“Finanza, energia e trasporti. Se esistesse un terrorismo davvero pericoloso potrebbe infiltrarsi nei sistemi di sicurezza di queste infrastrutture critiche, bucarle e creare un disastro. Come sempre da noi si preferisce agire ex post. Magari dopo un grave incidente si deciderà di intervenire. Certo che se in pausa pranzo si lasciano i codici di accesso ai sistemi incollati al pc come dei post-it, è difficile migliorare. Senza il fattore umano non c’è tecnologia che ci metta al sicuro”. Per Fabio Ghioni, ex membro del Tiger Team di Telecom Italia e uno dei massimi esperti del settore della cyber security, il pericolo in Rete arriva dai sistemi che gestiscono l’energia, i trasporti e la finanza. Parlando con Ofcsreport ha spiegato che un “buco” informatico in questi ambiti genererebbe disastri.
Sono passati pochi giorni dalle nomine ai vertici dei servizi di sicurezza. Sembra che l’esecutivo voglia formare un’agenzia per la sicurezza informatica, cosa che ha creato non pochi malumori a Palazzo Chigi. Che ne pensa?
Se hanno queste intenzioni faccio loro i miei più sentiti auguri. Non hanno soldi per pagare i poliziotti, mi chiedo come faranno a formare un organismo che si occupi di cyber security.
Al vertice di questa agenzia è stata proposta la figura di Marco Carrai, molto vicino a Renzi fin dai primi anni dell’attività politica del presidente del Consiglio. Lo conosce?
Non ne ho mai sentito parlare, ma non è questo il punto.
Si spieghi.
Ai vertici di queste agenzie vengono sempre messe figure di tipo politico, ma anche in un’azienda che produce formaggio contano i formaggiai non il capo del caseificio. Non servono figure politiche, ma tecniche. E in Italia ne abbiamo in quantità e di qualità in ambienti lontani da quelli ministeriali.
Di quali ambienti parla?
Parliamo di individui appartenenti a frange estremiste della società. Anarco-insurrezionalisti vicini ai centri sociali, persone che non sono amanti dello Stato. Mi piacerebbe vedere questi nella pancia della bestia, ma non so quanto ne godrebbero le istituzioni ad avere al loro interno tali personalità.
Invece qual è il livello di competenza di chi è già membro dei servizi di sicurezza informatica pubblica?
Tutte le issues di sicurezza vengono svolte dalle reti alle quali si appoggia lo Stato: Telecom su tutte. Sono quindi quei servizi delle aziende a tutelare le sicurezza informatica delle istituzioni. Per quella che è la mia esperienza: gli ispettori della polizia postale, che avevano competenze tecniche di livello, appena potevano si spostavano dal settore pubblico a quello privato. In effetti non è che ci sia granché da tutelare all’interno dei Ministeri.
Ci sono rischi per i piani di sicurezza che in periodi come questi possono riguardare il terrorismo?
Le assicuro che i rischi non sono localizzati nelle istituzioni. Al massimo nei tribunali: qualche intercettazione può essere più delicata e quindi richiede una tutela maggiore perché riguarda delle indagini che non vanno rese pubbliche. Ma insisto nel ritenere che il rischio non viene da lì. Tra l’altro nei palazzi di giustizia lavorano talmente tante agenzie esterne che è impossibile metterci il lucchetto. Anche se si trovasse un modo sarebbe inutile.
A proposito di terrorismo, come giudica la controversia Apple-Fbi in merito al permesso negato dall’azienda di Cupertino per lo sblocco del telefono dei terroristi coinvolti nell’attentato?
Apple ha fatto una operazione di marketing pazzesca, cosa che nessuno spot avrebbe mai potuto. Sono stati dalla parte del cliente, anche se questo si è rivelato un pericoloso terrorista. Detto questo, vista la componente numerica dei terroristi, infinitesimale se si considera tutte le utenze telefoniche, non si può bucare un sistema di protezione della privacy per pochi individui. La polizia avrebbe dovuto trovare un modo diverso per aggirare il blocco.
L’Fbi alla fine sembra essere ricorsa a un’agenzia di sicurezza israeliana per sbloccare l’IPhone incriminato. Come vede questa scelta?
Sono messi male. Potevano venire qui a Milano, al Politecnico avrebbero trovato qualche ragazzo in grado di fare la stessa cosa. A questo punto chi può avere paura dell’Fbi se sono dovuti ricorrere a dei criminali per fare quello che dovevano essere in grado di fare da soli?
Restiamo nell’ambito del controterrorismo sul web. La lotta di Anonymous la convince?
Quando ho visto che il punto più alto della lotta all’Isis è stata la chiusura o l’oscuramento dei profili Twitter dello Stato islamico ci ho riso su. Dovrebbero essere in grado di essere operativi sui canali di deep web, interrompere i canali finanziamento bancario dei terroristi, bloccare i conti correnti e non gli account Youtube.
La privacy per come la conosciamo è morta. Come facciamo a difenderci dai pericoli che corrono sul web?
Educando l’individuo. Se Facebook lo vedono tutti non rivelo quando e per quanto tempo andrò in ferie, dicendo magari a chi lascerò le chiavi di casa.
Lei ha detto che internet, per come è diventato, ha fallito e che prima o poi andrà in crash. Come accadrà?
Originariamente quello che doveva essere era un sistema per interconnettere chiunque da ogni parte del mondo, per generare conoscenza, per progredire in modo più veloce, è diventato il sistema principe per l’economia. È un nuovo modo di fare mercato. E serve solo a quello. Quando un sistema raggiunge una tale massa critica, è destinato al crash. Lo farà da solo, senza interventi dall’esterno. È pura logica.