L’Italia sta affrontando un numero di minacce informatiche crescente sia in quantità che in complessità, eppure sembra che non vi sia un’evoluzione altrettanto efficace in termini di cybersecurity. Cerchiamo di approfondire l’argomento.
Quella voce non è mia!
Aprile 2023, in una sala del direttivo di una grande impresa con sede a Roma il telefono del Direttore Generale inizia a squillare. È in corso una relazione sul bilancio e c’è una certa tensione a causa di problemi sull’allocazione di fondi; inizialmente il Direttore non si rende conto del cellulare che squilla ma, pochi istanti dopo, lo afferra e lo gira (era a faccia in giù). Il numero che lo stava chiamando era il suo, così come la fotografia che appariva sullo schermo. Squillo dopo squillo il tavolo dei partecipanti iniziò ad ammutolirsi perché il Direttore Generale, senza rendersene conto, aveva assunto una espressione a dir poco perplessa. Con una certa cautela fece scorrere il pollice sullo schermo e portò lo smartphone all’orecchio.
«Buongiorno Direttore, la informiamo che mentre è al telefono i file di tutta l’organizzazione sono in corso di eliminazione. Siamo in grado di fornirvi una copia ad un prezzo che…»
C’era qualcosa di peggio del messaggio in sè ed era la voce. La voce di quella telefonata non era di uno sconosciuto ma era proprio la sua, quella dello stesso Direttore che non solo si era chiamato da solo, ma si stava auto-parlando accusandosi di aver esfiltrato e cifrato i file. Qualche ora dopo, quando gli venne chiesto se avesse voluto aggiungere qualcosa alla sua ricostruzione, si limitò a dire:
«Quella voce non è mia.»
Quello che avete letto non è un film, non è un’invenzione ed è accaduto davvero. A distanza di anni, il fenomeno si ripete con maggiore efficacia e finisce sui titoli di un quotidiano nazionale, il Corriere della Sera.
La telefonata sembrava proprio provenire dal ministero della Difesa. E devono essere risultate molto credibili. In un caso almeno la voce, forse riprodotta da un software, pareva quella del ministro Guido Crosetto. E invece era una truffa.
Il fattore umano
Sia il “caso Crosetto” (se vogliamo chiamarlo così), sia quello riportato sopra sono molto simili: al centro della questione c’è la risposta umana ad un incidente informatico. Il fattore umano, troppo spesso dimenticato, si presenta come l’unico in grado di fare una reale differenza in situazioni limite ed emergenziali. Ma allora perché viene sottostimato?
Il fattore umano richiede innanzitutto risorse economiche: gli esseri umani devono essere formati per poter far fronte agli incidenti informatici. Ai più esperti non sarà sfuggito che nella Direttiva europea NIS 2 è prevista una misura dedicata a questo scopo, che recita come segue:
Pratiche di igiene di base e di formazione in materia di sicurezza informatica. (D.Lgs. 138/2024, art.24, c.2, punto g))
Continuiamo a scrivere in ogni normativa che la formazione è importante ma spesso, oltre che assente, è anche molto carente di qualità. Il fattore umano è quell’elemento che riduce la possibilità di totale impreparazione davanti al problema, che ci rende cauti, reattivi e disciplinati nella gestione dell’emergenza.
Il 13 febbraio 2025, la Sapienza di Roma ha organizzato un PCTO (percorso per le competenze trasversali e per l’orientamento) denominato “Consapevoli e cybersicuri. Un percorso per muoversi con consapevolezza in rete”. In quell’occasione mi è stato possibile chiarire alcuni aspetti che è bene non dimenticare.
Da “meccanici” a “strateghi”
È meglio essere chiari: il tempo del sistemista “meccanico” che si occupava di assemblare, configurare e controllare i sistemi è finito. Ai sistemisti oggi viene chiesto qualcosa di più: viene chiesto di approntare una strategia di funzionamento del sistema che non risponda al quesito il sistema funziona? ma piuttosto il sistema funziona in sicurezza?
Oggi i sistemi sono funzionanti fin da quando sono estratti dall’imballaggio: sistemi operativi pre-installati, driver principali esistenti, configurazioni di default caricate. Certamente è necessario fare le attività di rifinitura ma diciamo la verità, rispetto al passato oggi è più facile e veloce configurare un sistema ex novo.
Ciò che invece risulta più difficile è farlo lavorare in sicurezza: assicurare tutti i parametri necessari affinché gli incidenti abbiano un impatto ridotto e le risposte siano tempestive. Bisogna capirlo una volta per tutte:
- la sicurezza informatica richiede disciplina perché è necessario mantenerla nel tempo, anche quando farlo è fastidioso e frustrante;
- la sicurezza informatica richiede collaborazione multidisciplinare perché senza un’interazione con i giuristi, con i manager, con i consulenti, non si farà molta strada e la visione individualista non paga;
- la sicurezza informatica richiede trasparenza e si prova un certo peso a scrivere questa frase perché tutti sanno che il termine trasparenza è stato abusato negli anni. Ma la verità è che oggi molti data breach passano attraverso un silenzio assordante da parte delle aziende e anche di molti DPO compiacenti che non fanno bene il loro lavoro.
Non c’è norma che tenga
Se non si riesce a cambiare questi atteggiamenti, la sicurezza informatica non potrà mai prevalere, non potrà mai “vincere” in efficienza su un incidente, certamente ci sono casi virtuosi ma sono pochi. In un bellissimo articolo scritto da Andrea Lisi su LinkedIn si legge:
Tra normative nazionali ed europee che sembrano intrecciarsi in una matassa inestricabile e tecnologie digitali che ci sorprendono ogni giorno sembra impossibile garantire oggi un percorso lineare per essere digitalmente compliant…Eppure è sufficiente procedere senza abbuffarsi troppo, usando il cervello e gestendo l’innovazione attraverso Team interdisciplinari, con pazienza e lungimiranza.
Abbiamo un profluvio di norme che rischiano di sovrapporsi, che si spintonano, che cambiano parametri, scadenze, obiettivi, con il rischio di creare più rumore che altro. Saltiamo dalla Circolare 2/2017 di AgID, al GDPR, passando dalla Legge 90/2024, senza dimenticare la Direttiva NIS2 ma senza far venir meno il Regolamento DORA, obbligando la costruzione di matrici di tracciabilità che permettano una lettura armonica di ogni aspetto di tutte queste normative.
Ma l’informatica non doveva semplificare?
La giurisprudenza insegue: questo è uno dei mantra che Andrea Lisi ripete spesso ed è vero; la norma insegue, soprattutto quando è specifica. Quando, invece, affronta i principi generali è più agile e ben funzionante ma richiede l’uso del cervello e non solo… La norma funziona se viene applicata, se viene rispettata, altrimenti è solo un dettame sterile che qualcuno si è preso la briga di scrivere. La norma, generalmente, ha un senso e quel senso va riscoperto in un’ottica di apprezzamento dell’etica e della trasparenza. L’alternativa è continuare a normare ma a quale scopo? Creare altra burocrazia? Bloccare ulteriormente i processi organizzativi? Aumentare a dismisura la confusione? Normare è un’arte: non solo nello scrivere ma nel capire cosa lasciare e cosa abrogare. Il CAD ne è un esempio: da testo inizialmente leggibile e comprensibile a tutti, è divenuto nel tempo una complessa lista di rimandi, cambiamenti, articolazioni, che lo hanno reso ostile, complicato, inservibile e sostanzialmente inutile.
Tra algoritmi e igiene informatica
Dovrebbe preoccupare che la NIS2 abbia, al suo interno, un obbligo alle “pratiche di igiene di base e di formazione in materia di sicurezza informatica” perché è come se nella vita quotidiana ci fosse un decreto legislativo che ci obbligasse a respirare per vivere. Dover scrivere un obbligo del genere nel 2025, mentre gli hacker utilizzano algoritmi d’intelligenza artificiale per creare attacchi multi-stage in contesti ibridi, è un po’ come dichiarare una banalità. Negli anni abbiamo visto colossi cadere sotto attacchi di una certa complessità (la Colonial Pipeline o il data breach subìto da Sony), non è quindi un problema solo nostrano ma certamente quello che ci riguarda ci appare anche più critico.
Nel silenzio più profondo
In questi anni, a seguito dei data breach, sono stato raggiunto dai dipendenti di molte realtà pubbliche e private con messaggi come quelli che seguono.
«…il DPO non ha mai risposto alle nostre mail di chiarimento, siamo preoccupati e non sappiamo a chi rivolgerci...»
Oppure:
«…l’azienda si è rifiutata di raccontarci cosa è successo e ha detto al DPO di non fornire nessuna indicazione in merito all’accaduto…»
E ancora:
«…personalmente sono stata intimidita dal mio direttore quando gli ho detto che avrei voluto chiedere maggiori informazioni al DPO…»
E infine:
«…il direttore dei sistemi informativi, il Sig. XXXXX, mi ha palesemente fornito dati falsi purchè smettessi di fare domande sull’infrastruttura oggetto di analisi e, quando gli ho fatto notare che la situazione da lui raccontata era tecnicamente impossibile, ha smesso di rispondere alle mie telefonate e alle mie mail…»
I lettori ricorderanno il caso del data breach della ASL 1 aquilana a cui è seguita una class action come raccontato da Wired in questo articolo.
Per adesso le istanze in capo ai due avvocati, che lavorano in tandem, non sono richieste di risarcimento o class action, come precisa Colantoni a Wired: “Abbiamo avviato delle istanze alla Asl 1 per avere informazioni, perché non ce ne sono, Siamo in una fase preliminare per esercitare i diritti a tutela della privacy, capire come sono stati sottratti questi dati, quali misure a protezione erano presenti, qual è la catena di responsabilità. Solo al termine potremo valutare un eventuale contenzioso
Nel 2023 un data breach ad un soggetto pubblico molto famoso ha lasciato i dipendenti senza nessuna informativa per giorni. Alcuni di loro, in preda all’apprensione, hanno addirittura chiuso i conti correnti e interrotto le comunicazioni con alcuni fornitori. La risposta di molte organizzazioni ai data breach si può riassumere con “stare fermi e muovere meno polvere possibile” senza rendersi conto che la polvere viene mossa spesso dallo stesso silenzio. Gli hacker pubblicano i dati su internet e questo permette di capire in che modo erano tenuti determinando le eventuali inadeguatezze. Poi seguono (spesso con ritardo), bizzarri e incompleti comunicati da parte delle organizzazioni che minimizzano il problema, talvolta dichiarando anche il falso su quanto accaduto come se questo servisse a restituire di loro un’immagine più dignitosa.
Cosa fare allora?
Pretendere che i propri dati siano trattati bene non è una facoltà: è un diritto. A quelle persone che, dopo un incidente informatico, trovano il coraggio di farsi avanti per far valere i propri diritti è importante chiarire che stanno facendo bene, non sono loro nel torto; semmai lo è l’organizzazione che si rifiuta di rispondere alle loro mail, o il DPO che, su mandato dell’azienda, omette dettagli e risposte. Il cambiamento è possibile solo se c’è rispetto della legge e trasparenza reale.
Certamente le autorità preposte alla vigilanza sono essenziali ma se queste, per prime, hanno un approccio da “buon padre di famiglia”, il rischio è che non si vada al di là di una pacca sulla spalla e di un piccolo ammonimento.
In molti casi, infine, è possibile determinare prolungate, continue e costanti violazioni da parte di dipendenti e fornitori negligenti e indifferenti a tali temi. La domanda è: perché non dovrebbero risponderne in prima persona? In ogni azienda sana, quando vi sono conclamati errori ripetuti, si provvede a risolvere il problema ma nella cybersecurity questo risulta molto difficile. Personalmente mi è capitato di conoscere direttori di sistemi informativi che, dopo continue violazioni alla normativa sul trattamento dei dati personali e relativi incidenti, non solo non sono stati rimossi dall’incarico ma hanno ottenuto persino un aumento. Una distorsione che, come unico esito, ha provocato quello di silenziare chi, invece, avrebbe desiderato una maggiore qualità e trasparenza dei servizi.
Cosa fare? Pretendere qualità anche se questa richiede un maggiore sforzo e un maggior impegno di risorse economiche e umane. Solo così sarà possibile garantire un reale e apprezzabile cambiamento nello scenario della cybersecurity.
