L’offensiva digitale contro le infastrutture per l’energia è l’esempio più recente del pericolo che ormai corrono le società di Stato strategiche. L’Italia è infatti al quarto posto tra i Paesi più esposti agli attacchi degli hacker. E la nuova Agenzia per il loro contrasto è già in ritardo su questo fenomeno in fortissima crescita.
L’attacco è iniziato ben prima del 24 febbraio, data dell’invasione russa dell’Ucraina. Dal primo agosto 2021 al 31 luglio 2022 il ministero dell’Interno ha censito almeno 8.814 aggressioni, più di 24 al giorno, tutte condotte con l’evidente volontà – soprattutto con la capacità tecnica – di infliggere gravi danni. Quel che forse più dovrebbe preoccupare, però, è la crescita del fenomeno: nei 12 mesi precedenti, tra inizio agosto 2020 e fine luglio 2021, il Viminale aveva contato «solo» 4.938 assalti. In un anno l’incremento è stato quasi dell’80 per cento.
In Italia i cyberattacchi, le incursioni informatiche, spuntano qua e là sui giornali come notiziole distratte. Invece dovrebbero ottenere più considerazione, e fare molta più paura. L’ultimo assalto è avvenuto il 6 settembre e ha colpito il gruppo ligure Canarbino, tra i più importanti nell’import-export di gas. Tra il 28 e il 29 agosto, l’obiettivo è stato nientemeno che il Gse, Gestore dei servizi energetici, società di Stato decisiva per la stabilità energetica, che in questi mesi di forniture difficili gestisce 4 miliardi per acquistare metano sui mercati, riempire gli stoccaggi e mettere in sicurezza il sistema per l’inverno. In una notte il Gse ha subito la violazione della sua rete e forse anche il furto di dati preziosi. C’è voluta una settimana per riattivare il sistema. La società ha accusato un «programma informatico di nuovissima generazione», secondo più fonti di origine russa.
L’energia italiana è chiaramente nel mirino degli attacchi informatici, visto che il 31 agosto è stato aggredito anche il sito dell’Eni. Ma nessun settoresi salva. In luglio era toccato all’Agenzia delle entrate. In giugno ad alcune università, prese di mira dal gruppo Black Cat. In maggio era andata anche peggio: gli hacker russi di Killnet («uccidi la rete»), un collettivo che dallo scoppio della guerra in Ucraina ha rivendicato attacchi a siti governativi polacchi e americani, hanno messo nel mirino la Polizia di Stato, il Senato, l’Agenzia delle dogane e i ministeri della Difesa, degli Esteri, dell’Istruzione e dei Beni culturali, e poi il Consiglio superiore della magistratura e gli aeroporti di Malpensa, Linate, Orio al Serio e Genova…
I medesimi guai, ogni giorno, hanno migliaia di aziende, soprattutto pubbliche ma anche private. Non per nulla, nel suo ultimo rapporto l’Agenzia per la cybersecurity dell’Unione europea mette l’Italia al quarto posto tra i Paesi più a rischio dopo Stati Uniti, Germania e Francia. I tecnici pensano che molti di questi attacchi, per ora, siano soltanto prove tecniche di guerra informatica. Banali test, insomma: esperimenti tesi a capire non solo il livello di difesa di cui siamo capaci, ma anche i nostri tempi di reazione.
Sono tutti motivi per cui oggi anche la più piccola «cyber bomba» dovrebbe fare almeno la stessa paura degli ordigni degli attentatori islamici. Perché la funzionalità di certi sistemi informatici è fondamentale per la vita di tutti i giorni. E perché i costi economici generati dagli attacchi sono altissimi. Senza considerare le implicazioni politiche, strategiche, globali: ai primi di settembre lo Src, il Servizio d’informazioni della Confederazione elvetica, ha denunciato che la Svizzera oggi è la piattaforma privilegiata dai russi per lanciare cyberattacchi contro i Paesi occidentali, Italia compresa, soprattutto nell’imminenza di appuntamenti elettorali. L’obiettivo è creare propaganda, confondere le opinioni pubbliche, dividere l’Occidente.
L’Italia, purtroppo, si è munita tardi di uno scudo, l’Agenzia per la cybersicurezza nazionale. Varata il 15 giugno 2021 con un decreto firmato da Mario Draghi, l’Acn non è rapidissima nemmeno nella sua marcia verso la piena operatività. Un anno fa il governo ha fatto nomine di qualità: come direttore generale ha scelto Roberto Baldoni, un docente d’informatica che nel 2014 ha fondato il Laboratorio nazionale di cybersecurity e poi ha lavorato al Dipartimento informazioni per la sicurezza; e come vicedirettore l’ex capo della Polizia postale Nunzia Ciardi. Il recl utamento del personale dell’Acn, però, è piuttosto lento: fin qui l’Agenzia ha assunto – con contratti a termine – soltanto 11 professionisti di lotta al cybercrime, e prevede di coprire un organico di 300 addetti addirittura nel dicembre 2023.
Dotata di 43 milioni di euro nel suo primo biennio di vita, e di altri 364 da qui al 2026, a partire dal 2027 l’Acn disporrà di 122 milioni l’anno. Un mese fa, Baldoni ha dichiarato di essere al lavoro anche per mettere a frutto i fondi per la cybersecurity assegnati all’Italia dal Recovery plan europeo: «Sono 620 milioni di euro», ha specificato, «divisi tra servizi cyber e progetti legati alla difesa informatica, laboratori di analisi e certificazione tecnologica, e potenziamento della capacità di resistenza cyber della Pubblica amministrazione».
Il primo compito dell’Acn, cruciale, è prestare aiuto e soccorso a tutti i soggetti pubblici e privati che erogano servizi essenziali, e che finiscono sotto attacco informatico. Per questo obiettivo, però, servono teste davvero capaci e dita veloci sui computer, e al momento in Agenzia sia le prime sia le seconde sono ancora troppo poche. Serve, va detto, pure un’adeguata struttura legislativa. Un mese fa, il governo Draghi ha fatto una mossa «dura», anch’essa passata sotto silenzio. Nel decreto Aiuti del 9 agosto è entrato un articolo (il 37), dove si stabilisce che il presidente del Consiglio, «in situazioni di crisi o di emergenza, e a fronte di minacce che coinvolgono aspetti di sicurezza nazionale», può «emanare disposizioni per l’adozione di misure d’intelligence di contrasto in ambito cibernetico».
Da poco tempo, insomma, il governo italiano ha il diritto di contrattaccare a ogni «cyber bomba», utilizzando anche in questo campo tutte le risorse dell’intelligence. A prima vista, si tratta di un’arma potenzialmente letale. La norma, in realtà, limita il diritto di reazione al solo settore informatico, quindi esclude ogni altro tipo di contrattacco. E pone tutti gli stessi paletti stabiliti nel 2007 attorno all’attività dei nostri agenti segreti: non sono ammessi quindi «delitti diretti a mettere in pericolo o a ledere la vita, l’integrità fisica, la personalità individuale, la libertà personale, la libertà morale, la salute o l’incolumità» degli aggressori. Alessandro Curioni, grande esperto di cybersecurity, è scettico: «A me sembra che le nuove disposizioni del governo aggiungano molto dal punto di vista della forma, ma ben poco da quello della pratica. In definitiva, rende esplicito un ruolo dei nostri servizi di intelligence che però già avevano». Intanto l’Acn in maggio ha respinto un attacco di Killnet, durato ben 16 ore: «Non sono riusciti a mandare offline i sistemi neanche un secondo» ha rivendicato Baldoni. E questa, forse, è l’unica vera buona notizia dal fronte della cybersecurity.