Almeno da marzo diverse agenzie federali statunitensi sono state colpite da un attacco informatico di enormi dimensioni di cui – secondo la stragrande maggioranza degli analisti – sono responsabili le unità clandestine del Cremlino. Quando si scrive “agenzie federali statunitensi” si resta sul vago, ma forse è bene fare una lista di quei dipartimenti che hanno subito l’interferenza informatica per dare la dimensione di quanto succede. Sono stati colpiti: Tesoro, Commercio, Homeland Security, Centro per la prevenzione delle malattie (che si occupa alla lotta al Covid), Agenzia per l’energia e per il nucleare, Pentagono, Fbi, National Security Agency. Forse sono anche di più. Per spiegarsi meglio: è possibile che un gruppo di hacker che lavora per i servizi segreti russi sia penetrato all’interno dei sistemi informatici base che gestiscono le armi nucleari americane.

Se non ci fosse stata la pandemia l’attacco cyber subito dagli Stati Uniti (e non solo) sarebbe stata la vicenda più importante dell’anno, per dimensioni e per significati. Anche se è vero che la sensibilità dell’opinione pubblica non è ancora alta nei confronti di quello che accede nel mondo digitale – nonostante abbiamo un impronta digitale sempre più pronunciata e con sempre maggiore naturalezza affidiamo a questo ambiente una grande quantità di dati e informazioni personali. Di quanto è accaduto e sta accadendo si ha notizia da pochi giorni: per prima è stata una società specializzata, la californiana FireEye, a rivelare la falla che era inserita negli aggiornamenti di un software che serve a gestire reti complesse prodotto dalla texana SolarWinds.

La società americana contava tutte quelle agenzie tra i suoi clienti, insieme a diversi privati. Tra questi per esempio c’era la redazione del New York Times, e dunque è possibile che qualcuno abbia penetrato la sua rete interna e spiato quello che si dicono i giornalisti; forse per avvantaggiarsi sul loro lavoro, forse per alterarlo. Il Nyt è uno dei media più importanti del mondo, e molta della percezione dell’informazione che tutti noi abbiamo esce da certi tempi come quello di Times Square. È solo un esempio per continuare a spiegare quanto questo attacco riguardi tutti, sebbene ancora le informazioni siano poche. E questo forse perché le agenzie statunitensi hanno scoperto solo adesso di essere sotto interferenza informatica, oppure perché lo avevano già scoperto in precedenza e non hanno voluto rivelarlo in quanto non avevano capito come difendersi. Quale delle due opzioni sia più preoccupante è difficile a dirsi – certamente la Russia negherà il coinvolgimento e gli Stati Uniti cercano di raccontare i danni subiti al minimo.

“Il cyber attacco è più grande nelle fake news di quanto non lo sia nella realtà. Sono stato informato e tutto è sotto controllo. Russia, Russia, Russia è il canto che si leva quando accade qualsiasi cosa perché [i media sono] pietrificati dal valutare la possibilità che sia stata la Cina (e potrebbe esserlo)”, è il commento con cui il presidente uscente Donald Trump non solo ha cercato di minimizzare, ma anche da distogliere l’attenzione su quella che tutti ritengono il primo potenziale responsabile – un’affermazione destinata ad avere un seguito se e quando usciranno ulteriori informazioni.

Resta che se tutto quanto successo fosse avvenuto su scala fisica, ossia se una di quelle intrusioni fosse stata portata avanti da persone e mezzi e non da software speciali passeremmo le feste di Natale con l’incubo di una guerra; tale è la portata della situazione. La ramificazione di quanto successo va dalla geopolitica, allo spionaggio alla sicurezza nazionale, ha scritto il Financial Times, e rimette la Russia – indiziato numero uno per una serie di elementi usciti finora – in cima alla lista dei cattivi, ponendo chiaramente un problema per l’entrate amministrazione Biden. Richard Blumenthal, senatore democratico tra coloro che hanno ricevuto un briefing riservato dalle intelligence statunitensi (in quanto membro della Commissione Forze armate), ha parlato apertamente di una campagna russa. È uno schiaffo all’amministrazione uscente ma anche un monito a quella entrante, che si trova davanti a una grande sfida: come approcciarsi alla Russia? È questo il senso di un editoriale firmato dall’Editorial Board del Washington Post.

E non solo: Microsoft in questi giorni ha svelato di aver subito un incursione del tutto simile a quella di SolarWinds e probabilmente inquadrabile nella stessa operazione, ma la società fondata da Bill Gates ha allargato il quadro: possono essere stati colpiti suoi clienti in Canada, Messico, Israele, Spagna, Emirati Arabi e Belgio, intanto – perché potrebbero essercene diversi di più. Gli hacker hanno selezionato gli obiettivi ha spiegato Microsoft. Secondo il capo del dipartimento di intelligence interno di FireEye, gli hacker hanno dimostrato di privilegiare la qualità dalla quantità, e questo è uno dei segnali di quanto sia stato sofisticata l’operazione. “C’è una sorta di guerra fredda silenziosa nel dominio del cyber-spazio”, ha detto Michael Chertoff, presidente della società Chertoff Group, specializzata nell’analisi e nella gestione del rischio.

Cose ne esce? “Astraendoci un attimo dal chi sia l’autore, l’aspetto più interessante è l’ampiezza e la capacità di chi ha compiuto l’attacco di colpire certi soggetti – risponde Stefano Mele partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano – e dunque il livello di pianificazione e qualità. Immaginiamoci se si fosse voluto predisporre attacchi specifici per ognuna delle agenzie, allora le capacità sarebbero dovute essere enormi e puntuali: invece trovando il fornitore comune, SolarWinds, sono stati in grado di colpire contemporaneamente tutti gli altri attori collegati”.

La sofisticatezza del ragionamento e della pianificazione, secondo l’esperto, è l’elemento centrale nell’operazione. Che cosa impariamo da tutto questo? “Comprendiamo che per attaccanti di alto profilo, come si presume un attore statale, è molto più facile essere efficaci attraverso l’individuazione di un unico fornitore che fa da Cavallo di Troia comune e poi colpire le entità collegate. È più semplice e anche meno rischioso, aggiungo, perché nel caso di attacchi specifici si corre maggiormente il rischio di essere individuati. E quindi acquisisce grande valore quello che stiamo facendo in Italia con l’estensione del perimetro di sicurezza nazionale cibernetica”.

Mele ricorda che è centrale la protezione delle infrastrutture tecnologiche, su cui è poggiata gran parte delle nostre attività quotidiane, la fornitura dei nostri servizi essenziali e quelli ad alto valore, la crescita e l’attività economica: “Ciò che è accaduto è un ulteriore segnale su quanta attenzione dobbiamo mettere sulla cyber-security, e non soltanto delle infrastrutture critiche nazionali ma anche sui soggetti che supportano le loro attività, perché attraverso questi si può arrivare più facilmente al bersaglio grosso”.

Come si potranno usare le informazioni sottratte? “Da quello che sappiamo – risponde Mele – si è trattato di un’operazione di spionaggio su larga scala, e di conseguenza a seconda delle informazioni sottratte possiamo immaginare l’alto valore informativo o commerciale, potranno fornire la possibilità di avvantaggiarsi dai segreti rubati con l’intrusione, e altre possono essere utili per eventuali attacchi successivi, magari anche per quelli in grado di arrivare a qualcosa che possa portare alle disattivazione del sistema e creare danno per i cittadini del paese rivale”.