Ancora una volta, come accade quasi ogni giorno da alcuni mesi a questa parte, l'internet è in prima pagina su tutti i giornali. Ma in questo caso non si tratta di notizie su concentrazioni societarie di dimensioni galattiche o di titoli che esplodono nelle borse. Prima c'è la notizia degli attacchi che hanno messo fuori uso per qualche ora alcuni importanti siti americani, poi  è la volta dei numeri di carte di credito rubati in un server, misfatto che si ripete con allarmante frequenza. Scatta l'allarme per la pirateria telematica e per i rischi della società dell'informazione, una società che ha il suo sistema nervoso nelle reti di telecomunicazioni e i suoi gangli vitali nei grandi nodi dell'internet.

Le notizie vanno lette con attenzione (ma forse darebbe meglio darle con maggiore chiarezza), perché a molti è sfuggito un dato importante: la gravità dell'attacco che ha portato all'interruzione del servizio da parte di alcuni grandi siti è nelle dimensioni, non nella sostanza. Di fatto nessun sistema è stato messo a terra, non sono state rubate o distrutte informazioni, c'è stato solo un colossale ingorgo, che ha bloccato per qualche ora alcuni grandi sistemi telematici.  Per di più, il denial of service non si è verificato contemporaneamente sui diversi sistemi, che sono stati attaccati uno alla volta in momenti diversi. Non si è verificata una catastrofe, ma solo un "contrattempo", che ha provocato danni economici e ha diffuso il panico.

Un discorso diverso va fatto per il furto dei dati delle carte di credito. Qui il danno è più grave, sia nell'immediato, sia a più lungo termine. Infatti quei dati possono essere usati per acquisti illeciti, con la conseguenza di un contenzioso con i legittimi titolari e perdite da parte delle compagnie, perché è impensabile che i primi possano vedersi addebitate definitivamente somme che non hanno speso. Sarà necessario sostituire tutte le carte "bruciate", con costi non indifferenti e probabili disservizi, e potrà diminuire la fiducia nel sistema da parte dei consumatori.

I pirati informatici mettono a repentaglio l'intera attività economica e finanziaria delle nazioni evolute, ha detto Clinton, e ha convocato un consiglio di guerra alla Casa Bianca. Alla riunione, che si è svolta martedì scorso, ha preso parte anche il celebre "Mudge", realizzando il sogno di ogni hacker: fare il consulente per la sicurezza del Presidente degli Stati Uniti!
Insediato l'immancabile comitato e stanziati miliardi (di dollari) per la protezione dei siti, il Presidente si è subito fatto "piratare" l'intervista in chat con la CNN: "Personalmente preferirei che ci fossero più siti porno"...

A questo punto un osservatore poco attento potrebbe sorridere, ma la questione è seria. Non si dica però, come ha fatto qualcuno, che tutto questo era imprevedibile solo due o tre anni fa. Gli esperti erano in allarme da tempo, dalla fine degli anni '80, quando si incominciava a percepire il ruolo che i sistemi di telecomunicazioni stavano assumendo nell'economia mondiale.
Gli avvertimenti non sono mancati. Fra gli altri, risale a cinque anni fa, cioè agli albori del Web, il primo convegno del Forum multimediale "La società dell'informazione" che si intitolava Comportamenti e norme nella società vulnerabile. Nella presentazione di quella che è stata la prima discussione giuridica sul Web italiano si leggeva: "La vulnerabilità dei sistemi informativi interconnessi comporta gravi rischi per il 'sistema' nel suo insieme, sia per quanto riguarda le organizzazioni, sia dal punto di vista dei singoli utenti."
Ora tocchiamo con mano l'esattezza di quelle previsioni e dobbiamo chiederci fino a che punto arriva la debolezza del sistema delle telecomunicazioni e dell'informazione e quali possano essere i rimedi.

La domanda  di fondo è questa: la vulnerabilità dei sistemi informativi interconnessi è così alta da far temere che  il sistema globale delle telecomunicazioni possa subire un collasso catastrofico e di lunga durata, in seguito un attacco su vasta scala da parte di abili "pirati", o per una non impossibile catena di gravi malfunzionamenti?
La risposta non è facile. E' vero che l'interconnessione generale dei sistemi di telecomunicazioni costituisce un fattore di rischio, per il possibile innesco di reazioni a catena. Ma è vero anche che la stessa interconnessione è basata sulla tecnologia "ridondante" dell'internet, nata proprio per sopravvivere a una guerra nucleare, secondo il progetto originario del Dipartimento della difesa americano. Dunque l'interconnessione dei sistemi costituisce nello stesso tempo il punto critico e il punto di forza della Rete.
Allora la risposta sul livello di vulnerabilità del sistema non può essere trovata su questa base ed è necessario affronta il problema da un altro punto di vista.

Partiamo da una considerazione elementare: la conoscenza approfondita delle tecnologie e delle tecniche specifiche di attacco ai sistemi informatici non dovrebbe essere patrimonio esclusivo degli hacker (usiamo la parola in senso del tutto generico, senza scendere nei dettagli delle diverse forme di illegalità tecnologica). Non c'è informazione alla portata di un hacker che non possa essere conosciuta anche da un system administrator o da un responsabile della sicurezza. Nella maggior parte dei casi si tratta di falle nei sistemi operativi o nei programmi applicativi, delle quali approfitta l'intrusore beffando i custodi. Ma questi ultimi dovrebbero essere aggiornati quanto gli attaccanti e chiudere i varchi prima che qualche malintenzionato li attraversi.
Le cronache dicono che il programma usato dai pirati del denial of service era stato pubblicato da tempo sul Web: è incredibile che gli esperti di sicurezza non se ne siano accorti e non abbiano predisposto opportune contromisure, come è incredibile che nessuno si sia accorto dei trojan horse infiltrati nei tanti, troppi sistemi usati per sferrare l'attacco.
Si è saputo poi che il sistema bancario era stato avvertito per tempo, ma aveva tenuto nascosta la notizia: per motivi di sicurezza, evidentemente!

In questi giorni si pone l'accento sulle misure di repressione della criminalità telematica, oltre che sul potenziamento delle capacità investigative e del coordinamento internazionale degli organismi specializzati. Cioè si pensa agli attaccanti più che ai difensori, dimenticando che ogni violazione riuscita di un sistema informatico è anche il risultato di una protezione insufficiente. E' vero che la sicurezza assoluta non esiste, ma probabilmente oggi il livello delle difese è inferiore a quello che potrebbe aversi se ci fosse una maggiore attenzione da parte dei responsabili dei sistemi.

Lo dimostra, al di là di ogni ragionevole dubbio, il ripetersi di furti di elenchi di dati relativi alle carte di credito. Possibile che queste informazioni non siano cifrate, dal momento che nessuno può essere sicuro della completa inviolabilità dei sistemi nei quali sono custodite? I sistemi attuali di crittografia, se usati con cognizione di causa, offrono una protezione altissima contro qualsiasi  tentativo di furto di informazioni. Il ladro di dati si trova di fronte a una serie di codici senza senso, la cui decrittazione richiederebbe un enorme dispendio di tempo e una smisurata potenza di calcolo. Eppure questa precauzione non viene adottata neanche quando la natura delle informazioni e il rischio oggettivo di intrusioni dovrebbero consigliare il massimo livello di sicurezza offerto dalle tecnologie.

Il problema, è stato detto tante volte, è che manca la "cultura della sicurezza". La protezione dei sistemi e dei dati viene vista come una formalità o una noiosa incombenza. Invece dovrebbe costituire una delle basi della progettazione e della gestione di qualsiasi sistema informativo. La pirateria telematica non potrà mai essere eliminata, né si potranno mai adottare misure di difesa efficaci al cento per cento. Ma da qui al furto continuo e ripetuto degli elenchi delle carte di credito, di distanza ne corre tanta. 

Allora non c'è che una strada da seguire: rendere obbligatoria per legge l'adozione di misure di sicurezza adeguate alla natura dei dati o dei servizi e alle probabilità di inconvenienti tecnici, o di eventi colposi o dolosi che costituiscano un pericolo per i servizi o per i dati in questione.
A questo punto qualcuno osserverà che in Italia, almeno per quanto riguarda la protezione dei dati personali, abbiamo norme di rango legislativo: quel DPR 28 luglio 1999, n. 318 "Regolamento recante norme per l'individuazione delle misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675", il cui mancato rispetto, tra poco più di un mese, potrebbe comportare pesanti conseguenze (vedi ISP: dal 29 marzo sanzioni penali se mancano le "misure minime").
Peccato che si tratti di misure così "minime" da non offrire alcuna seria protezione, scritte senza una cognizione degli aspetti tecnici, con definizioni cervellotiche e prescrizioni di volta in volta troppo dettagliate o troppo generiche. La loro puntuale adozione costerà un impegno non indifferente ai titolari dei trattamenti, ma la sola sicurezza che daranno sarà il riparo da sanzioni penali, senza alcuna reale protezione contro il verificarsi di eventi più o meno catastrofici.

C'è solo da sperare che l'impegno americano ed europeo seguito agli eventi dei giorni scorsi si traduca in regole che obblighino anche il nostro legislatore all'emanazione di norme tecnicamente attendibili e, per quanto possibile, efficaci.