Si torna a parlare di crimini informatici ma – a quasi dieci anni dall’approvazione della legge sui computer crime – non ci sono ancora dati oggettivi sull’estensione e gravità del fenomeno. Il che impedisce al legislatore di emanare (o di abrogare) leggi, alle forze dell’ordine di predisporre efficaci sistemi di contrasto, alle aziende di realizzare prodotti realmente basati sulle necessità del mercato. A differenza del passato – quando si doveva affidare alla (scarsa) "buona volontà" delle vittime aspettandone le denunce – oggi esiste un altro strumento per raccogliere dati: la creazione presso compagnie telefoniche e internet provider di sportelli di segnalazione di attività potenzialmente illecite.

Alla Cybercrime international conference svoltasi a Palermo dal 3 al 5 Ottobre 2002 hanno partecipato illustri esponenti italiani e stranieri provenienti dalle università, dalla magistratura e dalle forze di polizia che si "occupano" di criminalità informatica. Questo convegno ha riportato al centro dell’attenzione un tema unanimemente ritenuto di importanza strategica per la società dell’informazione: quello degli illeciti on line. Ma, al contrario di quanto probabilmente si aspettavano organizzatori e partecipanti, ha evidenziato la sostanziale arretratezza delle istituzioni nella conoscenza dei fenomeni criminali che ruotano attorno ai sistemi di telecomunicazioni. In parte per ragioni culturali, in parte – specie per quanto riguarda l’Italia – per la scarsa attitudine della ricerca universitaria (giuridica, in particolare) a svolgere quella che i sociologi chiamano osservazione partecipante, privilegiando piuttosto un’attività di mera collazione informativa.

Ma c’è un’altra ragione, e arriviamo al punto, che ha impedito di fissare dei punti fermi: la oggettiva mancanza di dati attendibili.
Certo, tanto per limitarsi all’Italia, ci sono i "numeri" sulle centinaia, migliaia di persone denunciate per reati che vanno dalla duplicazione abusiva di software, all’accesso abusivo a sistemi telematici, alla diffusione di virus, alla detenzione o diffusione di smart card illecitamente realizzate per l’accesso a servizi ad accesso condizionato o di materiale pornografico prodotto mediante lo sfruttamento dei minori (impropriamente definita "pedofilia online). E infatti questi sono i dati che sistematicamente vengono presentati in ogni occasione pubblica. Peccato che siano "numeri" statisticamente inattendibili e dunque praticamente inutili se non vengono correlati alle condanne (poche) e alle assoluzioni (molte) che si sono registrate con l’arrivo dei procedimenti alla fase dibattimentale, cioè al processo (e sarebbe anche lecito chiedersi il perchè di questa diffusione parziale di dati).

Se questo stato di fatto può andar bene per discutere nei convegni o per scrivere saggi universitari, non aiuta certo a determinare la reale ampiezza e gravità del fenomeno. Dato essenziale non solo per le forze di polizia ma anche per le aziende e i professionisti della security.
L’aspetto paradossale della vicenda è che i dati di cui sto parlando esistono e sono liberamente disponibili. Si tratta "semplicemente" di prenderli e organizzarli in un insieme coerente.
Basterebbe solo che le compagnie telefoniche e gli internet provider si dotassero di uno "sportello di segnalazione degli abusi" grazie al quale raccogliere le lamentele degli utenti che subiscono portscan, defacement, tentativi di accesso abusivo, aggressioni di virus. Ottenendo il duplice risultato di offrire un servizio al cliente e di costruirsi una invidiabile banca dati sulle tecniche più utilizzate per compiere azioni potenzialmente illecite. Allo stesso modo i fornitori di servizi di sicurezza gestita potrebbero raccogliere e analizzare tecnicamente e statisticamente gli attacchi che vengono sferrati contro i propri clienti.

A tacer d’altro, possedere queste informazioni aiuterebbe sicuramente le aziende a disegnare i prodotti in modo più aderente alle necessità del mercato, evitando così di sprecare tempo e risorse in iniziative che poi si riveleranno un flop.
Certo, rimane da chiedersi "perchè" queste aziende dovrebbero investire in queste ricerche e soprattutto perchè dovrebbero condividerne i risultati.
Alla prima domanda è semplice rispondere: nessuna azienda può permettersi di ignorare troppo a lungo la voce dei clienti e il livello di pericolo in rete è oggettivamente molto alto. Dare supporto agli utenti anche per questi aspetti li fidelizza, aumenta la credibilità del fornitore e attenua il rischio di essere coinvolti in azioni legali. Paradossalmente, quindi, l’effetto più utile – la conoscenza delle tipologie di azioni illecite – sarebbe quasi un effetto collaterale di una intelligente operazione di marketing.

La seconda domanda (perchè mettere in comune i risultati) richiede una risposta un po’ più articolata. L’informazione - e in particolare quella di cui si parla in questo articolo - è sicuramente fonte di vantaggio competitivo. Averla o non averla può "fare la differenza". E’ dunque ragionevole che un’azienda sia poco motivata a favorire la propria concorrenza.
E’anche vero, tuttavia, che non ci troviamo in una situazione "tutto o niente". In altri termini, l’analisi dei dati ottenibili con gli strumenti di cui sopra può essere condotta a vari gradi di ampiezza e livelli di profondità. Alcuni dei quali possono essere tranquillamente oggetto di pubblica diffusione.

Certo, passare dalla teoria alla pratica non è affare di un minuto ma, come si dice, anche una strada di mille chilometri comincia con un passo. E così, finalmente, si potrà sperare che nel prossimo convegno sui computer crime si smetta di parlare di trap door, superzap e logic bomb.