a cura di Giuseppe Gagliano –
La sicurezza cibernetica del Paese e il recente caso “Equalize”, secondo cui sarebbero state raccolte informazioni sensibili dalla banca dati interforze del Ministero dell’Interno attraverso il lavoro di hacker e membri corrotti delle Forze dell’ordine: ne parliamo con Alberto Pagani, docente universitario di Sociologia dell’organizzazione e esperto di studi strategici relativi alla sicurezza nazionale. E’ stato parlamentare nella 17ma e 18ma legislatura.
– Professor Pagani, quali sono le principali falle di sicurezza che sono emerse all’interno dell’Agenzia per la Cyber Sicurezza Italiana e quali potrebbero essere le conseguenze per la sicurezza nazionale?
“Francamente mi pare che il problema non stia nell’Agenzia, ma altrove. L’Agenzia non è il cane da guardia dei dati della pubblica amministrazione; ha un compito diverso: deve rafforzare le capacità di resistenza e resilienza agli attacchi informatici del sistema Paese, con particolare attenzione alle infrastrutture critiche, soggette alle norme della Direttiva NIS2. Le falle emerse riguardano piuttosto la sicurezza delle informazioni riservate alle forze di polizia, alle quali non possono accedere agenzie private di investigazione. Ogni poliziotto, carabiniere o finanziere che interroga lo SDI con le proprie credenziali è tracciato e deve giustificare la ragione dell’accesso con un’indagine in corso. Tuttavia una società che ha copiato e sottratto milioni di dati non ha più bisogno di accedere al database della polizia, poiché dispone già di una copia privata. È chiara la gravità della situazione?”.
– A suo avviso, come è possibile che un’agenzia creata per proteggere il Paese da minacce cibernetiche sia finita al centro di uno scandalo di sicurezza? C’è stata negligenza o incompetenza?
“Ho letto polemiche sull’ACN (Agenzia per la Cyber Sicurezza Nazionale) che riguardano solo le retribuzioni dei dirigenti, le assunzioni di personale imparentato con i politici o l’attribuzione di generose consulenze esterne. Ho pensato che fossero indiscrezioni giornalistiche ispirate dall’interno, probabilmente dovute a conflitti di potere e regolamenti di conti interni. Nella pubblica amministrazione, purtroppo, non è una novità. Il furto dei dati dello SDI non c’entra nulla con l’ACN e non so dire se si tratti di negligenza, di incompetenza o di altro. In generale penso che il controllo di chi accede agli archivi dello Stato così delicati debba essere più rigoroso. Quando è richiesto il nulla osta di sicurezza per compiti meno rischiosi, è evidente che chi gestisce informazioni o sistemi informatici di rilievo debba essere sottoposto a controlli molto più severi”.
– Può fare qualche esempio?
“Tempo fa ho visitato la sede di Huawei Italia, all’EUR. Mi è stato mostrato anche il luogo dove i clienti possono accedere al codice sorgente dei programmi. Non mi è stato consentito portare all’interno dell’area ad accesso limitato alcun dispositivo elettronico, e sono stato accompagnato da un impiegato cinese che non mi ha mai perso di vista. Credo che quella sia una procedura di sicurezza opportuna, anche se io non avrei saputo arrecare alcun danno né rubare informazioni segrete, nemmeno se mi avessero lasciato solo tutto il giorno con il mio telefono in mano”.
– Nel contesto dell’attuale panorama geopolitico, quanto potrebbe influire questo scandalo sulla fiducia dei nostri partner internazionali, come la NATO e l’Unione Europea, nella capacità dell’Italia di garantire la sicurezza dei dati sensibili?
“La NATO non è particolarmente interessata alla sicurezza delle informazioni che riguardano la Homeland Security italiana, purché non compromettano segreti militari. I servizi di sicurezza italiani hanno sviluppato, durante la Guerra Fredda, un’expertise riconosciuta da tutti nel controspionaggio. Lo spionaggio può colpire la NATO anche senza l’uso di tecnologie avanzate. Ricordo il caso della spia russa che, fino all’anno scorso, lavorava come segretaria presso il circolo ufficiali della NATO a Napoli. Sfruttando la sua posizione, ha sedotto alcuni ufficiali americani, probabilmente raccogliendo confidenze che a Mosca sono state molto apprezzate”.
– Il progetto “Equalize” è stato presentato come uno strumento strategico per migliorare le capacità cibernetiche italiane. Quali aspetti di questo progetto ritiene possano aver portato alla sua vulnerabilità e alle fughe di informazioni?
“Più che di un progetto per migliorare la resilienza cyber dell’Italia, a me risulta che si tratti di un progetto per fare profitti. Non c’è nulla di male, a patto che si rispettino le leggi. Il problema nasce quando si violano le normative per offrire ai clienti un servizio migliore, aprendo così delle falle che possono diventare voragini. Le agenzie di Private Intelligence, se operano correttamente, possono offrire un contributo positivo. Tuttavia, quando si supera il confine della legalità per accontentare il cliente, si cade nell’illegalità”.
– Esistono evidenze di un coinvolgimento di personale interno dello Stato oppure si tratta di un attacco orchestrato dall’esterno? È vero che Equalize è stato sviluppato con il supporto di partner esteri?
“Non lo so, poiché sta indagando la magistratura. Tuttavia, se fossi un’agenzia di intelligence straniera interessata a ottenere informazioni su aziende o personaggi italiani, probabilmente mi rivolgerei a un’agenzia privata italiana di business intelligence. Questa, dietro compenso, si assumerebbe tutti i rischi reputazionali e penali”.
– Quali misure immediate suggerirebbe per proteggere la riservatezza delle informazioni legate a Equalize, considerando che potrebbero essere state compromesse?
“Non è il mio mestiere e non ho informazioni specifiche sul caso, ma sono certo che chi è preposto a farlo stia già intervenendo. Credo che si debba sempre ragionare ipotizzando il worst-case scenario, rafforzando la robustezza e la resilienza dei sistemi. Non si può evitare completamente l’errore, ma è necessario isolare e correggere tempestivamente eventuali falle”.
– C’è il rischio che le informazioni trapelate possano essere utilizzate da attori ostili per attaccare l’infrastruttura critica italiana?
“Questi rischi esistono sempre, indipendentemente da questo caso specifico. Non possiamo sapere quali informazioni possano aver acquisito gli attori ostili né quali vulnerabilità conoscano. Bisogna sempre prepararsi al peggiore scenario possibile, adottando misure preventive e garantendo la resilienza”.