Questo sito utilizza cookies tecnici (propri e di terze parti) come anche cookie di profilazione (di terze parti) sia per proprie necessità funzionali, sia per inviarti messaggi pubblicitari in linea con tue preferenze. Per saperne di più o per negare il consenso all'uso dei cookie di profilazione clicca qui. Scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie Ok, accetto

Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

 2013  aprile 05 Venerdì calendario
La storia raccontata da Giorgio Dell'Arti 

Gaia Berruto, Wired 5/4/2013, 5 aprile 2013

FRANCESCA BOSCO: IL CYBERCRIME SI AFFRONTA IN JEANS

«FINO A QUALCHE anno fa mi occupavo di tratta delle donne. Era semplice: sapevi contro chi ti battevi. È criminalità organizzata, con regole e modus operandi rigidi. Ma online? Alcuni sono delinquenti, altri attivisti. Si incontrano in chat, si coalizzano per uno scopo, magari per pochi mesi, poi si separano. Non ci sono nomi, non ci sono barriere geografiche: le operazioni coinvolgono decine di stati contemporaneamente». Siamo alla periferia sud di Torino, nel campus dell’Onu. Davanti a me c’è Francesca Bosco, 32 anni, che da sette lavora qui, all’unità crimini emergenti dell’Unicri, l’Istituto Interregionale delle Nazioni Unite per la Ricerca sul Crimine e la Giustizia. Il suo gruppo di lavoro, composto da sole donne provenienti da tutto il mondo, si occupa di cybercrime. Età media: 30 anni. Con le sue colleghe, Francesca incontra grandi aziende, partecipa a conferenze in ogni angolo del pianeta con ex hacker ed esperti di sicurezza informatica. E aiuta gli stati mèmbri a difendersi da attacchi ai propri sistemi. È la persona giusta a cui chiedere quanto rischia l’Italia: «Il paradosso è che il tasso di penetrazione di internet nel paese è molto basso. Eppure, in percentuale, siamo molto più vulnerabili di altri. E quest’anno peggiorerà, soprattutto in due settori: mobile banking e cloud».
Perché?
«La tecnologia è sviluppata altrove, in Italia arriva tardi e quasi di colpo. Ci tramortisce e inizia un consumo frenetico che ci impedisce di prendere le dovute precauzioni. Vogliamo che i nostri smartphone siano veloci, vogliamo evitare di mettere password ogni volta per usufruire subito dei servizi. E non ci rendiamo conto di quante informazioni personali affidiamo al prossimo e di quanto poco ci preoccupiamo di proteggerle». È un problema diffuso ovunque, in effetti. Lo riscontrarono anche Linkedin e Yahoo! l’anno scorso: nonostante avessero subito violazioni della sicurezza, il 49 per cento degli utenti continuò a usare le stesse credenziali su più siti contemporaneamente. «Invece le password andrebbero cambiate come gli spazzolini da denti. Manca una corretta igiene personale online. Quanti conoscono come funziona un iPhone?».
Pochi, ma d’altronde quanti conoscono come funziona un televisore?
«L’esempio è calzante. Si pensa che il telefono sia come qualsiasi altro strumento avuto in passato. Invece è diverso: al televisore non hai mai dato i tuoi dati personali. Quanti si pongono il problema che, decidendo di comprare attraverso un’app non sicura, la connessione esce dal perimetro protetto e i dati sono esposti a criminali?».
L’utente medio forse è ancora ingenuo, ma le aziende?
«Le piccole e medie imprese si stanno adeguando. Spesso mancano policy interne, ma hanno imparato ad affidarsi a esterni per correre ai ripari. Cosa che invece non dovrebbero fare le istituzioni. I ministeri più sensibili, per esempio, dovrebbero sforzarsi di sviluppare internamente tutto ciò di cui hanno bisogno. In Italia purtroppo non è ancora così».
Colpa di una classe politica che non si è mai occupata del problema?
«A gennaio Mario Monti ha annunciato un primo provvedimento e anche all’interno dell’Agenda Digitale c’è una parte dedicata alla sicurezza. Non ne sappiamo ancora molto, ma è un inizio».
Le nostre istituzioni dovrebbero dotarsi di strumenti per reggere a una possibile cyberwar mondiale?
«Francamente è l’ultimo problema che il nostro paese deve affrontare. La prima sfida è aumentare la consapevolezza dei singoli utenti. E far cambiare mentalità a chi opera nella prevenzione».
In che senso?
«Pensiamo a una grossa operazione internazionale di phishing: i soldi vengono spostati, per ripulirli, di attività online in attività online. Si va dal poker ai siti di annunci. Per seguire il flusso di denaro e incastrare la banda, tutti i soggetti coinvolti nelle indagini devono poter condividere le informazioni».
L’Italia non collabora?
«Polizia e Guardia di finanza, seppure con poche risorse a disposizione, svolgono un lavoro incredibile. Con i servizi segreti italiani è più complicato. Quando incontro agenti dell’Fbi, si presentano con il biglietto da visita. Nel nostro paese, invece, è tutto nell’ombra. Sembra sempre tutto losco. Nel 2012 la legge 133 ha riformato i sistemi di intelligence anche per migliorare la prevenzione delle minacce informatiche. Ma le nostre istituzioni ancora non hanno capito che apertura non significa vulnerabilità. Soprattutto quando si tratta di prevenzione del crimine».
A metà del 2012 Kaspersicy Lab ha lanciato l’allarme sull’Italia, definendola prima nella classifica dei 15 paesi occidentali più colpiti da attacchi maiware e spam. Siamo sotto attacco?
«Commentare ricerche di privati è sempre complicato. Non c’è una fonte davvero affidabile e sopra le parti. E i dati sono parziali. Per esempio, come si può quantificare lo spam? Molti non si accorgono di esserne vittime e quasi nessuno lo denuncia».
Ma è possibile sapere quali sono le minacce a cui siamo esposti?
«In Italia, per le aziende, il rischio più grande è il furto della proprietà intellettuale. Quindi cyberspionaggio industriale. I privati, invece, subiscono furti d’identità e di credenziali bancarie. Il motivo è presto detto: non sappiamo proteggerci. Se un sito ci chiede dati personali per la registrazione, noi li scriviamo. Ma tu daresti mai il tuo codice fiscale a uno sconosciuto che tè lo chiede per strada?».
In Italia si usano meno antivirus di altri paesi?
«No. A livello tecnico siamo tranquilli, l’anello debole è l’utente».
L’uso massiccio dei social network ha intensificato i furti di identità?
«Li ha resi forse più semplici. Ma non mi sento di demonizzare le piattaforme: sono una semplice prosecuzione della nostra vita online. Nel campo delle tratte di minori, per esempio, i social network hanno in parte facilitato l’adescamento. Ma tutto dipende da come imposti gli strumenti di privacy: ecco perché è importante educare gli utenti. Mettere la foto pubblica del tuo bambino su Facebook è come lasciarlo solo al parco. Nella vita reale lo faresti?».
Secondo il rapporto Clusit di marzo, il 67 per cento degli attacchi informatici avvenuti in Italia lo scorso anno era di matrice attivista. E il 33 per cento era criminale. Chi ci attacca?
«Esistono tre tipi di minacce: il cybercrime, l’hacktivism e il military hacking, che vede protagonisti direttamente gli Stati».
Partiamo dai cyber criminali.
«È semplice: gli hacker sono persone interessate a capire come funzionano i sistemi. Quando si rendono conto che, con le loro capacità, possono rubare soldi o dati sensibili diventano criminali. Si organizzano in cellule non strutturate, agiscono e poi si lasciano. Ci sono anche sistemi più complessi, dove un grosso gruppo transnazionale vende droga e prostituzione online e poi ricicla denaro tramite piattaforme di giochi o poker».
La nostra criminalità organizzata si è già mossa in questa direzione?
«No, non ne abbiamo notizia. Ma sta emergendo il fenomeno degli “hacking prèt-à-porter”: ragazzini che vendono maiware, affittano botnet a delinquenti “classici” che non hanno competenze informatiche».
Cosa dire invece degli attivisti? In Italia, durante il 2012, sono entrati in azione più volte, per attività dimostrative contro la Tav e l’Ilva, ma anche contro il blog di Beppe Grillo o il sito dell’Udinese Calcio.
«La risposta è complessa, perché l’interlocutore è per sua natura sfuggente. La Casa Bianca propose di considerare Anonymous un gruppo terroristico. In questo modo, grazie al Patrioct Act, avrebbero potuto fare indagini molto più approfondite. Ma non si può considerare il defacing (ossia il cambiamento della homepage di un sito, ndr) un atto di terrorismo. Crea disagi. Vale la pena studiare il fenomeno, per capire le loro motivazioni».
Non è una frase di rito. L’Unicri, da attore neutrale, cerca di collaborare con tutti i soggetti. E tra i suoi consulenti ci sono decine di esperti di sicurezza informatica che provengono dal mondo del Fhacking. «Molti pensano che qui si faccia ricerca pura. Non è così: facciamo anche assistenza tecnica agli stati membri e attività di educazione». Certo, l’ambiente che ci circonda non è proprio uguale al Palazzo di Vetro di New York. Il campus di Torino è immerso nel verde, le palazzine sono tra i campi da tennis e calcio, e i piani alti sono occupati da stanze date in affitto agli stranieri che vengono per frequentare lezioni organizzate dall’Unicri o dalla vicina Organizzazione Internazionale del Lavoro.
Quando entro nel padiglione tre mi sembra di essere tornata all’università: ci sono solo gruppi di ragazzi poco più che ventenni che passano per il corridoio. Nessuna cravatta, nessuna giacca. La receptionist è in jeans. Due particolari mi ricordano che sono pur sempre nella sede dell’Onu: la foto di Ban Ki-moon all’ingresso e il cartello “Counter-terrorism and security governance”. «Lì coordinano la sicurezza dei grandi eventi, come le Olimpiadi o il G20», mi spiega Francesca. Finita l’intervista, il fotografo le chiede di mettersi la giacca per le foto. «Stamattina quando sono entrata in ufficio così, senza anfibi, mi hanno chiesto se era successo qualcosa. La nostra ultima stagista, una ragazza russa di vent’anni, il primo giorno è arrivata vestita di tutto punto. Poi ha capito l’ambiente. E si è rimessa il piercing al sopracciglio». D’altronde per insegnare a uno stato come difendersi da un attacco cibernetico non serve di certo un tailleur.