Parlare di sicurezza informatica in un epoca come la nostra, in cui la presenza
del calcolatore si avvia ad essere sempre più pervasiva, vuol dire in effetti
parlare di molte cose diverse. Nonostante il computer sia oramai un oggetto
relativamente familiare e presente anche, sotto forma di "home"
computer, sulle scrivanie di molti bambini, esso desta ancora oscure paure e
foschi timori ogni qual volta si viene a dipendere da esso.
Così, si sente parlare spesso, alla televisione o sulla stampa non
specializzata, delle imprese degli "hacker", o degli errori "del
computer" che hanno causato chissà quali disastri.
Non stiamo parlando di cose particolarmente nuove: fu a partire dai primi
anni '70 che ci si cominciò a rendere conto che questi nuovi attrezzi da cui
una quantità sempre maggiore di intraprese umane (dal sistema di "command,
control and communication" dell'esercito, alle centrali elettriche e
telefoniche alla contabilità di innumerevoli imprese) erano meno affidabili di
quanto si pensasse.
Fu la famosa "software crisis": si capì che un programma non poteva
semplicemente essere scritto, controllato facendolo girare qualche volta finché
non sembrava funzionare, e messo in uso. Nacque una scienza, l'ingegneria del
software, che aveva per oggetto lo studio delle metodologie necessarie per
ottenere programmi di validità comprovata rigorosamente.
La presenza di calcolatori piccoli, economici e potenti su innumerevoli
scrivanie, nelle case come negli uffici, ha poi ingrandito non poco il problema:
non si può certo pretendere infatti che chiunque programmi uno di questi
calcolatori sia un esperto di ingegneria del software.
Ma il vero, grande problema che nasce dal successo del personal computer e
delle reti è un altro: nasce la criminalità informatica. Non che sabotaggi e
attentati alla sicurezza dei grandi sistemi di calcolo non fossero stati
possibili nell'epoca del gran- de centro di calcolo: questa era caratterizzata
da un approccio molto semplice alla difesa dalle intrusioni e dai sabotaggi dei
vandali informatici, e cioè quello basato su "porta blindata e guardia
armata davanti"; una soluzione semplice, relativamente economica,
affidabile e collaudata che in un colpo solo risolveva sia il problema della
sicurezza materiale, che quello dell'integrità dei dati e della
"privacy".
E' chiaro che in un epoca in cui il calcolatore sta nell'ufficio, in cui ai dati
cruciali si può accedere per mezzo di un modem da qualunque casa, in cui un
calcolatore collegato ad una rete come Internet pu essere "aperto" da
un "hacker" a diecimila chilometri di distanza, l'intera questione va
vista sotto occhi diversi.
C'è, nei media come tra gli esperti, uno strano atteggiamento, che ondeggia tra
gli entusiasmi facili per un futuro molto "cyber" e le paure più
ataviche. La realtà, a modesto giudizio di chi scrive, è più semplice: man
mano che l'integrazione di telecomunicazioni e calcolatori crea uno spazio in
cui accadono eventi sociali ed economici, ed in cui vengono accumulati dati
importanti di ogni genere, è naturale che la criminalità si sposti su questo
nuovo terreno. Si tratta quindi solo di una nuova tappa in una vicenda vecchia
quanto l'uomo. Un paradosso può aiutarci a capire questo punto: certamente la
maggior parte dei delitti avvengono per strada, oppure il criminale ha fatto uso
di una strada per raggiungere il luogo del delitto; si può quindi dedurre che
il sistema stradale la causa della maggior parte dei crimini che vengono
commessi? no, si può semplicemente dedurre che la polizia si deve fornire di
automobili per far fronte al crimine.
La realtà è che troppo spesso ci troviamo di fronte ad una inadeguatezza
culturale da parte di chi deve manterere la sicurezza dei sistemi di calcolo e
l'integrità dei dati riservati; ci troviamo anche di fronte ad una
inadeguatezza culturale da parte del pensiero giuridico tradizionale, che è
stato preso in contropiede dallo sviluppo di tecnologie che mettono in crisi
molti principi su cui questo si basa.
Per tornare al paradosso di prima, è come se un nuovo, grande sistema
stradale fosse in costruzione, e pochi, troppo pochi poliziotti avessero la
patente di guida - o addirittura sapessero che esistono le strade. Così il
discorso sulla sicurezza si svolge spesso su due piani in modo totalmente
schizofrenico. Da una parte chi vuole garantire tutto e tutti, e pensa che per
qualche strana ragione in quello che costoro chiamano "cyberspazio"
debba essere possibile tutto e qualsiasi legge debba essere assente, come se si
stesse effettivamente parlando di un mondo a parte e non di un insieme di
macchine e di strumenti di comunicazione che producono effetti - e quali
effetti! - sul mondo reale. Dall'altra ci sono gli "apocalittici",
coloro che nutrono un sacro terrore verso tutto questo, e pongono in essere
tutte le misure possibili per rendere difficile anche alle persone
"normali" e benintenzionate l'uso di queste nuove risorse.
Un esempio di questa situazione schizofrenica è un dibattito, che ferve in
questi mesi tra gli addetti ai lavori ed i frequentatori della maggior parte dei
piccoli e grandi BBS, relativo all'"identificazione certa" degli
utenti dei sistemi telematici. In breve si tratta di questo: c'è un
"partito" estremo che sostiene che chiunque ha il diritto di
collegarsi ad un sistema telematico, e di scrivere in aree pubbliche oltreche'
in privato tutto quello che vuole, senza che in effetti debba rendere conto,
identificandosi con il proprio nome "reale", di quanto va scrivendo,
in nome della "libertà del cyberspazio"; un altro
"partito", altrettanto estremo, sostiene che tutti coloro che si
collegano ad un sistema telematico devono essere identificabili "in modo
certo", ovvero il gestore del sistema telematico in questione deve avere -
perlomeno - una fotocopia autenticata di un documento di identità, deve
garantire l'integrità delle parole d'accesso al sistema e così via: cosa che
naturalmente i gestori dei piccoli sistemi telematici amatoriali non possono
fare.
L'applicazione delle medesime logiche al "mondo reale" porta a
risultati paradossali; seguendo il medesimo ragionamento, secondo i primi
dovrebbe essere consentito portare la macchina senza patente, secondo gli altri,
se invito qualcuno a prendere un tè nel salotto di casa mia dovrei prima
chiedergli la fotocopia autenticata dal notaio della carta di identità, per
essere "assolutamente certo" di chi sto facendo entrare, semmai me lo
chiedesse un giudice.
Non per caso nel mondo professionale ed accademico questo dibattito accende
molto poco i cuori, anzi viene visto con una punta di sospetto: l'azienda che
usa il modem per la comunicazione interna, in questo non diversa dall'università
che usa Internet per la ricerca scientifica, vuole poter scegliere le politiche
d'accesso e d'uso del mezzo telematico in modo autonomo, senza interferenze
legali che ne complichino, burocratizzandolo, l'uso, e d'altro canto vuole che
il proprio spazio telematico privato sia difeso da norme precise che ne tutelino
la privacy e che ne permettano la difesa da eventuali "attacchi"
esterni.
In altre parole, in questo dibattito viene clamorosamente mancato il dato
fondamentale: la necessità di creare, anche nell'ambiente telematico, la
suddivisione tra sfera pubblica - in cui è necessario garantire una ragionevole
possibilità di identificare chi sta dicendo cosa - e sfera privata - in cui lo
Stato non può mettere piede se non ha serie necessità per farlo, come nelle
case dei cittadini.
(23.06.95 - Per gentile concessione dell'Editoriale La Repubblica)
Alberto Berretti è ricercatore presso il dipartimento di Matematica della
seconda università di Roma Tor Vergata; Vittorio Zambardino è giornalista de
La Repubblica