#ReaCT2020 – Tra cyber-terrorism e guerra dell’informazione: scarsa consapevolezza e limiti normativi (D. Basileo)
di Deborah Basileo, Osservatorio ReaCT
Scarica #ReaCT2020, il 1° rapporto sul radicalismo e il terrorismo in Europa
Key words: cyberterrorism; cyberattack; sicurezza delle reti informatiche; Regolamento GDPR; Direttiva NIS; Perimetro nazionale sicurezza cibernetica.
Se analizzassimo in maniera arida le notizie di cronaca o, in generale, i casi di data breach che riempiono le pagine dei nostri giornali, attribuiremmo la colpa a fantomatici hackers: nell’immaginario collettivo, giovani ragazzi bianchi, rigorosamente con felpa nera con cappuccio, fissati con il computer e che nutrono l’ardente bisogno di sovvertire il “sistema”.
Nulla di più falso.
I principali responsabili di attacchi informatici sono i cd. cybercriminali, gruppi di criminalità organizzata, spesso internazionali, che agiscono per mero profitto economico tramite attacchi mirati, o molto più spesso, generalizzati.
Seguono, i “gruppi di spionaggio”; gli “hackivisti”, che agiscono per finalità politiche o sociali, e coloro che (dietro lauta ricompensa) tentano di controllare o influenzare l’opinione pubblica per ottenere vantaggi in campo militare, politico o economico (“information warfare”).
Nella frenetica (e remunerativa) guerra per il dominio dell’informazione, si innesta un pericolosissimo “virus”, il cd. “cyberterrorismo”, definito dall’FBI come un “premeditato attacco contro i dati e l’informazione, i sistemi ed i programmi informatici, perpetrato, da gruppi subnazionali o clandestini, per ragioni politiche, e che si traduce in episodi di violenza contro obiettivi non-combattenti”.
Dalla tratteggiata definizione, la linea tra “attacchi informatici” per il controllo dell’informazione o per denaro e “attacco cyberterroristico” pare molto incerta, a tratti fumosa.
Il cyberterrorismo è un fenomeno erroneamente sottovalutato, che non possiede una specifica autonomia giuridica e che viene collocato vagamente tra cyber war e cyber crime. Non vi è una definizione giuridicamente valida e internazionalmente riconosciuta, né un’individuazione delle peculiarità che caratterizzano il fenomeno.
Eppure si pone come un rischio concretamente configurabile.
L’unico discrimen tra “attacco informatico” e “attacco cyberterroristico” pare essere il fine: da un lato, il denaro o il controllo dell’opinione pubblica; dall’altro lato, la violenza.
In ogni caso, il passo tra l’uno e l’altro è drammaticamente breve.
Come reagire dunque?
Sebbene non ci sia un risposta giuridica certa al fenomeno del cyberterrorismo, perlomeno emergono le prime risposte al rischio di attacchi informatici.
Le iniziative legislative sono state diverse a livello europeo tanto quanto a livello nazionale; tra le principali, la direttiva 2016/1148 (“Direttiva NIS”) e il Regolamento (Ue) 2016/679 (“Regolamento GDPR”).
La direttiva NIS, entrata in vigore Il 19 luglio 2016, ha affrontato, per la prima volta a livello europeo, il tema della cybersecurity, definendo le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi, tra cui la notifica degli incidenti di sicurezza informatica subiti.
Il Regolamento GDPR ha invece introdotto specifiche disposizioni circa la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
L’Italia ha recepito la direttiva NIS con il d.lgs. 65/2018, che ha individuato i soggetti competenti a dare una prima attuazione alla strategia di cyberdifesa europea; e, in un’ottica (stranamente) progressista, ha introdotto il D.L. 21 settembre 2019 n. 105, convertito con Legge n. 133/2019, che ha istituito un perimetro di sicurezza nazionale cibernetica ed ha previsto misure idonee a garantire standard di sicurezza necessari, per un verso, a minimizzare i rischi di attacchi informatici; per altro verso, a consentire la più estesa fruizione dei più avanzati strumenti offerti dalle tecnologie dell’informazione e della comunicazione (ad es. il 5G).
Le misure adottate costituiscono un ottimo punto di partenza, ma certamente non un punto d’arrivo
Rimane un aspetto drammaticamente sottovalutato: anche la più efficace strategia giuridica implementata avrà effetti limitati se non accompagnata da una crescita di consapevolezza, da parte della collettività, sui rischi informatici.
Due anni fa, nel maggio 2017, più di 200.000 computers in 150 paesi del mondo sono stati colpiti contemporaneamente da un virus ransomware chiamato “WannaCry”, il quale sfruttando una vulnerabilità del sistema Windows, era in grado di infettare i computers e criptare tutti i file presenti sull’hard drive. Solo pagando un riscatto (in bitcoin) era possibile ottenere la restituzione dei propri dati.
Il paradosso è che Windows aveva messo a disposizione degli utenti un aggiornamento software in grado di risolvere la vulnerabilità del sistema un mese prima della diffusione del virus; ma la maggior parte degli utenti, ignorando l’aggiornamento si è esposta ad una contaminazione su larga scala.
Ma v’è di più.
Due anni dopo, ancora oltre 1.700.000 di terminali risultano vulnerabili, di cui quasi 7.000 in Italia, e “Wannacry” continua a diffondersi occasionalmente.
Il caso “Wannacry” è solo uno degli esempi dai quali emerge in maniera lampante come venga sottostimato il problema della sicurezza dei propri dati e, per estensione, delle reti informatiche.
Non importa dunque quale strumento legislativo viene implementato; per far in modo che sia davvero efficace, occorre imparare a conoscere i sistemi operativi e i devices utilizzati e saperne sfruttare adeguatamente e consapevolmente le potenzialità, diffidando da informazioni (e pubblicità) tese a mostrare unicamente gli aspetti positivi del progresso tecnologico.