La polemica esplosa sull’utilizzo di software di gestione centralizzata dei computer presso il ministero della Giustizia non è solo infondata: è rivelatrice di un problema strutturale nel modo in cui in Italia si parla di tecnologia, pubblica amministrazione e sicurezza. Formiche.net ne ha parlato in una conversazione con il professor Antonio Teti, docente di Fondamenti di Cybersecurity presso l’Università “G. D’Annunzio” di Chieti-Pescara

Negli ultimi giorni si è acceso un dibattito sull’utilizzo di software di gestione centralizzata (SCCM/ECM) sui computer del ministero della Giustizia, con accuse che evocano scenari di sorveglianza, controllo occulto e persino violazioni della libertà individuale dei dipendenti pubblici. Prof. Teti, di cosa stiamo parlando davvero quando si cita SCCM o ECM?

Cominciamo a chiarire una questione: stiamo parlando di software di gestione centralizzata degli endpoint. La piattaforma SCCM (System Center Configuration Manager) – oggi parte dell’ecosistema Microsoft Endpoint Configuration Manager – serve a: distribuire aggiornamenti e patch di sicurezza, installare e disinstallare software, applicare policy di sicurezza, inventariare hardware e software, garantire conformità normativa e continuità operativa. Sono, quindi, strumenti standard, adottati da ministeri, forze armate, università, aziende strategiche, ospedali, infrastrutture critiche. In altri termini, stiamo parlando di piattaforme informatiche che consentono ad una struttura complessa di governare migliaia – talvolta decine di migliaia – di postazioni di lavoro in modo coerente, sicuro e verificabile. Senza questi strumenti, una grande amministrazione non è gestibile, poiché per amministrare centinaia o migliaia di postazioni informatiche sarebbe necessario ricorrere a centinaia di operatori informatici che comunque non riuscirebbe a garantire la stessa efficienza e velocità di queste applicazioni. Di conseguenza, l’utilizzo di queste piattaforme centralizzate non va vista come una scelta adottata sulla base di particolari considerazioni e interpretazioni delle organizzazioni, ma rappresenta una condizione di sopravvivenza delle stesse.

Perché SCCM viene raccontato come uno strumento di controllo?

Perché si confonde deliberatamente – o colpevolmente – il controllo tecnico con il controllo disciplinare. Se il primo è necessario, il secondo è regolato dal diritto del lavoro e dai regolamenti adottati dalle strutture. Qualsiasi strumento tecnologico o anche semplice elemento informativo può essere utilizzato per finalità criminose: è possibile condurre attività di trafugamento di informazioni dai messaggi di posta elettronica, dalle piattaforme cloud, o anche più semplicemente dall’analisi dei documenti cartacei presenti negli uffici. Vale il sempre valido esempio del coltello: possiamo utilizzarlo per tagliare il pane, ma può trasformarsi in uno strumento di offese. È sempre l’uomo l’elemento decisore. I sistemi SCCM operano sul sistema, non sull’individuo. Non osservano “chi fa cosa”, ma “se il sistema è sicuro”. Trasformare queste applicazioni in una specie di Grande Fratello è una mistificazione.

Ma questi software non possono teoricamente essere usati per spiare?

Teoricamente, qualsiasi tecnologia può essere abusata, compreso un telefono, una stampante o un badge card. Ma la domanda corretta non è “può essere abusata?”, bensì: “È progettata e utilizzata per quello scopo?”. Nel caso di SCCM, la risposta è no. Per trasformarlo in uno strumento di sorveglianza servirebbero: amministratori di sistema che volutamente decidono di trafugare informazioni, moduli aggiuntivi specifici, configurazioni invasive, autorizzazioni specifiche, violazioni contrattuali e normative evidenti. Va evidenziato che tutti questi elementi lasciano traccia del loro operato.

C’è trasparenza sull’uso di questi sistemi?

 Sì, nella misura in cui ogni amministrazione strutturata definisce policy IT, regolamenti interni, informative e tracciabilità delle attività di gestione. Il punto è un altro: chi grida allo scandalo non sembra conoscere come funziona un’infrastruttura pubblica moderna. L’aspetto su cui riflettere è un altro: oggi la tecnologia è diventata un campo di battaglia ideologico, uno strumento di delegittimazione, una leva emotiva provocata da una narrativa virale e manipolata. Agitare lo spettro del “controllo” per ottenere visibilità, consenso o scontro, scaricando sull’Information Technology le colpe, rappresenta una forma di propaganda e condizionamento psicologico-comportamentale delle masse.

Qual è l’errore più grave di questa narrazione?

 L’errore è presentare la sicurezza informatica come una minaccia invece che come una tutela. Il messaggio implicito rischia di assumere la connotazione di messaggio devastante: “Mettere in sicurezza i sistemi pubblici è sospetto.” È un messaggio che indebolisce lo Stato, le sue istituzioni e che produce insicurezza nei cittadini, sottoponendoli, al contrario, a una condizione di forte rischio.

Chi lavora davvero nella cybersicurezza come giudica questo caso?

Personalmente ritengo in una condizione di grande incredulità e frustrazione, poiché mentre si discute di “fantasmi” gli attacchi ransomware aumentano, le supply chain digitali sono sotto pressione e la PA è diventato, di fatto, un bersaglio privilegiato. La conseguenza e che invece di rafforzare la governance digitale, la si delegittima.

Quindi qual è il problema?

Il problema è l’analfabetismo digitale elevato a dibattito pubblico. Un analfabetismo che confonde strumenti con intenzioni, ignora le architetture IT e riduce la complessità a slogan. Queste polemiche rischiano di delegittimare le competenze e alimentare la sfiducia nello Stato, premiando l’ignoranza rumorosa.