Dal citofono a Zoom in una settimana: siamo pronti?

Intervista a un esperto di sicurezza informatica

Un paese come l’Italia può essere catapultato dal citofono a Zoom nel giro di una settimana? E con quali rischi? E’ uno degli interrogativi suscitati dalla ‘modernizzazione forzata’ imposta dal caso all’Italia dopo l’arrivo del coronavirus nelle nostre città. Un tema che al momento è messo in ombra dall’impatto dell’ubriacatura digitale, ma a cui potremmo essere chiamati a rispondere non appena i suoi effetti collaterali cominceranno a venire a galla. Perché dai virus informatici (più in generale dalle insidie della rete), esattamente come da quelli biologici, non ci si difende improvvisando. Per capire quali potrebbero essere questi effetti abbiamo fatto una chiacchierata con un tecnico che da anni lavora nel settore della sicurezza informatica e che ha preferito rimanere anonimo.

Le misure di contenimento del coronavirus hanno provocato un’ondata di digitalizzazione di massa: oggi anche chi non ha mai avuto particolare dimestichezza con la tecnologia è stato costretto a imparare ad acquistare prodotti su internet o a fare videoconferenze. Come sempre l’innovazione presenta delle opportunità ma anche dei rischi. Quali sono quelli che hai modo di osservare dal tuo punto di vista?

La situazione ha fatto emergere problemi che in realtà sono presenti da tempo, ma prima erano stati tenuti sotto la sabbia. La novità è che oggi tutto quello che un tempo veniva fatto in modo analogico – andare alla posta, fare acquisti, leggere un giornale – è stato cooptato nel mondo digitale. Questo cambiamento ha fatto emergere i primi problemi, ma molte altre questioni e più gravi emergeranno nei prossimi mesi e nei prossimi anni. Credo ad esempio che tra qualche settimana cominceremo a vedere una crescita dei casi di cybercrimine.

Aldilà della crescita del traffico ci sono ragioni più specifiche su cui basi questa previsione?

Sì, ad esempio il fatto che ci sono aziende che sono state costrette da un giorno all’altro a estendere la propria rete nelle abitazioni private dei propri dipendenti e questo ovviamente comporta una serie di rischi, perché si tratta di ambienti, computer, linee che non sono sempre protette in modo adeguato e che ospitano dati sensibili. Tieni presente che da quando è entrato in vigore il nuovo regolamento europeo sulla protezione dei dati, il GDPR, in Italia si è fatto pochissimo. Le grandi aziende sono quelle che hanno fatto di più. Per il resto le aziende più piccole hanno fatto il minimo indispensabile per mettersi in regola in modo da evitare le sanzioni, che sono salate, ma in termini di antivirus, applicazione delle cosiddette security policies ecc. siamo molto indietro. Del resto la vicenda del server dell’INPS che va in tilt è indicativa.

In quel caso però sono stati evocati gli hacker…

Sì, ma non è stata fornita alcuna prova e credo che questo sia gravissimo. Poi quelle accuse sono state smentite sul piano tecnico. Senza entrare troppo nel dettaglio i sintomi indicano che i problemi all’INPS sono stati altri: si chiamano fretta, configurazioni errate, negligenze. Tornando al discorso di prima: capisci che se il pubblico combina macelli di queste proporzioni figuriamoci cosa può succedere nel privato.

CoI cosiddetto Internet of Things, cioè gli oggetti di uso comune collegati alla rete, il rischio si farà ancora più grande o no?

Il problema è che in generale a chi usa il digitale manca una formazione di base per operare in sicurezza. Gli attacchi informatici, che diventeranno un problema grave, si basano su protocolli standard, quindi possono essere contrastati. Il problema è: noi usiamo un dispositivo che va su internet, non importa che si tratti di un computer o di un tablet, di uno smartphone o di qualcos’altro.  Ma siamo in grado di metterlo in sicurezza? Finché si tratta del pc ci affidiamo agli antivirus, ma anche la stampante, se è collegata alla rete, è una porta da cui si può entrare nel nostro sistema. Però gli antivirus per la stampante non ci sono. E qui sta il punto: i produttori dovrebbero distribuire dei dispositivi di sicurezza, che però non vengono forniti. E’ per questo che ci saranno violazioni informatiche sempre più gravi. Il rapporto annuale CLUSIT sulla sicurezza informatica dice che nel 2018 gli attacchi informatici gravi sono aumentati del 38%. E il contesto aiuta: i nostri dispositivi sono tutti collegati tra loro dalla nostra  rete wi-fi domestica. Se poi usciamo dalle mura di casa ci sono interi settori industriali strategici che ormai sono completamente digitalizzati. Pensa alla produzione di energia – generatori, impianti per la regolazione della pressione, catena di distribuzione – tutti i dati finiscono su internet. E quanto più internet diventa veloce tanto più frequenti saranno gli attacchi.

Oltre alla questione della sicurezza c’è la battaglia che si è aperta sulla comunicazione digitale: nei giorni scorsi il Governo ha annunciato la costituzione di una task force per combattere le cosiddette fake news, che ricorda un po’ il ministero della verità di Orwell. Poi la FIEG e l’ordine dei giornalisti della Lombardia hanno chiesto di bloccare Telegram, denunciando la diffusione illecita di copie dei giornali da parte di una decina di canali, un fenomeno che di recente sarebbe cresciuto molto. E tu ti sei arrabbiato. Perché?

I motivi sono tanti. Io lavoro a stretto contatto con l’editoria, lavoro per conto di alcune aziende editoriali e scrivo articoli tecnici per una rivista cartacea, per cui è un mondo che conosco abbastanza bene nelle sue diverse articolazioni. E osservo che c’è un’editoria relativamente illuminata che si è adeguata al digitale da una parte e dall’altra c’è un modo arcaico, i dinosauri dell’editoria, che non si sono mai preparati a qualcosa di ovvio – perché ormai la distribuzione digitale è qualcosa di ovvio da tempo. I giornali sono aziende guidate da imprenditori che devono fare investimenti e assumersi un rischio. C’è chi invece ha deciso di rimanere un’azienda del ‘900 anche se siamo nel 2020 e poi se la prende con Telegram. Il problema però è un altro: il cartaceo è in crisi da tempo e ora col lockdown la gente non va più in edicola e i bar dove una volta tanti andavano a prendere il caffè prima del lavoro e leggevano il giornali sono chiusi. Del resto Telegram non è neanche il problema più grande. Se vai su Google e digiti il titolo di una rivista trovi 30 siti che ti permettono di scaricarla gratis.

Però è sempre più difficile far girare i contenuti. Anche su Facebook, soprattutto dopo la campagna elettorale americana di 4 anni fa, sono stati introdotte mille restrizioni: su certi tipi di contenuti devi compilare un disclaimer ed è vietato usare le inserzioni a pagamento.

Chi produce la notizia falsa sfrutta la leva della censura, dicendoti: io non posso scrivere quello che voglio perché mi censurano. Ma il problema a monte è che non bisognerebbe mai confondere una notizia libera con una notizia falsa. La realtà è che chi dice una cosa se ne deve assumere la responsabilità, ma per far rispettare questo principio e anche altri tipi di abuso diffusi sul web come la pedopornografia, il revenge porn ecc. ci sono strumenti come il machine learning e in generale l’intelligenza artificiale, che sono in grado di scansionare la rete e trovare certi contenuti, strumenti che dovrebbero essere finanziati e utilizzati. La strada è quella, non rivolgersi all’Agcom per chiedere di oscurare Telegram, che, tra l’altro, è anche tecnicamente impossibile.

Ora poi c’è anche la minaccia di essere tutti tracciati. E’ possibile difendersi?

Se ti riferisci alla app che il Governo vuol distribuire agli italiani, al momento pare che non sia obbligatoria. Però siamo al limite del ricatto. In sostanza il messaggio è: non sei obbligato a usarla, però se la usi non ti rompiamo le scatole, se invece non la usi potremmo crearti dei problemi, ad esempio dicendoti che non puoi uscire. Finora le comunicazioni che arrivano dal Governi dicono che il software sarà open source – codice libero – e questo aiuterà la comunità degli sviluppatori a renderla più sicura e affidabile e assicurano che se ci saranno delle limitazioni saranno temporanee. Dopodiché, come tutte le cose umane, c’è sempre il modo di eludere i controlli. Vedremo quando avremo i dati a disposizione, ma intanto pare di capire che il tracciamento funzionerà tramite bluetooth, quindi disattivando il bluetooth la app non dovrebbe funzionare. Anche se, ovviamente, la disattivazione potrebbe essere rilevata. In ogni caso nessun sistema è a prova di bomba a meno che non applichi il sistema cinese, che però prevede anche telecamere a ogni angolo di strada, riconoscimento facciale ecc.

Un’ultima cosa. In molti hanno osservato che il lockdown ha avuto un impatto visibile sull’ambiente: l’inquinamento in alcune zone è diminuito, a Venezia si sono rivisti i pesci dopo decenni, le acque sono più limpide. Ma il fatto che milioni di persone si riversino su internet per lavorare e per comunicare non ha un impatto anche ambientale?

Certo. Perché i server producono calore e vanno raffreddati e per raffreddarli si usano delle ventole o dei sistemi di raffreddamento liquido che richiedono energia. Poi se ieri gli utenti di servizi come ad esempio Zoom erano 10 e oggi sono mille vuole dire che quei server si sono moltiplicati e per costruirli servono alluminio, silicio, bauxite, rame e oro. Noi non ce ne accorgiamo perché sono materiali che vengono estratti in Africa o in America Latina. Così come gli hard disk non vengono prodotti a Milano, ma in paesi dove la manodopera costa poco e dove magari trovi non l’operaio ma il bambino che avvita hard disk seduto su un pezzo di cartone per terra. Così come se anche Amazon ha chiuso alcuni siti l’attività prosegue, gli ordini sono cresciuti, ma il numero di lavoratori è sempre lo stesso e pensa che già prima non avevano il tempo per poter andare in bagno… In poche parole il fatto che milioni di persone stiano usando il digitale non ha risolto il problema , lo ha semplicemente spostato su un piano dove gli effetti sono meno visibili rispetto agli scarichi delle auto.

Intervista tratta dalla newsletter di PuntoCritico.info del 24 aprile 2020.