D’ora in avanti, se l’Italia dovesse essere colpita da un attacco cyber (e con la guerra in corso in Ucraina, gli hacker russi sono particolarmente attivi), la nostra intelligence può sferrare il contrattacco, come prevede l’articolo 37 del decreto “Aiuti” (Dl 115/2022). Qualcuno ha giornalisticamente definito questa possibilità una “licenza a cyber-uccidere”, in realtà, come spiega Alessandro Curioni, fondatore di DI.GI Academy, specializzato in Information Security & Cybersecurity-Data Protection e collaboratore del Sussidiario, il decreto “Aiuti” ha aggiunto “un tanto interessante, quanto complicato tassello alla strategia di difesa cibernetica del nostro paese”.

Che cosa significa non solo difendersi ma anche cyber-contrattaccare? Ci espone a rischi maggiori?

Significa prendere atto che la possibilità di una guerra cyber non è fantascienza, ma realtà. In definitiva, è ormai evidente che colpire un sistema informatico può produrre effetti concreti, ivi compresa la morte di persone. Di conseguenza, se a perpetrarlo è uno Stato e l’obiettivo è un altro Stato, si presentano le condizioni per un conflitto aperto. I rischi inevitabilmente sono quelli di uno scontro armato, che potrebbe non restare confinato allo spazio cibernetico.

Abbiamo le “forze” per farlo?

In Italia siamo indietro, e soltanto negli ultimi anni stiamo cercando di costruire una capacità difensiva anche in ambito cyber. Paradossalmente, proprio per la natura fortemente asimmetrica di un conflitto cyber, potremmo reagire con discrete possibilità di fare molto male al nemico. In un ambiente come Internet è impraticabile per il difensore presidiare tutti i punti di accesso. In questo campo completamente aperto l’attaccante ha la possibilità di scegliere su un fronte infinito in quale luogo e momento colpire. Il suo arsenale non soffrirà del problema di esaurimento scorte. Le problematiche logistiche per sostenere l’attacco non esisteranno. Le sue truppe potranno essere disperse in migliaia di luoghi fisici e virtuali diversi (un singolo militare potrebbe svolgere il suo compito da un paese neutrale, accedendo dalla rete pubblica di un albergo). Con queste premesse anche noi possiamo essere “pericolosi”.

Che vantaggi ne trarremmo?

L’unico vantaggio che intravvedo non è tanto nel contrattaccare, ma nella deterrenza implicita nella dichiarazione stessa.

Si parla di maggiori risorse rispetto al passato in Italia per la difesa nel settore cyber: è proprio così? Ed è solo una questione di risorse?

Per quanto ci siano delle risorse stanziate, scontiamo un decennale ritardo, quindi, la strada è tutta in salita.

L’Italia ha abbastanza competenze per rispondere alla Russia, che nel campo è considerata uno dei paesi più sviluppati del mondo?

Le competenze sono un’altra nota dolente. In Italia abbiamo ottimi professionisti, ma purtroppo sono molto pochi. Mettiamola in questi termini: bastano per attaccare, ma non per difendersi.

Infatti, qui non si parla solo di Agenzia nazionale preposta a dare indicazioni generali, ma della capacità dei soggetti pubblici e privati di adeguarsi. E del fatto che le aziende, soprattutto se piccole, debbano attrezzarsi in modo efficace. Da questo punto di vista, l’Italia, regno delle Pmi, potrebbe partire in svantaggio rispetto ad altri paesi europei nella sua capacità di difesa?

Senza dubbio la dimensione ridotta delle nostre aziende rende molto difficile una crescita uniforme dei livelli di sicurezza. Il tema più generale è quello che spesso e volentieri gli attacchi state sponsored puntano a colpire organizzazioni private. Come sostengo da tempo, in caso di guerra cyber chi attacca saranno militari, ma chi si difende saranno dei civili, perché gli obiettivi, tipicamente le infrastrutture critiche, sono gestiti prevalentemente da privati.

Lei si occupa da tempo di sensibilizzare la scuola rispetto all’importanza della sicurezza informatica. Pensa che si stiano facendo sufficienti passi avanti?

Mi duole dire che tutto quanto viene fatto per la scuola oggi è essenzialmente frutto di iniziative isolate da parte di qualche istituzione, penso alla polizia delle comunicazioni e ai carabinieri, e di soggetti privati. Quello che manca è un progetto di lungo termine. Non dico che debba diventare una materia di studio obbligatorio, anche se sarebbe utile, ma almeno che si faccia un piano strutturato di sensibilizzazione prima per gli insegnanti e poi per gli studenti. Purtroppo si parla molto, anche troppo, senza però fare granché.

(Marco Tedesco)

