Conversazione con Umberto Saccone, presidente di IFI Advisory, un passato in Carabinieri, Sismi ed Eni, che spiega perché il pubblico ha bisogno del privato e viceversa
Sequestri di persona, cripto-sequestri o cyber-attacchi come quello recente con la rete di gasdotti statunitense Colonial Pipeline? “Prevenire, prevenire, prevenire”, la ricetta è sempre la stessa secondo Umberto Saccone, oggi presidente di IFI Advisory, un passato di 33 anni nell’Arma dei Carabinieri e nel Sismi, già direttore della Security di Eni. Saccone, inoltre, è membro del comitato scientifico dell’Intelligence Week, a cui ha partecipato la scorsa settimana.
Raggiunto telefonicamente da Formiche.net, fa un esempio inquietante riprendendo i temi del suo libro del 2019, “Protocollo S” (Aracne). “Vado al cinema e, com’è naturale che sia, spengo il telefono. Qualcuno chiama casa dicendo di avermi sequestrato e dando un’ora di tempo per versare 10.000 euro su un conto, magari in bitcoin, altrimenti…”.
È l’esempio di un sequestro lampo attraverso il web e racconta tre cose. La prima: che siamo davanti “alla prossima frontiere della criminalità” a metà tra reale e digitale, spiega Saccone. La seconda: “che i dati sono il vero, grande business di oggi”. Basti pensare a quanto dichiarato nei giorni scorsi davanti alla commissione Affari costituzionali del Senato dal capo della Polizia, Lamberto Giannini: nel 2020 “gli attacchi informatici sono stati 509, quasi due al giorno, a fronte dei 147 dell’anno precedente”. Colpite “anche le strutture sanitarie, con la criptazione di dati e la richiesta di riscatto per il loro ripristino, e i tentativi di acquisire indebitamente dati riservati sulla pandemia o sullo studio dei vaccini”. La terza: che “è cruciale fare prevenzione”.
Come? “Formazione e informazione, senza illuderci che basti una delle due”, risponde Saccone. “Mettiamo il caso di un’azienda che protegge in maniera adeguata i suoi sistemi e le sue reti ma ha un dipendente che lascia le password esposte per velocizzare i suoi tempi. Quella è una porta d’ingresso spalancata a chiunque e da ovunque, un danno enorme”.
Spesso tra gli esperti italiani di sicurezza cibernetica si lamenta il fatto che la cultura in materia non sia tale da superare l’impostazione che vede i costi per la protezione informatica percepiti come un costo. Ecco, dunque, la proposta di Saccone, che colpisce dove più fa male: il portafoglio. “Per le aziende rimane ancora vivo il tema dei costi. Ma siccome un danno a un’azienda è anche un danno ai dipendenti e alla Stato, bisognerebbe defiscalizzarli con l’obiettivo i incentivare gli investimenti”, spiega. È una soluzione win-win, aggiunge: “Il ritorno è la sicurezza dell’azienda ma anche quella della collettività”.
Il rapporto tra pubblico e privato è un altro tema al centro del dibattito tra esperti di sicurezza cibernetica, specie dopo l’annuncio del prefetto Franco Gabrielli, che il presidente del Consiglio Mario Draghi ha scelto come sottosegretario con delega ai sevizi segreti, di un’Agenzia nazionale per la cyber-security. La partnership tra pubblico e privato è importante, dice Saccone, perché altrimenti “la parte pubblica rischia di finire sclerotizzata non confrontandosi mai con il mercato e quella privata di essere assorbita dal mercato e dagli sforzi per la performance”.
Ma attenzione, avverte: “Serve fare una distinzione epocale tra cyber-security nazionale e cyber-intelligence”. Poi il paragone con le aziende: “information technology e cyber-security sono separate”. È questa la strada da seguire anche a livello nazionale, conclude Saccone.