"L'Italia investe troppo poco in sicurezza"

La cyber difesa in Italia è carente dal punto di vista dei mezzi. Abbiamo ottimi professionisti, ma sistemi tecnologici non all'altezza della situazione. I rischi? Che possiamo essere tutti osservati. Ecco perché sarebbero necessari forti investimenti. A spiegarlo è il professor Andrea Rossetti, che insegna informatica giuridica all'Università di Milano - Bicocca.

Professore, che pensa del caso dei fratelli Occhionero?

«Abbiamo visto solo le carte che circolano e che sono potenzialmente a disposizione della procura. Non sappiamo se queste persone fossero effettivi collaboratori dei servizi o meno. Però ciò che abbiamo appreso è che coloro che si occupano di queste cose, di solito, sono contigui a un certo mondo in vari modi. Non siamo in grado di sapere chi controlla le nostre informazioni, indipendentemente dal fatto che poi la cyber difesa italiana non sia particolarmente all'avanguardia o meglio non sia particolarmente dotata di fondi».

Che cosa vuol dire?

«Che la cyber difesa, dal punto di vista normativo, negli ultimi anni ha avuto una grande espansione. Ci sono svariate agenzie, in Italia, che hanno come compito di garantire quella che chiamiamo la sicurezza sistemica, quindi la sicurezza informatica per sistemi che fanno di fatto funzionare il Paese, dalle centrali elettriche agli aeroporti. Dal punto di vista normativo fino al 2014 si è fatto molto ed è stata creata più di un'agenzia. L'esercito italiano ha addirittura un cyber reparto. Si sono dotati di reparti così anche i carabinieri, l'aeronautica, la guardia di finanza e la polizia. In realtà gli attori in gioco sono molti. Quello che manca è un reale finanziamento di queste strutture, perché se andiamo a vedere, ad esempio, il controspionaggio americano, ci potremo rendere conto che, in dollari, ha un budget miliardario».

In Italia quanto si spende, invece, per la cyber security?

«Una cifra non la so dire, è difficile stabilirla perché abbiamo tutto un insieme di sottosistemi. Posso essere un hacker abilissimo, ma se non ho un'infrastruttura che mi supporta è chiaro che le mie competenze non vengono sfruttate».

Serve aumentare la spesa?

«Indubbiamente. Insomma, oltre al perimetro fisico che gli Stati nazionali controllano, dal punto di vista militare, dobbiamo metterci in mente che abbiamo bisogno anche di un controllo del nostro perimetro informatico. Anche perché fino a ora non è successo fortunatamente niente di grave, ma non possiamo escludere che ci siano in futuro attacchi di questo genere».

Come, ad esempio, quelli dell'Isis?

«Non sappiamo le competenze informatiche dell'Isis e quanta potenza di fuoco abbiano in termine di macchine. Se voglio, ad esempio, che vengano spenti tutti i contatori delle luci di Milano, che sono informatizzati, devo conoscere bene questa infrastruttura. Non è una cosa semplice come sembra, per cui attacchi di questo genere sono perpetrati da persone che hanno conoscenze dirette o derivate e una infrastruttura tecnologica, dietro ci deve essere qualcuno che li supporta».

Tornando agli Occhionero, sostiene quindi che non abbiano fatto un granché?

«Dico che sono semplicemente riusciti a infilare un malware nei posti giusti. La maggior parte degli hacking, in questo ultimo periodo, è cognitivo, ovvero l'hacker non è uno che ha incredibili conoscenze tecnologiche, ma uno che riesce a convincere un'altra persona a dargli informazioni che poi può sfruttare per accedere ai suoi sistemi. Secondo alcuni studi il 70% degli hacking nel mondo è di questo tipo».

Quindi, per difenderci, non resta che la buona, vecchia, corrispondenza epistolare?

«Non dico questo. Però, di recente, per veicolare messaggi più sicuri da un punto A a un punto B, è tornato di moda il mestiere del fattorino. Non che si debbano fare passi indietro, ma pensate ai pizzini dei mafiosi.