Il caso Equalize ha rivelato gravi lacune nella sicurezza cibernetica in Italia, evidenziando vulnerabilità e corruzione interna. Invece di sorprendersi, è fondamentale trasformare la cybersecurity in una priorità culturale per prevenire futuri incidenti. L’opinione di Antonio Teti, professore dell’Università “G. D’Annunzio” di Chieti-Pescara
Ciò che francamente mi riesce difficile da comprendere è il livello di stupore sollevato in questi giorni dai media, ma soprattutto dal mondo politico, per il caso Equalize. Lo spionaggio, il trafugamento di informazioni, il dossieraggio condotto per finalità diverse, sono in realtà tutte attività storicamente condotte fin dalla notte dei tempi. La vera differenza con il passato risiede nell’attuale possibilità di ottenere facilmente enormi quantità di informazioni memorizzate in database fruibili online e accessibili da individui disponibili alla commercializzazione delle stesse. La vera vulnerabilità risiede nell’unico anello debole del processo: l’individuo.
Tale evidenza pone indiscutibilmente al centro del dibattito sulla cybersecurity una serie di questioni “tecniche” diverse, come per esempio, quella del controllo e del monitoraggio degli accessi, aspetto che dovrebbe indurre i vertici decisionali di aziende pubbliche, private e governative ad un’attenta e approfondita riflessione sui rigidi controlli che andrebbero effettuati su chi accede ai dati contenuti nei molteplici database e dove sono allocati i server che li ospitano.
Secondo quanto emerso dalle prime indagini, la Equalize, detenuta al 95% da Enrico Pazzali e al 5% dall’ex poliziotto Carmine Gallo, riusciva ad accedere in modo illegale al sistema informativo interforze del ministero dell’Interno principalmente corrompendo membri delle forze dell’ordine che detenevano le credenziali di accesso alle piattaforme informatiche di interesse. Operazioni analoghe erano condotte, secondo la procura di Milano, da un’altra società collegata a Gallo tramite Nunzio Samuele Calamucci, socio di minoranza della Mercury Advisor una società attiva nel mercato in materia di sicurezza e nei servizi di investigazione privata. Calamucci, quarantacinquenne geometra della periferia Nord di Milano, viene descritto dagli inquirenti come “il deus ex machina del gruppo di tecnici che rendono possibile gran parte delle attività” in quella che è stata definita come la banda dei dossier.
In questi giorni si è anche appreso che la Procura di Roma sta indagando per accesso abusivo di un sistema informatico, violazioni relative alla privacy ed esercizio abusivo della professione un gruppo denominato “Squadra Fiore”, il quale sarebbe composto anch’esso da ex appartenenti alle forze di polizia che operavano in un appartamento nella zona Nord-Est di Roma. Secondo informazioni pubblicizzate dai media, il gruppo avrebbe lavorato anche per committenti esteri.
Queste notizie, tuttavia, non dovrebbero suscitare particolare meraviglia o incredulità soprattutto in coloro che hanno istituzionalmente la possibilità di dettare le leggi e le metodologie per porre fine, o quantomeno ridurre, il verificarsi di tali eventi. Contrariamente a quanto si potrebbe pensare, va evidenziato che la responsabilità di tali carenze normative e della indiscutibile inadeguatezza dei livelli di protezione dei sistemi informatici istituzionali, va attribuita ai diversi precedenti governi che si sono succeduti nel Paese nel corso almeno dell’ultimo decennio, i quali avrebbero dovuto mostrare una maggiore sensibilità e attenzione verso la problematica della sicurezza cibernetica nazionale.
Al contrario, ciò che dovrebbe generare stupore e finanche irritazione è proprio la debolezza dei sistemi di sicurezza cibernetica delle infrastrutture informatiche delle aziende pubbliche e private, cui si affianca, e non di rado, una sostanziale inconsapevolezza del problema del costo dell’ignoranza informatica dei dipendenti.
Com’è possibile che un poco più che ventenne, come Carmelo Miano sia riuscito a penetrare i sistemi informatici del ministero di Giustizia, della Guardia di Finanza e di Telespazio sin dal 2021? Come si giustifica il fatto che non venga effettuato un controllo quotidiano da parte degli amministratori dei sistemi informatici sugli accessi degli utenti (forse) autorizzati ad accedere a particolari dati? Come vengono selezionate dalle istituzioni pubbliche e private le aziende cui vengono affidate particolari attività e servizi riconducibili al settore informativo? Come e dai chi vengono verificate, soprattutto nella pubblica amministrazione, le reali competenze possedute dai chief information officer, anche identificati come director of information systems assunti dalle diverse organizzazioni?
A tal proposito, vale la pena di ricordare che lo scorso giugno è stato approvato lo schema del decreto legislativo che recepisce nel nostro Paese la NIS2. Il framework, che l’Unione europea ha concepito per indirizzare le nuove sfide della resilienza in materia di cybersicurezza, imponeva alle organizzazioni l’adeguamento, entro il 17 ottobre, a una serie di azioni, come per esempio, l’implementazione di pratiche di gestione delle risorse per identificare e proteggere i sistemi informativi e le risorse critiche, la messa in atto di strategie di sicurezza informatica e protocolli di gestione del rischio e soprattutto l’adozione di specifiche misure di sicurezza della catena di fornitura per esaminare e garantire la sicurezza dei fornitori terzi.
In funzione di quanto evidenziato, la domanda che potrebbe spontaneamente sorgere è la seguente: quante aziende pubbliche e private in Italia si sono già adeguate a questa norma europee?
Non dobbiamo più stupirci del pauroso innalzamento del livello di esfiltrazione e commercializzazione fraudolenta delle informazioni (finanche classificate), perché esse rappresentano il vero “petrolio del terzo millennio” e chi le detiene, in funzione della massa di dati che è in grado di acquisire, può esercitare un potere effettivo e potenzialmente enorme anche a livello mondiale.
Fintanto che nel nostro Paese continueremo a considerare il problema della cybersecurity come un elemento squisitamente “tecnico” da affidare e pseudo esperti e/o strutture operanti nel settore e selezionate in maniera superficiale e senza particolari procedure di analisi, l’Italia non riuscirà mai a fronteggiare le molteplici attività criminose come quelle che sta subendo. La sicurezza delle informazioni va assunta come un elemento culturale cruciale per lo sviluppo del sistema Paese, e necessita di un percorso formativo da diffondere nelle scuole, nelle università e successivamente nelle attività lavorative e professionali dell’individuo.