La recente vicenda dell’attacco cyber al Centro elaborazione dati della Regione Lazio è stata definita dal Presidente della Giunta Regionale ed ex segretario del Partito Democratico Nicola Zingaretti come un attacco di matrice terroristica. Ma è veramente così? Qual è la vera sfida securitaria dietro le offensive cyber? Ne abbiamo discusso con l’avvocato Stefano Mele, partner dello studio Gianni & Origini e responsabile del Dipartimento Cybersecurity.
Zingaretti ha definito l’operazione ostile compiuta contro il Centro elaborazione dati come un “attentato terroristico”. Ma possiamo ritenere che sia veramente così?
“No, io credo che il termine utilizzato non sia calzante in relazione a ciò che vediamo relativamente al caso di Regione Lazio. Anzi, è anche pericoloso utilizzare una terminologia simile relativamente a casi del genere. Il terrorismo ha una definizione ben precisa, come del resto chiarifica il glossario dell’intelligence italiana, che intende per terrorismo l’utilizzo ideologicamente motivato di violenza indiscriminata da parte di attori non statuali o singoli soggetti operanti in clandestinità allo scopo di diffondere terrore o condizionare le scelte di uno Stato. Non è chiaramente questo il caso di questi giorni: abbinare il concetto di terrorismo a un attacco di matrice criminale compiuto evidentemente per scopi economici è pericoloso perché lo estende eccessivamente. Con questa chiave di lettura, sarebbe definibile terrorismo qualsiasi condotta criminale avente un impatto considerevole sulla vita quotidiana dei cittadini”.
Parlare di “terrorismo” rischia inoltre di relegare unicamente alla sfera poliziesca la questione della difesa cyber. Che invece, come abbiamo visto, riguarda da vicino le strutture civili…
“Certamente. Il cyberspazio ha una capillarità e una profondità notevole ed è il metronomo di tutte quelle che sono le attività che noi svolgiamo nella nostra quotidianità e nella nostra vita privata. Lo sfruttamento del cyberspazio come strumento per svolgere operazioni da parte di attivisti, gruppi criminali, terroristi, agenzie di intelligence e unità militari specializzate rende questo dominio un fattore che ha completamente rivoluzionato la nostra vita. Ma nei venticinque anni in cui Internet si è diffuso come prodotto di massa non siamo stati in grado di capire che la sua evoluzione doveva essere seguita passo dopo passo da un’analoga crescita della consapevolezza dei rischi per la sicurezza”
Quali sono i problemi principali che hanno frenato questa crescita?
“Il punto fondamentale è il fatto che Internet non è stato pensato per essere sicuro. Creato dai militari americani durante la Guerra Fredda per tenere attivo un meccanismo di comando e controllo in caso di attacco nucleare Arpanet, l’antenato di Internet, non era stato pensato per essere sicuro, ma per sfruttare le infrastrutture di telecomunicazione disponibili superstiti. Questo può creare delle problematiche in una fase in cui ad Internet abbiamo affidato una fetta importante della nostra crescita economica e della nostra sicurezza. Noi cerchiamo di mettere sicurezza sopra Internet seguendo la mancanza di un approccio security by design alla sua base, che permette ai gruppi sopra citati di compiere le loro operazioni nel cyberspazio. L’attacco a regione Lazio, ad esempio, ha un risvolto economico ed è la classica operazione imputabile a un gruppo criminale.
Insomma, serve che la sicurezza diventi un presupposto?
“Si, del resto quando noi compriamo un’automobile diamo per scontato che essa abbia integrati una serie di dispositivi di sicurezza come freni, Abs, airbag, cinture, ovvero le misure di sicurezza base del veicolo. Non facciamo la stessa cosa quando acquistiamo un Pc, un telefono o un sistema di rete, perché non abbiamo ancora evoluto sul piano culturale la consapevolezza che in questi campi la sicurezza sia un costo che vada obbligatoriamente sostenuto e da considerare un presupposto. Del resto, siamo abituati a considerare la tecnologia come piena di errori, e spendiamo cifre importanti per acquistare sistemi e dispositivi che andranno aggiornati decine, se non centinaia, di volte durante la loro vita operativa. Se ci pensiamo ci accorgiamo che è una cosa unica nel panorama del commercio: nessuno comprerebbe mai un quadro rovinato, un libro con la copertina graffiata, una camicia scucita. Incredibilmente, non pretendiamo lo stesso quando acquistiamo asset tecnologici: dobbiamo cambiare mentalità. Nessuno, del resto, salirebbe mai su un auto con i freni rotti.
