Si moltiplicano le operazioni internazionali contro gruppi accusati di diffondere ransomware a scopo di estorsione. Ma il modo in cui vengono attuate somiglia più ad azioni paramilitari che ad indagini di polizia. È ancora il diritto lo strumento migliore per proteggere le infrastrutture critiche? L’analisi di Andrea Monti, professore incaricato di Digital Law nel Corso di Digital Marketing dell’Università di Chieti-Pescara
Europol e il Department of Justice americano annunciano congiuntamente i risultati di un’operazione internazionale che ha condotto all’arresto dei componenti di un gruppo di persone accusate di avere diffuso un ransomware (virus che cifra i contenuti di una memoria di massa) a scopo di estorsione richiedendo pagamenti in criptovalute per consegnare alla vittima la chiave di decifrazione ed evitare che i dati vengano (pubblicamente) diffusi. La notizia “girava” già da qualche settimana ma ora è definitivamente confermata.
Apprendiamo dunque che i soggetti coinvolti nell’operazione sono diversi Paesi europei (Italia assente), i Five Eyes (ma senza la Nuova Zelanda), Corea del Sud, Filippine e Svizzera.
Apprendiamo, inoltre, che gli Usa hanno qualificato gli attacchi ransomware come una questione di sicurezza nazionale il che ha consentito al Department of Justice di ottenere la cooperazione dei militari e dei servizi di intelligence; mentre non sappiamo con certezza se gli altri Paesi abbiano fatto lo stesso o si siano limitati a svolgere “normali” attività di indagine giudiziaria.
Apprendiamo infine della presenza di “soggetti privati” (formalmente, Microsoft, Bitdefender e McAfee) che avrebbero cooperato alle attività anche se non sono noti i dettagli di questa collaborazione, almeno fino a quando gli atti processuali saranno eventualmente (e semmai) diffusi.
Sappiamo pure che l’elemento fondamentale dell’operazione è stato lo hackback —il contrattacco informatico— a danno dell’infrastruttura utilizzata per diffondere e pilotare il ransomware. Lo hackback ha causato la distruzione di dati e programmi ivi contenuti e l’inserimento nei backup (copie di riserva) di comandi nascosti per riprendere occultamente il controllo dei sistemi di gestione del virus. In questo modo, quando i sospettati hanno ripristinano la funzionalità dei loro sistemi per continuare nelle azioni criminali, hanno consentito agli operatori istituzionali (o privati?) di tenerli sotto controllo e poi, infine, di identificarli e arrestarli.
Stando alle informazioni pubblicamente disponibili, è ragionevole ipotizzare che l’azione di hackback sia stata commessa dagli Usa. L’Fbi è stato, infatti, il primo a dichiarare di essere entrato in possesso delle chiavi per decifrare i file resi illeggibili dal ransomware.
LE CRITICITÀ TEORICHE
I dettagli su questa operazione sono grandemente ignoti e quindi non sappiamo esattamente cosa sia accaduto. Di certo, però, il coinvolgimento delle autorità militari e di sicurezza nazionale americane crea un problema tecnico-giuridico —e dunque politico— di non facile soluzione: la legittimità della rappresaglia a seguito di un attacco (informatico o meno, poco importa), nel corso di un’indagine penale.
Al netto delle particolarità nazionali, ogni giurisdizione occidentale è basata su una distinzione netta fra le attività di indagine giudiziaria che sono sottoposte al controllo della magistratura e non consentono di commettere reati in patria o all’estero, quelle relative alla sicurezza nazionale che, entro certi (amplissimi) margini sono di competenza dell’esecutivo, e quelle militari —che devono essere autorizzate dal Parlamento. Nel primo caso è prevista la possibilità di svolgere attività sotto copertura ma senza partecipare a reati. Nel secondo, gli appartenenti ai servizi segreti possono anche commettere reati che in alcune giurisdizioni includono anche l’omicidio. Nel terzo è previsto che ci siano regole di ingaggio che prevedono senz’altro la difesa anche preventiva se non addirittura l’attacco vero e proprio.
La differente libertà di manovra che caratterizza i differenti ambiti operativi è il riflesso degli obiettivi perseguiti. Assicurare qualcuno alla giustizia implica seguire le regole del fair trial, mentre tutelare gli interessi nazionali tramite i servizi e l’apparato militare implica, di fatto, essere meno soggetti a costrizioni giuridiche, operando in una “zona franca” di responsabilità.
Se, tuttavia, la necessità di proteggere la sicurezza nazionale può giustificare azioni offensive addirittura commesse all’interno dei confini di un altro Paese (la storia —pubblicamente nota— anche recente è piena di azioni più o meno clandestine che vanno dallo sconfinamento di militari armati in Paesi confinanti agli omicidi politici), questo approccio non può essere applicato alle indagini penali perché si traduce nel raccogliere prove in sostanziale violazione del diritto di difesa. A nessun inquirente sarebbe consentito di commettere illeciti penali per raccogliere elementi di prova sulla commissione di un delitto. E chi lo facesse, non potrebbe valersene in un processo oltre —evidentemente— a pagare in prima persona per un’azione del genere.
UN BAGNO DI REALTÀ
L’analisi teorica appena descritta ha, in termini puramente formali, una sua coerenza intrinseca. La confusione fra i tre ambiti di operatività delle strutture istituzionali e le complessità della cooperazione internazionale rischiano dunque di compromettere l’esito finale dei processi, nel caso in cui gli arrestati fossero effettivamente gli autori dei fatti loro attribuiti. La realtà dei crimini tecnologici, tuttavia, descrive uno scenario diverso.
Di fronte ad attacchi rapidi, pervasivi, estremamente efficienti e concretamente dannosi dovremmo chiederci se ha senso preoccuparsi di “fare giustizia” e dunque arrivare a una condanna seguendo le regole del processo o se, invece, ciò che conta sia “semplicemente” eliminare la minaccia, senza preoccuparsi di astrusità giuridiche. È abbastanza chiaro, per lo meno rispetto alla posizione degli Usa, che questa ultima opzione sia oramai diventata una policy ufficiale dopo che almeno dal 2017 si discute di regolare per legge la “active cyberdefense”. È anche evidente, come emerge dalle dichiarazioni ufficiali statunitensi, la difficoltà fattuale di attribuire al potere giudiziario un ruolo concettualmente preminente in questo tipo di operazioni.
COME POTREBBERO CAMBIARE LE POLITICHE PUBBLICHE SULLA SICUREZZA DEI SISTEMI INFORMATIVI
Astraendosi dal caso specifico dovremmo prendere atto di una fastidiosissima eppure inevitabile conclusione, peraltro già emersa in altri ambiti tecnologici: la necessità di reagire in tempi analoghi a quelli con i quali vengono commessi atti illegali ha privato il diritto e la giurisdizione della capacità di svolgere il loro ruolo di regolatori dei comportamenti sociali, anche devianti.
Questo implica un arretramento del ruolo del potere giudiziario a favore di un’accentuazione di quello esecutivo e dunque un cambio radicale nelle scelte di politica pubblica legate al contrasto di azioni commesse a danno delle infrastrutture tecnologiche e non solo di quelle critiche. In altri termini, andrebbe discusso fuori da ogni ipocrisia se non sia il momento di considerare determinate azioni non più come reati ma come attacchi che, pur se commessi da attori non istituzionali, vanno gestiti con le regole del conflitto (anche non dichiarato) internazionale. D’altra parte, non è un caso che lo scorso luglio il presidente Biden avesse “avvisato” il suo omologo russo, Vladimir Putin, che gli Usa avrebbero fatto quanto necessario per far cessare gli attacchi ransomware. Questa è la dimostrazione di quanto sia riduttivo pensare che operazioni come quella di cui stiamo parlando abbiano soltanto una rilevanza giudiziaria. Esse consentono a tutti gli attori istituzionali — a Ovest come a Est — di gestire conflitti a bassa intensità (percepita) senza doversi affrontare in campo aperto, utilizzando se del caso la componente giudiziaria come strumento di pressione politica quando il livello del conflitto supera una soglia “tollerabile”, secondo un approccio già praticato nei casi di espulsioni di “persone non grate” a questo o a quel Paese.
IL BIVIO TECNOLOGICO ITALIANO
Dopo anni di inerzia, e pur con più di qualche sbavatura tecnico-giuridica, dal settembre del 2019 l’Italia ha premuto sull’acceleratore della costruzione di un sistema normativo della sicurezza delle infrastrutture nazionali, dall’identificazione del perimetro nazionale di sicurezza cibernetica, all’ampliamento dei casi nei quali esercitare il golden power, all’istituzione dell’agenzia per la cibersicurezza. Rimangono sul tavolo, tuttavia, alcuni temi di ambito tecnologico e industriale che non è più possibile trascurare.
Il primo è se possiamo ancora permetterci che l’industria del software possa continuare a godere di una sostanziale impunità per l’immissione sul mercato di prodotti non adeguatamente collaudati in termini di sicurezza, non essendo possibile pensare che sia l’Agenzia a sostituirsi ai produttori.
Il secondo è se possiamo ancora ritenere accettabili i modelli di business dei servizi basati sulla gestione centralizzata di funzionalità (managed services) che consentono a un unico soggetto di controllare dall’esterno l’intera rete e i singoli computer di un’istituzione o di un’azienda. Un caso documentato nel corso delle indagini di cui si parla in questo articolo ha dimostrato che la compromissione di un unico software utilizzato da fornitori di servizi gestiti ha causato l’estensione del contagio a un numero finale di che variava da 800 a 1500 vittime.
Il terzo e ultimo tema riguarda il cloud nazionale italiano.
Altri Paesi europei, come la Germania hanno optato per l’utilizzo di fornitori di servizi di comunicazione elettronica comunitari che adottano soltanto tecnologie open source, analogamente a quanto stanno facendo Francia, Olanda e Svezia. Questo consentirà loro di rispettare rigorosi standard di trasparenza e sicurezza. L’Italia, invece, sta scegliendo strade diverse che, quantomeno sotto il profilo della sovranità tecnologica, non consentono percorsi altrettanto agevoli.
CONCLUSIONI
L’operazione internazionale che ha condotto alla distruzione di un network di estorsioni basate su ransomware e all’arresto di svariate persone sospettate di essere parte del gruppo criminale che lo gestiva ha evidenziato che il risultato non sarebbe stato raggiunto senza l’adozione di metodi più propri delle operazioni clandestine e militari che delle indagini giudiziarie.
Questa considerazione pone l’interrogativo della reale efficacia dello strumento giuridico per contrastare attacchi che, per la loro natura, devono essere annullati quanto prima anche con azioni di rappresaglia. Non è possibile, infatti, lasciarli proseguire per tutto il tempo necessario a concludere un iter giudiziario anche solo di primo grado.
La risposta dell’ordinamento americano è stata quella di cambiare status giuridico ad attacchi ransomware trasformandoli in una questione di sicurezza nazionale. Questo ha consentito di adottare metodi e risorse delle quali il potere giudiziario non avrebbe potuto servirsi. Tuttavia, bisognerà vedere come, in concreto, verranno affrontate le contraddizioni dell’avere raccolto elementi di prova da usare in giudizio con metodi incompatibili con il fair trial e come sia possibile giustificare legalmente le azioni istituzionali (con il supporto di operatori privati) di hackback. Ora bisognerà vedere se anche a livello comunitario si aprirà un dibattito analogo.
La vicenda degli attacchi ransomware ha evidenziato, infine, la non rinviabilità di scelte fondamentali per il cloud nazionale italiano, con particolare riferimento alla conservazione della sovranità tecnologica tramite l’utilizzo di tecnologie open source, come già altri Stati membri hanno deciso di fare.