Giovedì 5 giugno 2003. Al controllo della posta nel primo pomeriggio c'è una dozzina di messaggi. Tre hanno lo stesso mittente (microsoft.com), e odorano di spam o peggio. Non li scarico nemmeno, li cancello sul server. Tra quelli che passano ce n'è uno con un allegato che presenta la doppia estensione ".scr.pif". Non c'è dubbio, è un virus. Nessun problema, basta lasciarlo lì e verificare se c'è stata una deplorevole "distrazione" dell'antivirus o se si tratta di un codicillo nuovo. Un rapido controllo on line conferma che si tratta di un nuovo virus, che si chiama W32.Bugbear.B, che è piuttosto pericoloso e che tra qualche ora saranno rilasciate le contromisure.
Passo a occuparmi di altre cose.

A sera scarico le nuove "firme", elimino l'intruso e a ora di cena lancio una scansione completa del sistema, non si sa mai. Tutto a posto, a parte il fatto che a intorno a mezzanotte nelle mie caselle di posta il numero di messaggi con Bugbear.B ha superato la ventina.
Ma intanto è scoppiato il finimondo televisivo, che l'indomani sarà puntualmente ripreso dalla stampa. Con toni, in qualche caso, da catastrofe planetaria, le schermate di Outlook in primo piano e le immancabili interviste agli esperti di turno. Saltano all'occhio, come al solito, il pressapochismo dell'informazione e l'assenza di consigli pratici. Manca soprattutto l'informazione essenziale che questi virus si diffondono in poche ore su scala planetaria perché la stragrande maggioranza degli utenti si serve di Outlook come client di posta elettronica e della rubrica di Windows per archiviare i dati delle persone con cui è in contatto.

Per dire pane al pane: se non ci fossero queste applicazioni, geneticamente vulnerabili, presenti e attive in quasi tutti i computer  venduti ogni giorno nel mondo, questo tipo di disastri sarebbe molto, molto più raro. Senza un client che lancia gli allegati (nella migliore delle ipotesi) per il solo fatto che l'utente cerca di sapere che cosa ha ricevuto, senza un elenco di indirizzi e-mail privo di protezioni efficaci, che moltiplica i messaggi distruttivi, il compito degli autori dei virus-worm sarebbe molto più difficile e la diffusione dei codici malefici più limitata.
Se poi gli utenti fossero informati, in maniera molto chiara, di come comportarsi al cospetto di un allegato con certe estensioni, se gli antivirus e i relativi aggiornamenti fossero obbligatori, allora tutto sarebbe più facile. Avvisi del tipo "Il fumo provoca il cancro" dovrebbero essere obbligatoriamente stampigliati su tutti i monitor e dovrebbero apparire automaticamente ogni volta che si scarica un allegato che non sia un ".txt" o simile.

Ma l'ultimo allarme ha messo in luce un problema molto serio: è stato scritto che Bugbear.B contiene un grande elenco di banche americane (non è vero) e che ha messo a rischio decine di istituti bancari italiani (e questo è possibile).
C'è qualcosa che non va. Una banca, un ente pubblico, una qualsiasi organizzazione che tratta informazioni la cui diffusione può comportare effetti devastanti, non possono essere vulnerabili per minacce così "banali", come un virus-worm che funziona sostanzialmente come decine di altri che lo hanno preceduto.
E' vero che la sicurezza totale è irraggiungibile, è vero che ci sono minacce sofisticate e imprevedibili che possono prendere in contropiede il più attento amministratore di sistema o sorprendere il più capace degli esperti di sicurezza. Ma una banca, un ente pubblico, un grande centro di telecomunicazioni (è accaduto anche questo!) non possono capitolare in pochi secondi di fronte a un tipo di attacco più che prevedibile.

L'aspetto più preoccupante dell'ultima "epidemia" è dato dalla capacità del codice di costruire messaggi attendibili, coerenti con l'attività del proprietario del sistema colpito. Dunque non solo c'è una minore riconoscibilità della natura del messaggio, ma anche una maggiore probabilità che vengano diffusi segreti aziendali o dati personali riservati (si pensi alle informazioni normalmente presenti nei sistemi bancari o nelle basi di dati delle aziende sanitarie).
Ora non si tratta più di valutare i danni che possono derivare dalle temporanee sospensioni dell'attività dei sistemi, necessarie per eliminare i codici dannosi e ripristinare dati e applicazioni: il problema è costituito dagli effetti irreparabili che possono venire dalla diffusione di informazioni che devono restare riservate.

E' necessario prevenire, per quanto è tecnicamente e giuridicamente possibile, questo tipo di danni. Non bastano disposizioni generiche come quelle contenute nel DPR 318/99 sulle misure minime di sicurezza, che si limitano a imporre l'uso di un antivirus (da aggiornare ogni sei mesi!) per gli elaboratori connessi in rete. Si deve prevedere una specifica responsabilità penale per gli amministratori di sistema, o per i responsabili della sicurezza, che non controllano con la necessaria diligenza i più fattori di rischio più comuni, come la presenza di programmi notoriamente vulnerabili o l'inadeguatezza delle misure antivirus e anti-intrusione in relazione alla complessità del sistema o alla delicatezza dei dati che vi sono custoditi.

Fra l'altro tutto questo dovrebbe riguardare anche i garanti per la protezione dei dati personali, che non sembrano particolarmente attivi sul fronte delle minacce concrete, connesse all'impiego generalizzato di sistemi informatici che sembrano fatti apposta per mettere a rischio la riservatezza dei dati del loro proprietario e di tutti quelli con i quali ha contatti telematici.

Sono passati otto anni da quando un piccolo gruppo di esperti appassionati, che ha dato vita a questa rivista con il Forum multimediale "La società dell'informazione", ha lanciato l'allarme sulla vulnerabilità dei sistemi che fanno funzionare la società moderna e ne costituiscono il sistema nervoso. Quel convegno, accompagnato da una discussione telematica (la prima in materia di diritto delle tecnologie sul web italiano), si intitolava Comportamenti e norme nella società vulnerabile.

A rileggere adesso alcuni di quegli interventi sembra che otto anni siano passati invano.