CYBERSICUREZZA, L'ITALIA CHIAMÒ
A inizio luglio un hacker che risponde al nome di China Dan ha messo in vendita su Breach Forums – un porto di mare nascosto nel cosiddetto dark web – la sua merce, ovvero 23 terabyte di informazioni riguardanti un miliardo di cittadini cinesi; informazioni di proprietà della polizia di Shanghai, che almeno da un anno non si era accorta della falla nella sicurezza. Non solo dati anagrafici, ma anche documenti privati e precedenti penali. Per China Dan, la refurtiva del più grande furto informatico di sempre vale 200mila euro: per le persone nella posizione di Roberto Baldoni è invece il peggiore scenario possibile, capace di mettere in emergenza tutta la sua catena di comando. Roberto Baldoni è infatti il direttore dell’Agenzia per la cybersicurezza nazionale (Acn), istituita nel 2021 dal Consiglio dei Ministri per difendere la Repubblica Italiana da tutte le forme che può prendere la minaccia informatica. Tra gli obiettivi dell’Acn rientra anche la prevenzione degli stati di crisi dei sistemi informatici, un risultato da ottenere lavorando sulle specifiche tecniche, ma soprattutto culturali, del problema.
Baldoni mi accoglie nel suo ufficio romano, non lontano da Termini, nel ventre di un palazzo che mi aspettavo arredato dalla Spectre e che invece si allinea ai classici canoni estetici ministeriali: lunghi corridoi, scale di marmo, anticamere nascoste da vetri smerigliati. Nei media si assiste spesso al racconto di una finta dicotomia tra reale e virtuale, come se non fossero intrecciati: durante la conferenza tenuta lo scorso 24 maggio in occasione della presentazione della “Strategia nazionale di cybersicurezza (2022-2026) e l’annesso Piano di implementazione”, in mezzo a una serie di note più tecniche Baldoni ha dichiarato, lapidario, che «è in atto un processo culturale». Siamo partiti da qui, cercando di capire a cosa alludesse: «Confermo. Il processo culturale consiste nel fatto che questa interazione tra reale e virtuale è ormai diventata indissolubile, le due cose si sovrappongono. Significa che dobbiamo introiettare dentro di noi nuovi atteggiamenti, nuove risposte automatiche». L’esempio che propone è quello della sicurezza stradale, una serie di regole e coreografie sociali che, emergendo dal nulla, sono diventate nel giro di qualche decennio trasparenti alla nostra attenzione: «Quando attraversiamo la strada guardiamo a destra e a sinistra, perché sappiamo di dovere gestire un rischio: abbiamo introiettato una serie di comportamenti perché è cambiato il mondo fisico intorno a noi. Ecco, in questo momento stiamo entrando in un mondo virtuale, e all’interno del mondo virtuale cambiano i rischi a cui andiamo incontro».
L’equivalente del buon vecchio pericolo stradale individuato da Baldoni è il cosiddetto phishing, quel ventaglio di tecniche volte a rubare dati sensibili a utenti ignari della truffa: e-mail posticce, richieste di aiuto e link urgenti che, in un modo o nell’altro, nascondono una trappola. «L’Agenzia studia gli attacchi, definisce le regole da seguire per non caderne vittima. Dopodiché le regole si trasformano in procedure che uno deve applicare dentro i propri sistemi per poterli mettere al sicuro; chiaramente non possiamo prevenire l’esistenza delle e-mail di phishing. L’Agenzia, di fronte a un attacco, deve fare da sentinella: poi, a quel punto, deve scattare l’algoritmo cerebrale».
Il ruolo dell’istruzione è decisivo e restano ampi margini di miglioramento. «Ovviamente abbiamo bisogno di tecnici, e dobbiamo stimolare le università a produrre più laureati STEM (un acronimo inglese che riassume Scienze, Tecnologia, Ingegneria e Matematica, ndr): ma non è solo un problema di università, è un problema di orientamento, soprattutto delle ragazze». I dati Istat rivelano, infatti, che solo un laureato su tre sceglie una delle discipline STEM mentre tra le laureate il numero scende al 17%: una su sei. A questo si aggiungono la dispersione scolastica e quella accademica, che si confermano un problema grave anche nelle questioni dell’Acn: «Il lavoro sull’orientamento può servire anche a indirizzare quei giovani che magari non vogliono fare l’università e che troverebbero all’interno della trasformazione digitale del cyberspazio, e della sua sicurezza, delle possibilità di carriera stratosferiche». Insomma, c’è bisogno di tecnici: «Se non ci fosse stata l’Agenzia, queste sarebbero rimaste parole al vento. Noi siamo i cani da guardia della Strategia Nazionale, e vogliamo che queste azioni vengano messe in campo».
Si parla di workforce, comprensibilmente, ma in un Paese così frammentato dal punto di vista tecnologico, si tratti di infrastrutture o “cultura digitale”, sembra un lemma non solo straniero, ma alieno. Un’altra parola d’ordine dello zeitgeist è “resilienza”: cosa si intende per “resilienza nella transizione digitale del Paese”? «È la capacità di gestire il rischio cyber. L’Agenzia ha il compito di prevenire gli attacchi cibernetici, ma nel caso in cui gli attacchi arriveranno a buon fine – e questo purtroppo succederà – bisogna sapere gestire l’incidente, minimizzarne gli impatti». Resistere quindi, e se non basta, imparare a gestire i danni: disporsi in posizione antalgica, subire il colpo, rialzarsi.
Il fatto è che «la gestione del rischio tecnologico è importante quanto il rischio energetico. Se ci si approvvigiona da
Oggi le guerre si combattono anche nei nostri computer: per proteggerci è stata creata l’Agenzia per la cybersicurezza nazionale. Abbiamo intervistato il suo direttore: Roberto Baldoni. text by nicolò porcelluzzi
un solo Paese, energeticamente, si incontra un problema di diversificazione». Qui Baldoni si apre a una evidente allusione alle questioni che stanno impegnando il Governo in una riconfigurazione – senza esagerare – epocale: se nei tubi scorre l’energia che permette la sopravvivenza, nei cavi scorrono le informazioni che ormai danno forma a qualsiasi procedura di scambio, economica, amministrativa, professionale. Se si vive un rapporto di dipendenza da un altro Paese, e se questo rapporto si logora, si entra in crisi. «La stessa cosa vale per la tecnologia: se ci si serve di provider o di manufacturer che hanno tutti una specifica provenienza, e a un certo punto cambiano le condizioni geopolitiche... il problema diventa evidente».
Le soluzioni su cui punta l’Acn sono «un’opportuna diversificazione, che crea anche più mercato», e lo sviluppo di una tecnologia nazionale ed europea, «una tecnologia che difficilmente può essere capovolta da fattori geopolitici».
Nell’ufficio di Baldoni, appese ai loro pennoni cromati sono allineate la bandiera europea e quella italiana, il cui rosso mi sembra più sanguigno del solito, come fosse più ufficiale; mi trovo in un edificio pubblico, in un avamposto istituzionale, eppure le vicende di Internet sono da sempre legate a logiche private, esasperate dall’oligopolio dell’ultimo decennio. Il racconto di Internet si è sempre accompagnato a un’epica “democratica”, un inno alla libertà dell’individuo. Internet come strumento neutro, come un’acqua potabile. In questo ambito però non si può lavorare senza un contatto continuo con i privati: ma il privato è pronto ad accettare questo rapporto di collaborazione? «Sì, perché da solo sarebbe perso». Si tratta di una relazione simbiotica, se non addirittura co-dipendente, perché «il privato da solo non ce la fa, così come il governo se si isola. Si deve procedere a delle collaborazioni strette e questo sta avvenendo in tutti i settori, dalla prevenzione degli incidenti cyber all’incident response, dallo sviluppo tecnologico alle certificazioni».
Nel 2022 si parla ormai di guerra ibrida: le minacce dall’esterno sono forse invisibili, ma non per questo meno preoccupanti. Ho chiesto al direttore dell’Acn, prima di essere congedato, cosa dobbiamo temere come cittadini. «Ovviamente gli attacchi cyber sono soltanto un pezzo della minaccia ibrida»; a preoccupare Baldoni è il dilagare di una disinformazione orchestrata da potenze straniere, «ma combattere la disinformazione non vuol dire vietare a qualcuno di esprimere le proprie opinioni: la libertà d’espressione, questo è ovvio, va sempre tutelata». Il contenimento della disinformazione però, come la difesa da altre minacce virtuali, non può essere delegato esclusivamente all’Agenzia: l’aspetto culturale, pedagogico, resta fondamentale. Di fronte ai pericoli nascosti nelle macchine che pensano, l’ultima risorsa del cittadino abbandonato nel caos dell’informazione è il cervello, frontiera che – per quanto malridotta e sforacchiata – resta ancora invalicabile.