Sarebbero più di 800mila i dati acquisiti, e sarebbero stati accertati profitti per oltre tre milioni di euro: è questo l’ultimo caso di dossieraggio a cui stiamo assistendo, e vede coinvolto tra gli indagati per associazione per delinquere c'è anche Enrico Pazzali, Presidente di Fondazione Fiera che si è subito autosospeso. In poco tempo, però, l’Italia si è trovata davanti ad altri casi simili: prima Striano, poi il bancario di Intesa San Paolo e quello di Miano. C’è una strategia comune? O quello che li rende simili è una scarsa efficienza del secret service? Come si fa ad accedere a una mail legata al Presidente della Repubblica Sergio Mattarella? Serve essere hacker di alto livello o non in tutti i casi è stato necessario? E, quale il movente? Lo abbiamo chiesto a Matteo Flora, imprenditore, docente universitario, proviene dalla cybersicurezza e ha preso parte al programma di cooperazione del Governo americano nel 2012 con il format “Combating Cybercrime”.
In poco tempo abbiamo avuto vari casi di dossieraggio: il caso di Striano, il bancario di Intesa San Paolo, quello di Miano e ora l’ultimo. C’è un minimo comune denominatore?
Certamente sì, hanno tanti punti in comune e il primo di questi è che la massima parte delle informazioni hanno un valore economico perché hanno la possibilità di essere sfruttate economicamente. Danno un vantaggio competitivo, economico e di posizione che le rende quindi un investimento più che un costo. L'altra cosa che hanno in comune è che quasi tutte queste informazioni sono frutto di una scarsa cultura della sicurezza, e non mi riferisco solo alla sicurezza informatica.
Come è possibile violare un account mail collegato a Mattarella?
Entrare in un account come quello del presidente della Repubblica Sergio Mattarella ha diverse possibilità: spesso per la parte dei top manager, anche se ovviamente è improprio definirlo tale, quello che viene compromesso non è tanto il computer della persona in sé, ma è uno qualunque dei computer che ha avuto o ha accesso a quell'account di posta, come può essere una segretaria o una parte del protocollo, persone che però vi è necessità di lavoro hanno bisogno di accedervi. Qualcuno potrebbe aver quindi carpito le credenziali di autenticazione, compresa la sessione di navigazione e da lì si va un bel po’ avanti avendo accesso a tutta la macchina. Quello che però bisogna chiedersi non è tanto come quella persona sia riuscita ad avere l'accesso, quanto piuttosto perché nessuno se ne sia accorto, anche perché stiamo parlando di un account di posta che doveva essere iper-sorvegliato, anche a valle.
Pensa che ci sia un unico disegno dietro?
Disegno no ma problema sì. Un problema legato a tutte queste realtà, e credetemi non sono tantissime, che si occupano di quella zona grigia, che dovrebbero essere i servizi di intelligence aziendali, che hanno regole e limiti precisi ma che sfociano spesso e volentieri in tutta un'altra serie di vizi che invece di lecito non hanno nulla. Partendo quindi uno di questi servizi ci si è allargati, perché c'è un classico livello di sovrapposizione. Quello che potrebbe legare i vari casi è la presenza dei medesimi clienti e delle diverse realtà che sono coinvolte, sia come perpetratori che come venditori.
Quanto è facile per un hacker fare operazioni simili?
Alcuni dei casi di cronaca che abbiamo visto, soprattutto quando riguarda la procura, richiedono una capacità oggettivamente non indifferente da parte del criminale informatico. Ma va ricordato che la massima parte di quelli che abbiamo visto come dossier sono spesso usciti da tutte persone che avevano i diritti per prendere quelle immagini e quel tipo di contenuti. Più volte si è parlato dei famosi Rat, ovvero i remote access tool, quindi i servizi remoti di controllo di un computer: ma se un utente specifico ti chiede centinaia o migliaia di dossier, chi è che sta sorvegliando le cose funzionino? Non è tanto quindi una questione di cyber security, quanto piuttosto di sicurezza dei dati. La cultura della riservatezza fa in modo che ogni qualvolta io ho dei dati che per natura sono sensibili e che è giusto che esistano ci siano delle regole ferree e dei controlli serrati per fare in modo che queste informazioni non siano abusate dal sistema stesso o da elementi estranei al sistema. Quello che fa gelare il sangue non è quindi il fatto che qualcuno sia riuscito ad accedere ma che per un enorme lasso di tempo nessuno degli organi preposti al controllo abbia mosso un dito, ammesso e non concesso che ci fossero degli organi che stessero lavorando e operando in questa direzione.
In quale dei casi c'è un hacker professionista e in quale, invece, solo un anomalo accesso alle informazioni?
Una minoranza quasi insignificante dei dati è filtrata usando tecniche di vera e propria effrazione digitale. Questo vuol dire che una buona parte di quei contenuti provengono da persone che avevano lecitamente l'accesso, oppure lo hanno richiesto, ottenuto e poi rivenduto. Nella massima parte dei casi, quindi, è stato penetrato l'account di una persona che aveva la possibilità di farlo e che è stata abusata anche contro la volontà della singola persona. Ma, ancora una volta, non sono stati bucati i sistemi, ma è stato un uso improprio di determinati account per raggiungere scopi terzi e recuperare migliaia di contenuti. È come dire che la serratura della cassaforte non ha funzionato, ma non è così, perché è come se io avessi dato cento euro in mano al proprietario di una delle chiavi della cassaforte e ne avessi fatto una copia, o sono entrato e uscito con la sua complicità mille volte o, ancora meglio, sono riuscito a carpire la combinazione in cui veniva conservata la chiave. Quindi non devo cambiare la serratura, ma devo fare in modo che le informazioni contenute all'interno della cassaforte siano tutelate e questa cosa non è avvenuta. Anche se in teoria esistono agenzie che hanno come scopo proprio quello di tutelare il perimetro digitale del paese anche da infiltrazioni, che evidentemente non hanno funzionato.
Ma quindi che soluzione c’è da un punto di vista pratico?
La soluzione dal punto di vista tecnico c’è e ci sono salvaguardie che si possono implementare. Hanno tutte a che fare con la creazione di un sistema di salvaguardia; quindi, che monitori gli accessi e che in presenza di difformità rispetto all’utilizzo normale scatta l’allarme. Un allarme che intanto blocca l’attività e che poi la sbloccherebbe in seguito a controlli se non si riscontrano problemi. La cosa fondamentale da fare, poi, è l’autenticazione biometrica, facendo in modo che quanto accaduto fino ad ora non sia più possibile. Ovviamente sottolineo che bisogna esercitare quel controllo che tanti dicono di avere, come l’agenzia per la cybersicurezza nazionale, che nella pratica, però, non esercita quanto dovrebbe.
