Il 2015 ci ha lasciato un’eredità pesante, di cui tutti faremmo volentieri a meno, ossia la paura del terrorismo. La nostra dimensione provinciale e periferica ci fa sentire il problema come meno incombente, ma chiunque per lavoro o per passione si trovi a viaggiare, e a frequentare le nostre grandi città, o le principali capitale europee, sa bene quanto la tensione sia forte, e quanto i conflitti internazionali ormai ci coinvolgano tutti. Con un particolare elemento distintivo rispetto al passato: Internet.
In che modo la rete viene utilizzata da chi ricorre all’arma del terrore e degli attentati per portare la guerra, o quantomeno destabilizzare ‘il cuore’ dell’Occidente? E, per contro, cosa il web consente di fare, in termini di controllo e cyber-security? E con quali conseguenze per tutti noi?
Alcuni anni fa un bel film non troppo conosciuto, The listening (in ascolto), raccontava la storia inverosimile (allora: oggi più che realistica) di una persona assolutamente comune coinvolta, suo malgrado, in una storia di spionaggio industriale e intercettazioni, con strumenti in grado di ascoltare, in qualsiasi momento, le conversazioni di ognuno di noi. Solo fantasie? Oggi davvero, tra cellulari, social, shopping on line e quant’altro tutti noi siamo ormai non solo geolocalizzabili, ma ‘analizzabili’ minuto per minuto in ogni nostro comportamento.
Temi ampi, sui quali proviamo a raccogliere l’opinione del prof. Maurizio Mensi, alessandrino che vive a Roma, docente di Diritto dell’informazione e della comunicazione presso la Luiss di Roma ed esperto di cyber sicurezza, che già più volte in passato ci ha fornito strumenti preziosi di analisi e comprensione del ‘nuovo mondo’ in cui tutti ci troviamo a vivere, e con cui dobbiamo confrontarci.
Professor Mensi, la cyber criminalità e il terrorismo pone anche una
nuova sfida di tipo tecnologico: la rete può essere strumento per difenderci, ma tutto ciò rischia anche di mettere pesantemente a rischio la nostra privacy. Qual è la situazione?
Il contrasto al cyber crime e la protezione delle infrastrutture critiche hanno reso evidente che la tutela delle informazioni e della privacy di ogni cittadino sono aspetti essenziali della nostra convivenza. La sicurezza è strettamente connessa allo sviluppo economico di un paese ma la criminalità in Rete, oltre ai recenti attacchi terroristici, non deve mettere in discussione la fiducia reciproca, uno dei cardini su cui si basa la nostra economia, sempre più digitale e quindi basata su transazioni on-line e sullo scambio di dati. Purtroppo ciascuno di noi oggi ha il sospetto che quando parla al telefono, scambia messaggi o digita il numero della carta di credito non è al riparo da sguardi indiscreti.
Quali sono i rischi reali che corriamo?
Gli scenari di rischio che riguardano la nostra dimensione digitale sono vari e vanno dal crimine informatico al cyberterrorismo, dal cyberspionaggio alla cyberwar.
L’aumento esponenziale dei dispositivi mobili, quali cellulari, tablet, smartphone, sui quali viene memorizzata una notevole quantità di informazioni personali, ha da tempo messo in evidenza l’esigenza di garantirne la protezione. Nell’era dei cloud, dei dispositivi che comunicano tra di loro (la cosiddetta Internet delle cose), un cyber terrorista. attaccando settori strategici come trasporti, acqua ed energia oggi altamente informatizzati, ha la possibilità di mettere in ginocchio un intero paese.
Verrebbe quasi da pensare: si stava meglio quando si stava peggio…
Non ha senso vagheggiare il ritorno ad un passato ormai remoto: la verità è che ognuno di noi si è ormai abituato alla semplificazione, alla velocità e all’interazione che Internet e il digitale hanno introdotto e nessuno è disposto e rinunciarvi.
Il punto è quello di gestire al meglio una rivoluzione in atto, di cui si faticano a cogliere tutte le implicazioni, in un contesto di regole diventate rapidamente inadeguate, in cui è necessario stabilire diritti e doveri sulla Rete, ove soggetti privati, come Google e Facebook, che in virtù dei dati raccolti attraverso la navigazione degli utenti, sono diventati più potenti di governi sovrani e istituzioni pubbliche. Oggi chi dispone dei nostri dati e usa le informazioni che rivelano ha il controllo della nostra vita, è in grado di condizionare il nostro comportamento, con il rischio di incidere in modo subdolo sulla formazione del consenso e sovvertire la stessa logica democratica, che è fondata sulla conoscenza e la libera autodeterminazione.
Ossia, concretamente cosa si sta facendo?
Occorre trovare un punto di equilibrio fra sicurezza e privacy, fra la necessità di fare quanto necessario per scongiurare i pericoli per la sicurezza nazionale, che talora comporta la raccolta dei dati personali e il controllo del contenuto delle nostre comunicazioni, e la tutela della privacy e dei diritti, vale a dire della nostra libertà. Questo è quello di cui si sta facendo carico il nostri legislatore e soprattutto l’Unione europea, seppur in ritardo e con grande difficoltà, con il “pacchetto” privacy che questa primavera vedrà la luce, con una serie di importanti regole, un regolamento e una direttiva, a protezione di cittadini e imprese.
Il 24 luglio 2014 persino la Banca Centrale Europea ha denunciato il furto di dati e indirizzi mail da un proprio database. D’altronde la minaccia cibernetica, per le sue caratteristiche, è difficilmente contrastabile e localizzabile: si presenta infatti come trasversale, asimmetrica, può essere risultato dell’azione di un singolo hacker o risultato della pianificazione di gruppi organizzati, non ha confini territoriali, può avere bersagli pubblici e privati, militari e civili. Di qui il tentativo da parte dei vari governi di proteggere la sicurezza nazionale con interventi che talora vanno al di là di quanto necessario.
Si riferisce alla Cina, che di recente è intervenuta con importanti misure
antiterrorismo?
Qualche giorno fa, il 1° gennaio, in Cina è entrata in vigore una legge anti-terrorismo, incentrata sul controllo dell’informazione sul web, che limita il diritto dei media di riferire su eventuali attacchi terroristici e che impone alle imprese high-tech che operano nel paese l’accesso ai propri sistemi. Già a luglio 2015 era stata approvata una norma che fa rientrare nella “sicurezza nazionale”, oltre a difesa, la cultura, la finanza, l’ambiente, rendendo controllabili in sostanza tutte le infrastrutture fisiche e informatiche.
Ma è interessante anche l’esempio del Regno Unito, dove lo scorso 4 novembre 2015 è stato presentato un disegno di legge che introduce nuovi poteri di sorveglianza elettronica in capo agli organi investigativi e ai servizi segreti. E’ previsto che l’attività sulla Rete di ogni cittadino britannico, la “mappatura” dei siti web visitati, sia conservata per un anno da parte dei gestori e sia messa a disposizione della polizia senza la necessità di alcun mandato.
Ove la legge venga approvata, i servizi di sicurezza britannici avranno la possibilità di raccogliere in massa grandi quantità di dati sulle comunicazioni personal e così hackerare legalmente computer e telefoni di sospettati, per questioni di “sicurezza nazionale” e non specificati “crimini gravi”. Ricordiamo che allo stato per la legge italiana la navigazione web non deve essere tracciata dal fornitore d’accesso. E la ragione è evidente: la memorizzazione di ciò che si visita e cerca in Rete rende possibile una “profilazione” accurata della personalità dell’utente, delle sue preferenze e dei suoi orientamenti, con il rischio di incidere pesantemente sulla sua libertà.
Il nostro paese è attrezzato per affrontare la minaccia terroristica?
In Italia l’architettura istituzionale preposta alla cyber sicurezza è ben delineata nel decreto del 24 gennaio 2013, e vede vari attori coinvolti nella sua governance, dalla Presidenza del Consiglio a vari ministeri.
Francia, Germania, Regno Unito e Belgio dispongono di proprie unità specifiche per la sicurezza, il crimine e la difesa digitali, a differenza dell’Italia, ove tali compiti sono affidati a diverse strutture operative che – occorre rilevare – hanno dato buona prova di sé.
Nel nostro paese le competenze in tema di sicurezza e difesa sono affidate alla Difesa, a cui è affidata la sicurezza nazionale contro gli atti di cyber war. Di crimine informatico si occupa invece la Polizia Postale e delle Comunicazioni, che nell’ambito del Ministero dell’interno garantisce la protezione delle infrastrutture critiche informatizzate di ministeri, agenzie, enti pubblici e società partecipate. Dal 2001 opera poi il nucleo speciale frodi telematiche della Guardia di Finanza (ex GAT) per il contrasto agli illeciti economico-finanziari commessi sulla rete. Il Servizio Investigazioni Scientifiche dell’Arma dei Carabinieri contribuisce invece al mantenimento della sicurezza informatica nazionale. Fra le imprese private sono molto avanzate Poste Italiane, con il Cyber Security Innovation Lab, e Finmeccanica SELEX, con il Centro di eccellenza di Chieti.
La Francia è intervenuta con misure molto incisive contro il terrorismo. Non pensa che il nostro paese dovrebbe seguirne l’esempio?
La Francia ha scelto una strada ben precisa: rafforzare i poteri delle forze e dei servizi di sicurezza. Dopo la strage di Charlie Hebdo, fra gli strumenti contro il proselitismo via Internet è stato previsto quello di ordinare direttamente, senza alcun controllo giurisdizionale, la chiusura entro 24 ore dei siti che fiancheggiano o inneggiano alla guerra santa. La Francia si avvia a controllare ogni tipo di comunicazione che avviene all’interno del suo territorio. Infatti il 24 novembre 2015 ha notificato al Consiglio d’Europa, stante lo Stato di emergenza, l’intenzione di derogare alla protezione di alcuni diritti dell’uomo garantiti dalla Corte europea. Ma tali misure, per quanto necessarie e stringenti, devono essere comunque proporzionate e limitate nel tempo.
Al riguardo l’Italia ha preferito mantenere una linea di maggiore garanzia ed equilibrio, che finora ha dato buoni risultati. La legge entrata in vigore il 20 aprile 2015 contiene une serie di misure urgenti contro il terrorismo di matrice internazionale, con previsioni su foreign fighters, esplosivi, propaganda via web, modifiche alle norme sulle misure di prevenzione, ai codici di procedura penale e della privacy. Nello specifico, la legge stabilisce che costituisce motivo di aggravio di pena se l’apologia e l’istigazione al terrorismo avviene attraverso strumenti telematici.
La Polizia vigila sui contenuti della Rete, ma la decisione di oscurare i siti che pubblicano contenuti illeciti spetta comunque all’autorità giudiziaria e gli internet service provider possono procedere alla chiusura delle pagine solo dopo la pronuncia del magistrato. Peraltro, in casi di emergenza, la legge numero 155 del 2005 consente ai direttori dei Servizi di sicurezza, su delega del presidente del consiglio, di intercettare, con il preventivo via libera del procuratore generale presso la corte d’Appello, le comunicazioni quando sono ritenute indispensabili per la prevenzione di attività terroristiche o di eversione dell’ordinamento costituzionale.
I terroristi usano i Social per le loro comunicazioni, ma allora occorre controllare tutta la rete Internet?
Non è tecnicamente possibile attivare un sistema di sorveglianza globale che vigili su tutto e tutti, né raccogliere con la tecnica della “pesca a strascico” tutti i dati disponibili sulla Rete. Occorre piuttosto cercare ciò che serve e analizzare con cura i dati raccolti. Grandi rischi si annidano in particolare nel deep web, ossia la rete nascosta, che le nostre forze di polizia cercano di controllare con attenzione. Di qui la necessità di investire in sicurezza, in risorse e azioni di formazione rivolte alle nostre forse dell’ordine che debbono essere dotate degli strumenti tecnologici più avanzati, con l’ausilio di tecnici e analisti. Anche in questo caso, la prevenzione è essenziale.
