Sulla cybersecurity in Italia c'è un grosso problema di consapevolezza

Qualche giorno fa dall'account WhatsApp di Raffaele Volpi è partita ai suoi contatti la seguente richiesta: "Ho comprato da internet ma la mia carta di credito è scaduta, posso usare la tua e ti faccio un bonifico?". Se non fosse che si tratta del presidente del Comitato parlamentare per la sicurezza della Repubblica (COPASIR), la notizia non avrebbe trovato posto neppure nel più oscuro blog del web, ma proprio per il ruolo istituzionale ricoperto ha suscitato legittima preoccupazione.

Senza immaginare attacchi "state sponsored", che penso possano essere esclusi dalla natura del messaggio truffaldino, appare probabile che la violazione sia effetto della "pesca a strascico" a cui si dedicano molte organizzazioni criminali più o meno organizzate.

Il mezzo può essere un malware o anche la truffa del codice a sei cifre, quello che whatsapp invia via SMS quando l'utente vuole cambiare il telefono su cui è attivo l'account. In questa situazione la vittima riceve il codice sul suo telefono e poco dopo gli arriva la richiesta, spesso da un suo contatto vero già compromesso, di trasferirlo perché c'è stato un errore. Ci sarebbe anche la possibilità di un attacco SIM Swap, ma essendo piuttosto articolato mi sembra un po' sproporzionato lo sforzo che i criminali avrebbero dovuto fare per il risultato che hanno prodotto.

Detto questo, però, c'è un altro tema, uno di quelli a me particolarmente cari, che vorrei affrontare: quello della consapevolezza rispetto alle tecnologie dell'informazione e al loro utilizzo.

A tal proposito riprendo alcune dichiarazioni del presidente del COPASIR. La prima: "... ho capito di essere stato 'hackerato', come si dice. Sono un uomo del secolo scorso, non ho molta confidenza con gli strumenti tecnologici". E' legittimo, anche se non auspicabile per lo specifico ruolo, che una persona possa trovarsi in affanno rispetto all'evoluzione della tecnologia, ma a questo punto dovrebbe ricevere un adeguato supporto dalle strutture preposte a garantire la sua sicurezza che, nello specifico, è molto prossima a quella del nostro paese.

Ecco ora la seconda dichiarazione, a proposito della disponibilità di un cellulare di servizio: "Non l'ho mai avuto, non l'ho chiesto e non lo voglio". In questo caso potrebbe esserci qualcosa di profondamente sbagliato. Utilizzo il condizionale perché l'unica giustificazione possibile è affermare che il presidente del COPASIR non ha bisogno di usare uno smartphone nello svolgimento delle sue funzioni.

Tolta questa ipotesi che ritengo residuale, chi svolge un lavoro per cui ha necessità di disporre strumenti elettronici "deve" averli, ed essi devono essere soggetti a un utilizzo regolamentato da chi li rende disponibili (in questo caso lo Stato). Tali dispositivi devono essere usati conformemente a quanto previsto da apposite politiche di sicurezza definite dal "datore di lavoro", come accade a milioni di italiani che sono dotati di PC e smart phone forniti da aziende e pubbliche amministrazioni.

Sarebbe opportuno che tali soggetti fossero adeguatamente formati sul tema della sicurezza, una sensibilizzazione che, compatibilmente con quanto sia sviluppato l'istinto di sopravvivenza digitale, risulta molto utile anche nella sfera personale. Inoltre per il ruolo ricoperto la separazione tra le dotazioni personali e lavorative dovrebbe essere molto rigorosa e qualsiasi obiezione che si appellasse a norme in tema di protezione dei dati sarebbe nello specifico come minimo fuori luogo. Nella stessa normativa europea in materia si legge in più punti che non è applicabile a questioni quali quelle riguardanti la sicurezza nazionale e in generale i personaggi pubblici, proprio per il loro ruolo e la loro scelta, sono genericamente soggetti a una contrazione del loro diritto alla privacy.