Un’apposita struttura presso il Dis competente nella creazione di sorgenti da impiegare nei sistemi di captazione da remoto, un rafforzamento degli organismi incaricati alla vigilanza operativa sulle aziende del settore e un coordinamento della rete dei vari Cert.
Sono queste, in sintesi, alcune delle proposte che il Copasir – il comitato parlamentare di vigilanza sui servizi segreti – ha elaborato a seguito di un’approfondita indagine conoscitiva sui sistemi informatici per l’intercettazione di dati e comunicazioni (i cosiddetti captatori informatici o ‘trojan’).
LE AUDIZIONI
Il documento, che Cyber Affairs ha visionato prima della sua trasmissione al Parlamento, è il frutto di un lungo ciclo di audizioni realizzate dal Comitato che per l’occasione ha ascoltato, tra gli altri, esponenti di intelligence, Polizia Postale, Guardia di Finanza mondo accademico, ma anche grandi aziende e Pmi (tra le compagnie, per citarne alcune, figurano Cy4Gate, Hacking Team, Area, IPS, SIO, Cyber Intuition, Sind, Reaqta, RCS Lab, CSH & MPS, ITD Solutions), nonché operatori di telecomunicazioni (TIM, Vodafone e Wind Tre).
LE FINALITÀ DELL’INDAGINE
L’indagine, deliberata il 30 giugno del 2016, aveva come finalità quella di ricostruire il quadro generale delle procedure e dei sistemi di controllo attivati nei confronti dei sistemi informatici considerati invasivi e delle società che li producono, allo scopo di individuare gli strumenti normativi più idonei alla tutela della sicurezza informatica del Paese.
Un lavoro che, secondo il Copasir, si è rivelato utile ai fini della costruzione della cornice giuridica della questione a partire dal decreto Monti (2013) fino ad arrivare al decreto del presidente del Consiglio dei ministri del 17 febbraio 2017 (il cosiddetto Dpcm Gentiloni) che, si legge, “era in fase di elaborazione nel periodo in cui si sono svolte le audizioni”.
SICUREZZA VS PRIVACY
Tra le risultanze delle audizioni c’è innanzitutto la necessità di approfondire gli aspetti di carattere giuridico legati ai captatori informatici, “considerato che la velocità delle performance delle tecnologie e l’adeguamento normativo non vanno” necessariamente “di pari passo”. Il tutto, si è rimarcato, va fatto senza dimenticare il bisogno “di un bilanciamento, da un lato, delle capacità di difesa e, quindi, dei doveri dello Stato (sicurezza e legalità, in primis), e dall’altro, dei diritti dei cittadini (quindi, privacy ma anche libertà di movimento sulla rete)”. Alcuni dei punti affrontati, ad esempio, riguardano le difficoltà legate all’inoculazione dei malware (tanto direttamente quanto da remoto), nonché alla possibilità di intervenire a monte dell’installazione del virus per impostare determinati standard che indichino il target esatto (l’intervento per escludere dall’intercettazione i soggetti estranei all’indagine sarebbe possibile solo a posteriori, con tutto ciò che questo comporta), ma anche le criticità legate alla gestione dell’integrità dei dati acquisiti dai dispositivi degli indagati (“considerando che il captatore è un agente attivo che può creare e modificare contenuti).
LA VENDITA DI TECNOLOGIE
Allo stesso tempo, è emersa, affrontando il tema della sicurezza delle informazioni e della vendita di tecnologie all’estero, “la relazione tra azienda commerciale e le strutture governative che si avvalgono dei loro applicativi”, che porrebbe vari problemi, tra i quali “il confronto con altri clienti aventi eventuali interessi in contrapposizione con quelli del proprio Stato di appartenenza o che utilizzino le tecnologie dell’azienda per finalità contrastanti con gli interessi nazionali” (come esempio di best practice nella gestione di queste potenziali problematiche è stato citato durante le audizioni il caso israeliano e, in particolare, il buon funzionamento dell’Israel National Cyber Bureau e del cluster di Beersheba).
GLI STANDARD CHE SERVONO
Altro aspetto importante sollevato durante l’indagine è stato poi quello relativo alle ditte fornitrici del servizio di captazione, “per le quali”, è stato detto durante una delle audizioni, oltre ad avere chiara la loro provenienza “bisognerebbe elaborare degli standard di sicurezza unici e di controllo, per esempio relativamente alla conclusione delle intercettazioni”. Allo stato, “la scelta delle ditte che forniscono il prodotto per l’intercettazione” (l’audizione in questione è stata svolta a novembre 2016, ndr), si legge nel documento, “avviene principalmente su base fiduciaria, mentre occorre porre uno standard di sicurezza (ISO 27001, ISO 9002 e così via) e l’esibizione di certificazioni per il personale impiegato”.
L’esigenza di tali certificazioni è emersa anche nelle parole delle telco, che hanno spiegato che, quando si parla di captatori informatici, il loro intervento avviene solo “a corollario, per consentire a chi è autorizzato, di espletare le operazioni di inoculazione del software” e che considerano importante da un lato “l’esistenza di un sistema di garanzie che delimitino l’area di azione delle informazioni e degli operatori addetti” e, dall’altro, “che i soggetti che mettono a disposizione i software stessi siano in possesso” della già citata “certificazione sulla sicurezza delle informazioni” (che si ottiene, tra l’altro, mediante un processo lungo).
CONCLUSIONI (E PROPOSTE)
Una parte del documento è destinato, poi, alle conclusioni della relazioni, che contengono anche delle precise proposte, pensate alla luce di quanto emerso dalle audizioni e dalla documentazione acquisita nel corso dell’indagine. Ad esempio, il Copasir, ritiene “utile prevedere, nell’ambito del Dis” – il cui ruolo nella difesa della sicurezza cibernetica risulta rafforzato per effetto del già citato Dpcm Gentiloni – “un’apposita struttura competente nella creazione di progetti sorgenti da impiegare nei sistemi di captazione da remoto in modo da avere a disposizione nell’immediato futuro prodotti certificati di origine italiana, muniti dei requisiti di qualità, sicurezza e affidabilità”.
Per la parte più strettamente concernente il controllo, l’organismo parlamentare registra invece “l’esigenza di un rafforzamento dell’Ufficio centrale per la segretezza (UCSe), all’interno del Dis, al quale affidare la vigilanza operativa sulle aziende interessate e lo svolgimento di verifiche costanti e periodiche sulla sussistenza dei necessari standard di sicurezza ed affidabilità”.
Inoltre, secondo il comitato, occorre che il Dis – guidato dal prefetto Alessandro Pansa (nella foto) e da poche settimane con un vice direttore delegato alle questioni cyber, il professor Roberto Baldoni – coordini “la rete dei vari Cert (Computer Emergency Response Team) in modo che rispondano ad una regia unitaria e coerente nella definizione dei criteri minimi di certificazione della qualità delle varie aziende”.
Il Copasir, auspica, infine, “la valorizzazione delle apposite linee guida tra le aziende coinvolte e gli uffici giudiziari competenti” – (sulla falsariga del bando per l’accreditamento per la fornitura del servizio intercettazioni telefoniche, telematiche ed ambientali già utilizzato da alcune Procure) – “per il corretto impiego delle strumentazioni volte ad attività di intercettazione e captazione”.
