato lo speciale “Lo spazio cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali” , Pier Vittorio Romano è giornalista pubblicista e attuale Capo di Stato Maggiore della Legione Carabinieri Abruzzo e Molise. 

DECIDERE IN AMBIENTE COMPLESSO NEL 21° SECOLO: INTELLIGENZA UMANA, ARTIFICIALE O AUMENTATA?

di Cristiano Galli

 

Lo sviluppo tecnologico degli ultimi cinquant’anni ha creato una profonda modificazione della realtà in cui le organizzazioni moderne, civili e militari, si trovano a pensare, operare e soprattutto decidere. Anche l’Aeronautica Militare con la propria iniziativa Aeronautica 4.0 ha assunto la consapevolezza della necessità di adattare il proprio modello organizzativo al servizio del Paese assumendo la conformazione tipica di quelle che oggi sono definite KIF, ossia Knowledge Intensive Firms.  E’ un settore di sviluppo delle scienze organizzative assolutamente recente e non esiste ancora una definizione condivisa, pur tuttavia possiamo definirle come organizzazioni che sfruttano una gerarchia orizzontale (o quantomeno reticolare) all’interno della quale gli attori condividano un forte senso di appartenenza che gli consente di auto strutturarsi in modalità funzionali allo scopo comune, con una forte spinta alla collaborazione ed una spinta decentralizzazione dei processi decisionali.

 

Secondo Fjeldstad, Snow, Miles e Lettl (The architecture of collaboration – Strategic Management Journal, 33) esistono tre elementi basilari nell’ambito delle KIFs: gli attori (cioè coloro che hanno le capacità e i valori per auto-organizzarsi), i commons (cioè gli ambienti e gli strumenti attraverso i quali gli attori accumulano e condividono le risorse) ed infine un elemento che è definito come PPI (cioè l’insieme di Protocolli, Processi e Infrastrutture che abilitano una collaborazione multi attore).

 

Al centro di questo processo di ristrutturazione sono evidenziabili due elementi critici: l’elemento umano e l’elemento non umano. Nella fattispecie, l’elemento non umano da prendere in considerazione nell’ambito dei processi decisionali è la cosiddetta Intelligenza Artificiale o AI (Artificial Intelligence).

 

Partendo dall’elemento umano, gli studi di Daniel Kahneman e di Amos Tversky (padri dell’Economia Comportamentale, successivamente evolutasi nella Neuroeconomia) nel settore della “capacità decisionale in contesti ambigui” hanno dimostrato che, nel cervello umano esistono due sistemi neurali basilari per processare le informazioni allo scopo di prendere decisioni: il System 1 e il System 2.

 

Sono due modalità distinte attraverso le quali il cervello umano prende decisioni, il System 1 è automatico, veloce e spesso opera a livello di pensiero incosciente. E’ autonomo, emotivo, intuitivo ed efficiente richiedendo bassi livelli di energia ed attenzione, ma per questo soggetto ai cosiddetti BIAS Cognitivi (attualmente ne sono stati studiati ed individuati svariate decine su base puramente cognitiva o sociale) o errori sistematici. Si è sviluppato per la nostra sopravvivenza e pertanto ha un approccio sintetico e approssimativo basato su meccanismi di memoria associativa.

Il System 2 è invece più lento e razionale, in grado di svolgere operazioni complesse logiche ed analitiche. Sfrutta principalmente la regione cerebrale più recente in termini evolutivi, la corteccia prefrontale. Forse proprio per la sua relativa immaturità evolutiva richiede un grosso dispendio di energia ed è l’unico in grado di processare problematiche innovative. Questo secondo sistema è molto meno soggetto ad errori interpretativi ma limitato dal numero di dati che riesce a processare.

 

Possiamo quindi sintetizzare che l’elemento umano, nell’ambito del processo decisionale organizzativo, possieda un’efficiente capacità decisionale intuitiva, caratterizzata dall’elevata quantità di informazioni sensoriali provenienti dall’ambiente esterno e dall’esperienza sociale ed etica limitato però da una elevata sensibilità ad errori sistematici (BIAS cognitivi e sociali). Al contempo, il processo decisionale umano, è caratterizzato da un’efficace capacità logica e analitica, poco sensibile agli errori ma caratterizzata da una limitata capacità in termine di quantità di dati processabili.

 

Passando ora all’elemento non umano, possiamo definire l’Intelligenza Artificiale (AI), basandoci sulla definizione data da McCarthy: ”una macchina in grado di comportarsi secondo modalità che potrebbero essere definite intelligenti ove fosse un essere umano a comportarsi nella medesima maniera”.  In altre parole, l’AI non è altro che una macchina in grado di imparare e pensare come un essere umano. Nella rapida evoluzione che questo settore scientifico sta affrontando negli ultimi anni sono state individuate due forme distinte: la forma “debole” e la forma “forte”.

 

La forma debole di AI è presente nella nostra vita di ogni giorno sotto forma di Expert Systems (un computer in grado di simulare il comportamento di problem solving di un essere umano in un dominio specifico e limitato), Machine Learning (l’abilità di un computer di raffinare autonomamente i propri metodi ed incrementare i propri risultati elaborando un numero crescente di dati), Natural Language Processing (NLP), Machine Vision and Speech Recognition (elaborazione computerizzata dei principi della Programmazione Neurolinguistica (PNL) e capacità di interpretazione ed analisi di immagini).

 

La forma forte di AI riguarda invece la capacità di una macchina di sviluppare una propria coscienza e di emulare le funzioni principali del cervello umano. È proprio nell’aspetto della coscienza di sé che il settore di sviluppo dell’AI sta incontrando ancora serie limitazioni tecnologiche e concettuali. In particolare esistono forti dubbi sulla capacità delle macchine di operare efficacemente in un contesto guidato da fenomeni etici e sociali.

 

Possiamo quindi sintetizzare che l’attuale sviluppo tecnologico rende le macchine funzionali allo sviluppo di un processo di decision making puramente razionale che però, rispetto al cervello umano, consente l’elaborazione di una quantità pressoché infinita di dati (Big Data).

 

Parallelamente, le limitazioni delle macchine a svolgere un efficace processo decisionale intuitivo derivano dall’impossibilità di fornire alla macchina il medesimo input sensoriale a disposizione del cervello umano e dall’impossibilità di fornire loro il patrimonio esperienziale derivante dal lungo processo evolutivo della specie umana.

 

Applicando una logica integrativa, tipica dei sistemi adattivi complessi, appare chiaro che la migliore soluzione applicabile nelle organizzazioni KI (Knowledge Intense) per rendere i processi decisionali efficaci ed efficienti, derivi dal mettere a sistema i punti di forza e le debolezze dei sistemi umani e non umani. L’integrazione di sistemi di AI con i processi decisionali umani e collettivi prende il nome di Intelligenza Aumentata (Augmented Intelligence).

Sintetizzando un potenziale utilizzo integrativo delle intelligenze umana ed artificiale Dejoux e Léon (Métamorphose des managers – 2018) hanno ipotizzato uno schema come in figura.

 

Un’innovazione geniale apportata da Mélanie Claudé e Dorian Combe in una recentissima pubblicazione di Master (The roles of Artificial Intelligence and Humans in decision making: towards augmented humans? – 2018) ha introdotto un’importante variazione al modello di Dejoux e Léon, la possibilità di sfruttare l’output decisionale dell’Intelligenza Artificiale, analizzato e mitigato dall’analisi intuitiva, esperienziale ed etica dell’intelligenza umana, quale elemento di feedback all’intero processo decisionale, con lo scopo di ottimizzare la strutturazione del problema iniziale e migliorare così il framework di contesto all’interno del quale si svolge la decisione stessa.

 

In estrema sintesi è possibile affermare che l’attuale sviluppo tecnologico e di evoluzione cerebrale rende disponibile un’intelligenza umana che vede nella capacità intuitiva il proprio punto di forza e nella scarsa capacità di elaborazione quantitativa il proprio limite di decisione razionale. Parallelamente abbiamo un’intelligenza artificiale che vede nella propria capacità quantitativa di elaborazione dati il punto di forza nell’ambito dei processi decisionali razionali ed invece una limitata capacità di decisione intuitiva dovuta alla semplificazione delle informazioni di contesto in input, dalla limitata esperienza evolutiva e sociale e dalla mancanza della percezione di sé.

 


L’applicazione di un modello decisionale integrato, secondo lo schema di figura (Claudé e Comb), consentirebbe di rendere il processo decisionale ibrido artificiale-umano (Intelligenza Aumentata), efficace ed efficiente, limitando gli effetti dei BIAS cognitivi e sociali tipici del System 1 ed anche l’inefficienza energetica e la scarsa capacità di calcolo del System 2.

 

LA DEMATERIALIZZAZIONE DEI DOCUMENTI E DELLE INFORMAZIONI SENSIBILI: UN BILANCIO DELLA SITUAZIONE

di Serena Lisi

 

La dicitura “dematerializzazione” delle cartelle personali è oggetto di discussioni da diversi anni e sta a indicare quel processo (o quella serie di processi) per il trattamento, la conservazione, archiviazione, autenticazione e verifica di dati personali relativi ai comparti anagrafico, economico-tributario, sanitario e giudiziario della vita quotidiana dei cittadini. La gestione di suddetti dati richiede la creazione di vere e proprie cartelle elettroniche, come ad esempio la CCE (Cartella Clinica Elettronica) o la cartella fiscale, ossia di database individuali, per persone fisiche e giuridiche, che conservino informazioni e documentazione a proposito di ciascun soggetto censito. Spesso, però, nè gli stakeholder dei progetti di trattamento dei dati nè i titolari degli stessi  comprendono la sostanziale differenza fra i termini “informatizzazione” e “digitalizzazione” e così la vera e propria dematerializzazione di documentazione e procedure diventa lunga e farraginosa.

 

L’informatizzazione, anche quella cosiddetta sicura, è la procedura grazie alla quale i dati vengono organizzati e riprodotti in copie – per lo più elettroniche – attraverso una procedura informatica, ma sono comunque autenticati o resi ufficiali per mezzo di firme autografe, come nel caso dei contratti di utenze del settore energetico (luce, acqua, gas, ecc.), oppure sono raccolti in archivi cartacei che vengono semplicemente classificati per mezzo di una procedura elettronica, come ad esempio l’elenco dei volumi raccolti in una biblioteca. La dematerializzazione dei dati, invece, consiste nella raccolta, classificazione, gestione e autenticazione delle informazioni con una serie di processi elettronici che si avvalgono di sistemi di cifratura per la protezione degli archivi e del flusso informativo e, in aggiunta, di firme digitali forti o grafometriche per l’autenticazione dei dati stessi.

 

Con firma digitale forte si intende quel tipo di firma fatta per mezzo di una smart card, possibilmente a chip e non a banda magnetica, associata all’inserimento di un codice one time, ossia  irripetibile e generato da appositi dispositivi, come ad esempio i token utilizzati per accedere alle aree riservate dei siti bancari (gestione di conti correnti e titoli); la firma grafometrica, invece, è una firma autografa realizzata non più sulla carta, ma grazie a tavolette dotate di penne elettroniche e rilevamento di pressione e direzionamento del tratto dello scrivente, come ad esempio i tablet utilizzati, anche in questo caso, da alcuni istituti bancari.

 

In Italia molti enti della pubblica amministrazione e grandi imprese del settore privato dichiarano di aver avviato o concluso progetti di digitalizzazione di dati e archivi, con iniziative quali la conversione delle cartelle cliniche e fiscali in cartelle elettroniche, oppure l’adozione di sistemi per la gestione informatica delle presenze. Ma spesso il raggiungimento dei risultati desiderati non è pieno nè definitivo. Su CSA Magazine è stato già trattato il tema di una recente truffa a danno di utenti di servizi energetici, ai quali sono state attribuite false stipule di contratto perché il sistema di archiviazione e gestione dei contratti delle compagnie fornitrici era solo in parte dematerializzato e non disponeva nè di un sistema di firme digitali forti o grafometriche nè di un dispositivo di controllo e raffronto degli specimen di firme autografe.

 

Tale esempio è solo il primo dei tanti che potrebbero essere fatti e che aprono una lunga discussione il cui significato intrinseco verrà di seguito riassunto. La situazione italiana, anche in materia di digitalizzazione dei processi informativi e amministrativi, appare ben illustrata da una strofa del nostro inno nazionale: “perchè non siam uno, perché siam divisi”. Infatti, in ognuno dei settori già citati, la trasformazione non sta avvenendo in maniera omogenea, poiché si realizza con modalità, velocità e impatto sulla popolazione di riferimento molto differenti a seconda dei soggetti coinvolti. Enti pubblici civili e militari, grandi aziende e altri enti privati non hanno ancora trovato uno standard comune ed ognuno di essi utilizza una propria procedura (con relativo applicativo o software) per la digitalizzazione di dati. Un esempio evidente di quanto illustrato sopra viene dal settore sanitario: ogni regione ha la propria normativa (pur seguendo linee guida nazionali ed europee) e si avvale di specifici iter per implementare i progetti di digitalizzazione della cartella clinica e, a sua volta, ogni azienda sanitaria locale recepisce a modo proprio le linee guida regionali, cosicchè ogni azienda ospedaliera (o gruppo o team di ricerca) avrà il proprio protocollo interno, creando così uno scenario variegato ed ancora disomogeneo.

 

Un ulteriore esempio di suddetta disomogeneità è fornito dal sistema di gestione, autenticazione, verifica e remunerazione delle presenze del personale delle pubbliche amministrazioni (sia in ambito civile che militare) a fini stipendiali, pensionistici e, eventualmente, anche disciplinari: ogni ministero emana le proprie linee-guida ed ogni ente si dota del proprio sistema e lo implementa in più fasi, che spesso prevedono periodi di “gestione mista”, cartacea e digitale a firma debole (quindi non bastante per la fase di autenticazione degli atti), prima dell’effettivo passaggio alla vera e propria digitalizzazione.

 

In moltissimi casi, la transizione si rivela ancor più difficile del previsto per il cosiddetto digital divide, ossia per le differenze di equipaggiamento, infrastrutture e know-how presenti nei singoli presidi, uffici o distaccamenti di un determinato ente pubblico. A titolo illustrativo, si cita il discusso caso del SIGESi, il stema Informativo Gestionale dell’Esercito Italiano. Il sistema, sperimentato per la prima volta nel 2004 ma operativo su larga scala solo dal biennio 2012-14, ha la possibilità di raccogliere nel proprio database un’ampia gamma di informazioni (logistica, informazioni sul personale e altro), ma è principalmente usato per la gestione di presenze e stipendi dei dipendenti dello Stato Maggiore Esercito. Il SIGE ha funzionato per anni con una smart card a firma debole e solo di recente è stata avviata la transizione ad un meccanismo effettivamente funzionante per mezzo di un sistema a firma forte. Tutte le fasi di un così importante cambiamento sono state complesse e non esenti da discussioni (https://www.grnet.it/difesa/esercito/14-esercito-stipendi-del-personale-nel-caos-per-un-software-di-leonardo-e-vitrociset/), le più accese delle quali riguardavano due principali argomenti: la presenza di un accentuato digital divide tra le varie sedi centrali e periferiche di utenza del SIGE, spesso dovuto a differenze nelle condizioni, dotazioni e connettività di ciascuna sede, che si è cercato di sanare nel 2014 con l’intervento del public connector Sentinet3; l’effettiva sicurezza, inviolabilità e affidabilità del sistema stesso.

 

In questo caso, dunque, la complessità dell’apparato gestionale ha creato uno scenario a macchia di leopardo. Analoga situazione, seppur nata da ragioni diverse, può essere descritta per la gestione e verifica degli specimen  di firma presso istituti finanziari e bancari: trattandosi di enti privati, ancor più che nel pubblico, ogni azienda sarà incentivata ad emanare un proprio specifico regolamento e troveremo istituti in cui la firma è già stata effettivamente dematerializzata, mentre altri in cui, pur con una riduzione dei fogli stampati, la distinta e, più in generale, i documenti cartacei rappresentano ancora  la norma; ad oggi, inoltre, la procedura CAI (Centrale Allarmi Interbancari) segnala soltanto i cosiddetti “difetti di provvist”a e non altre problematiche. L’Italia digitale, dunque, è ancor più disunita dell’Italia politica e la semplificazione burocratica di cui tanto si parla presso pubbliche amministrazioni nazionali, enti privati ed Unione Europea non è così vicina come sembra.

FAKE ACCOUNT GENERATORS: PREGI E DIFETTI DI UN APPLICATIVO

di Serena Lisi

 

Da alcuni anni, il tema delle fake identities, le finte identità su internet, è spesso dibattutto ed associato ad intenti criminosi o terroristici. Spesso è così, ma è opportuno ricordare che, seppur con coseguenze meno disastrose, l’invenzione di profili verosimili – ma non very – ha avuto lo stesso tipo di genesi e di sorte dell’atomica: creata per facilitare la vita moderna, è diventata un’arma potenzialmente letale ed usata per creare caos e terrore.

 

Anche se molti ne discutono ormai da anni, ossia dai tempi dell’avvento del social network Second Life, in pochi sanno realmente come venga generata una falsa identità dal punto di vista informatico: in breve, si prendono e accoppiano nominativi e località reali presi in maniera random da archivi digitali a libero accesso o acquistati e si associano ad altre informazioni che possono essere più o meno verosimili, ma che abbiano una sintassi corretta, ossia che possano essere riconosciuti come validi nei loro formati dagli applicativi atti a riscontrarli (ad esempio, la data di nascita in formatto gg/mm/aa, oppure un finto IBAN fatto con una adeguata alternanza alfanumerica di 27 cifre).

 

Prima dell’avvento dell’era social, le finte identità già esistevano, ma erano principalmente divise in tre categorie: quelle utilizzate per scopi – leciti e non – di intelligence, quelle utilizzate per intenti criminosi e quelle inventate per giochi di ruolo e simulazioni. Ad esse si aggiungeva la categoria degli pseudonimi, che però esauriva la propria funzione nell’area marketing del settore merceologico di utilizzo (cinema, teatro, musica, letteratura, arti varie).

 

Second Life, invece, è un MUVE (Multi-User Virtual Environment, ossia Mondo Virtuale Elettronico Multi-Utente) creato nel 2003 dalla casa software Linden Lab di Phil Rosdale. Ciò che fin dall’antichità era considerato emozionante ed intrigante, dal 2003 l’avere una seconda identità è diventato un trend globale, molto più realistico di quello già in voga negli anni novanta, soprattutto tra adolescenti o determinate categorie di professionisti, con i già citati giochi di ruolo ed i primi videogame in rete. In questo mondo è possibile stringere amicizie, compiere azioni, conoscere persone e perfino fare vere e proprie transazioni, queste ultime eseguite grazie ad una delle prime monete virtuali, il Linden Dollar (L$), grazie al quale si possono comprare immobili, territori, programmi di istruzione universitaria e così via. Dal 2008 è possibile anche scambiarsi messaggi vocali, come accade anche in svariati social networks della vita “reale”. In questo metamondo, docenti di prestigiose università quali Harvard e Oxford effetuavano simulazioni e realizzavano progetti didattici. Nel 2008, si arrivò, a livello planetario, ad usare il mondo virtuale come ambiente per la promozione politica, tanto che molti personaggi con cariche istituzionali crearono appositi profili: al tempo, fece notizia il caso dell’On. Antonio Di Pietro, allora ministro delle Infrastrutture, che comprò un’isola in Second Life e vi piantò la bandiera del proprio partito, l’Italia dei Valori, con l’intento di creare anche una conferenza dei servizi virtuale, progetto successivamente abbandonato.

 

Tuttavia, questa nuova realtà – o seconda vita – non era sufficiente per molti utenti: dai politici ai ragazzini appassionati di videogiochi, dai giocatori compulsivi ai sociopatici, una seconda vita totalmente virtuale non era ancora abbastanza. Si cercava di più: non semplicemente essere se stessi in versione elettronica (come aveva fatto il Ministro Di Pietro), o essere una cyberpersona con un semplice nome falso, titolo falso e conto corrente falso, ma avere una seconda identità verosimile nella vita reale.

Contemporaneamente al sorgere di suddette nuove esigenze, la “politica in rete” ritornò in voga qualche anno dopo, con il potenziamento di altri tipi di social media, nati per comunicare come Facebook e Twitter, o per scopi statistici come Instagram. In principio, gli attori politici e alcuni gruppi di pressione entrarono in rete semplicemente portando il mondo reale  (fatto di verità e menzogne) in ambiente virtuale. Successivamente, anche questi attori desiderarono di più. Così nacquero i fake identity generators. Questi software e applicativi funzionano ed operano in una maniera piuttosto semplice e legale, ma i loro prodotti non sempre sono utilizzati in modo lecito.

 

Tecnicamente,  i fake identity generators si avvalgono di banche dati comprate da svariati soggetti (provider gratuiti di posta elettronica, social networks, società che gestiscono motori di ricerca, ecc.) ed accoppiano informazioni. In breve, quando questi generators devono creare una nuova identità, “pescano” a caso un nome ed un cognome da una delle loro banche dati e li accoppiano per creare l’identità, a proprosito della quale l’utente può aver dato più o meno informazioni: il richiedente, infatti, può esprimere o meno preferenze su genere, età, etnia e nazionalità della cyberpersona così creata. A questi primi dati, accoppiati e resi verosimili grazie ad un programma cifrato a chiave pseudocasuale, ne vengono affiancati altri – giuridicamente irreali ma sintatticamente corretti – come numero di telefono, e-mail, account social, numero di carta di credito o di polizza assicurativa/previdenza sociale.

 

Il concetto di “sintatticamente corretto/reale” è il punto focale: questi software e applicativi creano dati che non sono anagraficamente o giuridicamente veri, ma che risultano corretti alla scansinoe di lettori e software automatici che censiscono gli utenti di alcuni servizi virtuali. Ed è qui che entra in gioco lo scopo originario per cui i fake identity generator sono stati creati: proteggere la propria identità in rete; dopo lo scandalo della clonazione di molte identità e carte di credito di giocatori on-line che utilizzavano una nota console di videogiochi, molti utenti hanno voluto tutelarsi. Lo stesso può essere detto per coloro che desiderano accedere ai trial di software aziendali, coperti da brevetto, che richiedono una complessa ed accurata registrazione per poter fruire della copia di prova per 10, 15, 30 giorni. Spesso queste registrazioni richiedevano il numero di carta di credito, i cui dati, però, rischiavano di essere clonati da entità terze intromesse nella fase di verifica, che cavalcavano la vulnerabilità di uno dei due soggetti in contatti, di solito il possibile cliente. Su questa scia, visto il successo dei generator, anche scrittori e docenti hanno cominciato ad utilizzarli, ma a questo punto sono emersi alcuni interrogativi: anche se le identità sono palesemente false, è possibile che esse siano usate per scopi criminosi o terroristici? La risposta, purtroppo, è affermativa: se nessuno può usare i falsi numeri telefonici e le false carte di credito, poiché riconoscibili ad una opportuna e più specifica verifica (ad esempio il no-show degli hotel, ben più accurato nella verifica, non solo sintattica, della validità delle carte di credito usate), tuttavia, molte false identità sono state usate da terroristi e criminali comuni per adescare ed assoldare giovani adepti o vittime proprio tramite giochi on-line e social media, così come molti insider trader hanno sfruttato false identità per vendere segreti e brevetti aziendali, solo per citare alcuni esempi.

 

In conclusione, come già spiegato per altre applicazioni similari, ad esempio per quelle che permettono lo spoofing telefonico nei Paesi dove consentito (in quelli dell’Unione Europea la pratica è vietata), possiamo dire che il punto è sempre il medesimo: le app e i software sono legali e non è conveniente vietarli, poiché il provider dei medesimi dichiara apertamente costi e benefici dell’uso – debito e indebito – di suddetti strumenti e sottoscrive altresì il proprio obbligo a collaborare con le autorità qualora richiesto. Ancora una volta, dunque, la responsabilità di un uso sconsiderato ricade in buona parte sugli utenti, mentre l’onere di applicare idonee contromisure ricadrà su organi inquirenti e Forze di Pubblica Sicurezza, cosa che però porterà ad un intervento concreto solo dove esista il sospetto di un illecito.

IL CYBERSECURITY ACT: INNOVAZIONE E VECCHI PROBLEMI

di Cristiana Era

 

 La Commissione europea ha dichiarato ottobre “mese della sicurezza informatica europea” ed in questo contesto si è svolto a Roma l’incontro sul tema “Cybersecurity Act: strategia europea e priorità dell’Italia”, con la partecipazione di rappresentanti diplomatici e della Commissione stessa, oltre che a vari esponenti di imprese, associazioni per la sicurezza aziendale e per le infrastrutture critiche. Un incontro che, al di là della partecipazione di nomi noti, ha messo in luce ancora una volta i ritardi dell’Europa nell’affrontare seriamente il tema della sicurezza cibernetica. Solo due, infatti, a fronte di più di una decina di interventi sono stati i contributi concreti in grado di sottolineare aspetti non ripetuti centinaia di volte nelle decine di convegni sulla cyber security che da qualche tempo si susseguono a ritmo serrato. E, occorre aggiungere, che hanno centrato il tema in oggetto.

 

Un’occasione persa, dunque, per poter trattare più in dettaglio il nuovo regolamento europeo in tema di sicurezza cibernetica, ancora in discussione ma che si spera giunga ad approvazione prima della fine della presidenza austriaca. Il regolamento europeo, il Cybersecurity Act, è stato presentato nel settembre 2017 con lo scopo di ridefinire e migliorare la strategia europea in materia del 2013 e di ampliare i compiti dell’ENISA (European Union Agency for Network and Information Security). La nuova normativa, ha sottolineato Roberto Viola, Direttore Generale del DG Connect, trae ispirazione dalla direttiva NIS e rafforza il tema dell’importanza della comunicazione e del coordinamento fra gli Stati membri in caso di attacco cibernetico, il quale, in assenza di questi elementi potrebbe causare danni ancora maggiori.

 

In breve, la nuova direttiva poggia su tre pilastri fondamentali. Il primo è, come già sottolineato, la ridefinizione del ruolo e dei compiti dell’ENISA. L’Agenzia diventa a tutti gli effetti l’istituzione ufficiale dell’EU in materia di sicurezza cibernetica con un mandato non più provvisorio ma permanente, con funzioni di coordinamento con altri organismi e agenzie, di diffusione della cultura informatica e di supporto alla creazione di standard europei di riferimento. Tra i nuovi compiti dell’ente ci sarà anche quello di supportare gli Stati membri nella gestione tecnica della situazione dopo un attacco cyber e anche quello di condurre l’investigazione post-attacco.

 

Il secondo riguarda l’introduzione di una certificazione europea di sicurezza per processi, servizi e prodotti digitali immessi sul mercato comunitario. E’ forse questo il pilastro più innovativo del Cybersecurity Act poiché introduce qualcosa che ancora mancava, la certificazione europea, appunto, ossia un marchio che garantisce i necessari controlli per un mercato sempre più digitalizzato e al momento ancora frammentato dai numerosi standard e requisiti dei singoli Stati membri.

 

Infine, il terzo pilastro è rappresentato dall’istituzione di un centro di competenza tecnica particolare, poiché si tratta in realtà di un riferimento per un network di altri centri che lavorano sulle tecnologie informatiche più avanzate.

 

La nuova strategia del Cybersecurity Act rappresenta il tentativo dell’Unione Europea di tenere il passo con i cambiamenti che a ritmo sempre più veloce si registrano nel mondo digitalizzato, con attacchi sempre più mirati e in numero crescente. Tuttavia, il nuovo regolamento lascia ancora in sospeso alcuni aspetti e solleva alcuni dubbi. In primo luogo, in base alla normativa, la certificazione è volontaria: le aziende non avranno l’obbligo di richiederla e quindi si creeranno situazioni a macchia di leopardo senza che vi sia un input dall’alto verso standard minimi di sicurezza per tutti i prodotti ICT e per i servizi digitali. E per i consumatori potrebbe risultare difficile capire la differenza in assenza di una buona campagna di comunicazione da parte dell’UE. Secondariamente, accanto al ruolo rafforzato dell’ENISA rimangono le competenze degli enti nazionali e dei molteplici organismi che ruotano attorno alla sicurezza informatica, il che porta a chiedersi quanto possa essere tempestiva una risposta, o meglio la gestione della situazione a seguito di un attacco informatico particolarmente devastante o anche semplicemente effettuato su larga scala in un contesto in cui sono chiamati ad agire molteplici attori. Difficile pensare che un semplice coordinamento tra agenzie nazionali e transnazionali possa fare fronte a scenari che richiedono azioni tempestive. Da un certo punto di vista, si ripropone a livello europeo il quadro nazionale, in cui esistono vari organismi istituzionali e centri specializzati che però agiscono in modo indipendente e ciascuno secondo un proprio regolamento, con poco o nessun collegamento e coordinamento. In altre parole rimane in piedi la domanda: in caso di necessità di reazione rapida ad un attacco cibernetico, c’è una autorità che può decidere e agire senza passare attraverso le richieste formali di autorizzazione che richiedono notoriamente tempi più o meno lunghi?

 

Da ultimo, ma non da meno, va rilevato che se da una parte i compiti dell’ENISA sono stati ridefiniti assumendo un ruolo operativo e non più solo consultivo, dall’altro le risorse a disposizione per espletare i nuovi compiti sono state aumentate solo della metà, come ha rilevato Giorgio Mosca dell’European Organization for Security (EOS). E purtroppo la disponibilità di risorse sufficienti è elemento fondamentale per l’efficacia di qualunque politica in tema di cyber security. Resilienza e prevenzione, che sono la sola difesa nei confronti degli attacchi cibernetici, richiedono investimenti consistenti e costanti. Lo sanno bene anche negli Stati Uniti, un Paese tecnologicamente più avanzato del nostro, dove rimane acceso il dibattito di chi – governo o settore privato – debba contribuire maggiormente alla sicurezza informatica del sistema Paese.

 

Il Cybersecurity Act rappresenta un passo in avanti per la definizione di una politica di sicurezza informatica dell’Unione Europea. Sfortunatamente non lo è abbastanza. Il regolamento è ben lontano dal dare risposte concrete ed immediate – come sono immediati gli attacchi nello spazio cibernetico – alle minacce presenti e future. Il mondo digitalizzato dell’Internet delle cose e tutto ciò che ad esso è collegato, incluso il crimine cibernetico, non ha confini, né di spazio né, soprattutto, di tempo. La moltiplicazione di enti governativi, organismi specializzati, organismi europei e istituzioni nazionali dedicate creano un mosaico che rallenta necessariamente non solo i tempi di risposta, ma anche la nascita e lo sviluppo di politiche snelle ed efficaci che di per sé sono il punto di partenza della resilienza. Ben 5 anni sono passati dalla formulazione dell’UE della sua prima strategia in materia, un tempo infinito nel cyberspace. Se si considera, inoltre, che la nuova direttiva ancora non è stata approvata definitivamente dal Parlamento e dal Consiglio europei, allora forse è lecito pensare che anche in un settore critico come quello della cyber security l’Europa continua a rimanere indietro.

L’INTERNET DELLE COSE

di Pier Vittorio Romano

 

L’”Internet delle cose” è la ricetta di Jeremy Rifkin, economista americano, un trend setter, che vuole dare vita a quella che lui definisce come la terza rivoluzione industriale, dove l’attuale consumatore diventerà un piccolo produttore, un prosumer, in un nuovo mondo basato sulla sharing economy – l’economia della condivisione – che avrà nelle sue vene sangue digitale e come ricettori una rete internet pervasiva: l’internet delle cose, appunto.

 

Oltre alla digitalizzazione delle comunicazioni già presente nella nostra epoca, la terza rivoluzione industriale avrà come capisaldi anche la digitalizzazione dell’energia e la digitalizzazione della mobilità e della logistica. Servirà, pertanto, una “tripla internet” al fine di gestire tale piattaforma. Già oggi sono attivi attorno a noi 14 miliardi di sensori che entro il 2030 diventeranno 100 trilioni a servizio di un network globale e distribuito. Questo consentirà di avere bassi costi marginali, maggiore produttività e basso impatto ambientale. Grazie a questo sarà possibile aumentare l’efficienza energetica aggregata, dall’attuale 13% al 40% nei prossimi 25 anni.  

 

Attualmente siamo in presenza di un calo della produttività e dell’occupazione e questa crisi industriale, unita alla crisi ambientale causata da due rivoluzioni industriali basate su combustibili fossili, richiede una risposta diversa. La seconda rivoluzione industriale si è basata sull’automobile ma oggi le nuove generazioni vogliono il car sharing, connettendosi alla rete per chiedere un’auto, usarla e pagare. Usare un servizio se e quando serve, non possedere per il gusto di possedere. Per ogni auto condivisa ne vengono eliminate 15: in questo modo sarà possibile eliminare l’80% dei veicoli con ovvi vantaggi ambientali. Oggi ci sono in circolazione  2 miliardi di auto; ne bastano 200 milioni, condivise ed elettriche. Auto realizzate prevalentemente con stampanti 3D alimentate da energia rinnovabile.

 

Servirà un lungo periodo di transizione, almeno 20 anni, e durante questo periodo molte industrie scompariranno mentre altre nasceranno.  E poi, sempre secondo Rifkin, serve “l’Internet dei trasporti”: dovranno essere installati sui camion dei sensori affinché possano essere monitorati in tempo reale ed avere informazioni utili per la percorrenza della tratta fino ad arrivare, in futuro, ad essere guidati da remoto. Riguardo l’energia, molti hanno compreso che il costo dell’energia rinnovabile sta gradualmente diminuendo e si va verso l’autoproduzione e la condivisione del surplus. Le aziende dell’industria energetica fossile e nucleare non possono competere. L’Arabia Saudita, il maggior produttore di idrocarburi al mondo, ha recentemente dichiarato di voler puntare sull’energia rinnovabile.

 

In questo diverso modello economico occorrerà quindi orientare gli investimenti sui nuovi modelli e la fase transitoria sarà lunga e richiederà da parte dei governi la capacità di far convivere i due sistemi, incoraggiando a crescere quello del futuro ma senza “strozzare” quello del passato. La società a “costo marginale zero” che si sta affermando sulla scena mondiale, sostiene ancora Jeremy Rifkin, fa emergere l’Internet delle cose dando vita al “Commons collaborativo”, il primo nuovo paradigma economico a prendere piede dall’avvento del capitalismo e del socialismo nel XIX secolo. Il Commons collaborativo sta trasformando il nostro modo di organizzare la vita economica, schiudendo la possibilità a una drastica riduzione delle disparità di reddito, democratizzando l’economia globale e dando vita a una società ecologicamente più sostenibile. Per raggiungere questo risultato occorrerà creare un’infrastruttura intelligente, formata dal virtuoso intreccio di Internet delle comunicazioni, Internet dell’energia ed Internet della logistica, che avrà l’effetto di spingere la produttività fino al punto in cui il costo marginale di numerosi beni e servizi, ovvero il costo di produzione di un’unità aggiuntiva di un bene o di un servizio, dopo che sono stati ammortizzati i costi fissi di impianto, sarà quasi azzerato, rendendo gli uni e gli altri praticamente gratuiti, abbondanti e non più soggetti alle forze del mercato.

 

La digitalizzazione della comunicazione, dell’energia e dei trasporti comporta anche rischi e sfide. Non da ultimo quelle relative alla neutralità della rete, alla prevenzione della creazione di nuovi monopoli privati, alla protezione della privacy personale, garantendo la sicurezza dei dati, e il contrasto della criminalità informatica del cyber-terrorismo. La Commissione Europea ha già iniziato ad affrontare questi problemi stabilendo il principio generale che la privacy, la protezione dei dati e la sicurezza delle informazioni sono requisiti gratuiti per i servizi dell’Internet delle cose ed i nuovi imprenditori del settore potranno utilizzare i Big Data ed i sistemi di analisi avanzati per lo sviluppo di algoritmi finalizzarti ad accelerare l’efficienza, aumentare la produttività e ridurre drasticamente il costo marginale di produzione e distribuzione di beni e servizi, rendendo le imprese europee più competitive in un emergente mercato globale post-carbon.

 

Già da tempo sono sorte nuove imprese commerciali a costo marginale prossimo allo zero tra cui Google, Facebook, Twitter, YouTube, e migliaia di altre aziende di Internet, che riescono a fare profitti creando nuove applicazioni e realizzando le reti che permettono alla sharing economy di prosperare. Gli economisti hanno riconosciuto che il costo marginale quasi prossimo allo zero ha avuto un forte impatto sull’industria dell’informazione ma, fino a poco tempo fa, hanno sostenuto che l’aumento di produttività dell’economia digitale sarebbe rimasto confinato nel mondo del virtuale e non avrebbe mai potuto superare il muro invalicabile dell’economia reale, estendendosi ai settori dell’energia e della produzione di beni e servizi fisici. Questo muro invalicabile è stato ormai abbattuto. L’Internet delle cose è in continua evoluzione e permetterà ad aziende convenzionali, così come a milioni di prosumer, di generare e distribuire la propria energia da fonti rinnovabili, di usare in condivisione veicoli elettrici ed a idrogeno senza conducente finanche produrre una quantità crescente di prodotti fisici stampati in 3D a bassissimo costo marginale nell’economia di mercato, o a costo marginale quasi zero, proprio come già avviene nel settore dell’informazione.

 

Già Direttore responsabile della rivista “Informazioni della Difesa”, organo ufficiale dello Stato maggiore della Difesa per il quale ha curato lo speciale “Lo spazio cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali” , Pier Vittorio Romano è giornalista pubblicista e attuale Capo di Stato Maggiore della Legione Carabinieri Abruzzo e Molise.