Prevenire è meglio che curare. Quando bisogna fare i conti con il cyber-spazio un semplice ed efficace proverbio popolare diventa un dogma da seguire senza se e senza ma. Lo sanno bene le autorità impegnate nel contrasto del cyber-crimine. Una malattia, se presa tardi, può ancora essere curata. Un conto bancario svuotato o un attacco Ddos a una centrale nucleare rischiano di trasformarsi in un incubo senza vie di uscita. Ma cosa vuol dire davvero prevenire il crimine, e lo spionaggio, cibernetico? Basta seguire le tracce dei gruppi criminali alla ricerca di una (spesso improbabile) pistola fumante o serve prima un cambio radicale di prospettiva che parta dalla formazione dei più giovani? Sono queste le domande cui hanno provato a rispondere esperti, docenti e rappresentanti del settore privato durante il seminario “Cybercrime e Spionaggio industriale: i rischi dalla rete”. L’evento, uno dei tanti che compongono l’edizione 2018 del Festival della Diplomazia, è stato organizzato in collaborazione con Kasperky Lab Italia, Assicurazioni Generali e Elettronica Group alla Biblioteca Casanatense.
Una fotografia della cultura cyber italiana è il primo passo per poter parlare di contrasto al cibercrimine. Il quadro è piuttosto desolante, tanto più se messo a confronto con altri Paesi europei. Manca soprattutto la capacità di fare sistema fra pubblico, privato e autorità. La stessa che permette a un Paese come Israele, che è cento volte più piccolo dell’Italia, di fornire di giovani universitari l’unità cyber militare 8200 sottoponendoli a un test attitudinale e a cinque anni di formazione, per poi lasciare che entrino nel privato con le loro start-up. In Italia oggi viene preferita una lettura umanistica, sociologica del fenomeno cyber. Che non necessariamente è un male. “Quanto siamo indietro nella formazione? Io sono ottimista” spiega Marco Mayer, direttore del Master in Intelligence e Sicurezza Link Campus University, che propone di parlare di “società digitale” piuttosto che di infosfera o cyberspazio, data la pervasività dell’universo cyber: “La ricerca italiana integra competenze tecnologiche e scienze sociali, un esercizio utile nell’era della post-verità e delle fake news”.
Due le direttive da seguire per creare una vera industria nazionale cyber secondo Paolo Capodanno, capo dei Sistemi Informativi di Elettronica Group. “La ricerca e la formazione del personale, e la predisposizione di una rete in grado di raccogliere dati e proteggerli”. In altre parole, per creare uno spazio cyber nello Stivale serve quella che a Elettronica Group chiamano l’ integrazione delle tre “i”: “Intelligence, cioè condivisione delle informazioni e prevenzione degli attacchi informatici, Integrazione, ovvero collaborazione con le autorità internazionali, e infine Italia, perché la valorizzazione delle risorse nazionali non è in contrasto con l’obiettivo di integrarsi”.
Un problema non da poco per gli addetti alla sicurezza delle grandi aziende di settore, ha rilevato Gianfranco Vinucci di Kasperky Lab, è l’attribuzione del crimine al cibercriminale. “Non è un’attività semplice, nel 2017 abbiamo monitorato 100 diversi gruppi Atp (Advanced-Persistent Threath) con capacità finanziarie importanti, e il risultato è in controtendenza con una certa narrazione mediatica, perché la provenienza geografica degli attacchi è trasversale”. Come uscirne fuori? Per Nunzia Ciardi, direttrice del Servizio Polizia Postale e delle Comunicazioni, si tratta di un falso problema. “Il discorso sull’attribuzione non mi appassiona, gli addetti ai lavori possono anche risalire ai codici o ai fusi orari, ma sono poco indicativi perché chiunque può falsarli per depistare le indagini”. C’è un’emergenza diversa, dice lei. Le vittime degli attacchi non sono consapevoli, perché manca il giusto livello d’allerta. Ciardi parla per esperienza. “È il caso della truffa ‘Sim-swap’: con il phishing, tecnica di furto dati ormai considerata obsoleta, si ottengono le credenziali bancarie di una persona. Segue l’attivazione di un numero di cellulare gemello con un falso documento e nel giro di due, tre ore vengono svuotati conti bancari da 300-400.000 euro”.
