La sicurezza informatica

La diffusione di Internet e la digitalizzazione comportano il problema della gestione delle reti e della custodia delle banche dati (Kshetri 2010). La questione della sicurezza costituisce il presupposto per il successo della digitalizzazione, per quanto riguarda sia la produzione sia la rete di infra-  

29 _{Questi interrogativi sono già problemi concreti che si ripropongono ogni volta che}

perdiamo il controllo del funzionamento delle macchine. È stato il caso dell’incidente aereo occorso nel marzo del 2019, quando un Boeing delle linee aeree etiopi è precipitato, causan- do oltre 150 morti. Nell’occasione si è rilevato come i dispositivi di governo automatico del mezzo siano troppo complessi e come troppo rigide siano le procedure per consentire all’uo- mo di riprenderne il controllo, https://www.economist.com/business/2019/03/14/humans- struggle-to-cope-when-automation-fails.

strutture e servizi (Waidner 2018, pp. 275ss.). L’Unione Europea sta met- tendo a punto una serie di misure  provvedimenti legislativi, scelte di in- vestimenti nell’ambito della ricerca e dello sviluppo, definizione delle mo- dalità di intervento  volte a garantire la sicurezza informatica30_{. Gli ambiti}

di particolare rilevanza sono: a) la protezione dei dati personali; b) la sicu- rezza delle reti di interesse pubblico (elettriche, di comunicazione, di ge- stione della mobilità); c) la prevenzione e le risposte agli attacchi della cri- minalità informatica.

Riguardo ai dati personali, ogni ambito della nostra vita, compresi quelli c.d. sensibili  stato di salute, opinioni politiche, orientamento sessuale  possono essere utilizzati in maniera impropria (Rodotà 2014). La tutela del- la sfera privata che oggi chiamiamo privacy era già chiara a Simmel come problema legato alla qualità delle relazioni sociali di un soggetto. Nel suo saggio su Il Segreto e la società segreta, egli afferma che questa dimensio- ne esiste come «proprietà privata spirituale» del soggetto (1989, p. 302). Simmel chiarisce che

ciò che non viene rivelato non si può sapere [perché] […] intorno ad ogni uomo vi [è] una sfera ideale di grandezza variabile in direzioni diverse […] nella quale non si può penetrare senza distruggere il valore di personalità dell’individuo, (1989, p. 301).

Ciascuno di noi lascia quotidianamente dietro di sé una scia di tracce elettroniche (transazioni commerciali, scambi di informazioni). Nell’Excur-

sus sui rapporti epistolari (1989, pp. 326-328), quasi a mettere in guardia i

posteri, Simmel afferma: «la forma scritta […] comporta una “pubblicità” […] potenziale»  una questione di cui si è dibattuto a proposito del c.d. “diritto all’oblio”31_.

Per quanto concerne la sicurezza delle reti, spesso i sistemi di difesa so- no fragili e consentono abbastanza facilmente l’accesso dall’esterno. Gli utenti sono esposti inconsapevolmente perché fanno un uso incauto dei di- spositivi elettronici. Analoghe considerazioni possono essere spese in meri- to agli hardware e ai software incorporati, per i quali le analisi di sicurezza hanno rivelato numerosi aspetti di vulnerabilità.

L’analisi di flussi di dati a fini di controllo  soprattutto in funzione an- tiguerriglia e antiterrorismo  non è una novità. Le informazioni sono con- vogliate in sistemi che le elaborano e che mettono in relazione elementi ap- parentemente casuali. Lo scopo è di far emergere, da una massa non orga-  

30 _{Cfr. al riguardo le indicazioni del Parlamento Europeo, http://www.euro-}

parl.europa.eu/RegData/etudes/BRIE/2017/607361/IPOL_BRI(2017)607361_EN.pdf

31 _{http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/38-}

nizzata di dati, elementi utili ai servizi di sicurezza. In tal modo questi ulti- mi riescono a conoscere e a controllare le attività di individui e organizza- zioni potenzialmente pericolosi e le loro eventuali relazioni. Nel caso in cui il controllo avvenga da parte dei servizi di sicurezza degli Stati, si ricorderà che si è parlato a lungo della rete Echelon (Campbell 2003; O’Neill 2005; Radden Keefe 2006; Mainoldi 2007; Loader, Douglas 2010). Echelon è il sistema mondiale d’intercettazione delle comunicazioni private e pubbli- che. Echelon si basa sul TIA (Total Information Awareness), un “sistema di sistemi” in grado di raccogliere informazioni sia da fonti aperte, come In- ternet, sia da banche dati pubbliche e private. I dati raccolti sono esaminati per prevenire eventuali attentati e conoscere attività sospette, sventare po- tenziali minacce.

L’applicazione e lo sviluppo di sistemi di controllo dell’informazione hanno subito un particolare impulso dopo l’attentato alle Torri Gemelle nel 2001. Questi sistemi, finanziati con milioni di dollari, sono capaci di scan- dagliare dati personali sensibili. Da più parti e ripetutamente si è osservato che con la giustificazione della lotta al terrorismo si sia creata una sorta di “Grande Fratello” planetario che viola la privacy dei cittadini. Le obiezioni critiche sono sostanzialmente due. La prima è relativa alla utilità del con- trollo nella prevenzione di atti terroristici: quanto più aumenta la massa di informazioni, tanto più risulta difficile selezionarla e utilizzarla in maniera proficua. La seconda obiezione riguarda il rischio che questo “Grande Fra- tello” diventi a livello globale uno strumento di controllo dei movimenti di opinione internazionali (ad esempio quello no-global), o di spionaggio eco- nomico e strategico.

Lo sviluppo della digitalizzazione ha comportato l’affermazione di nuo- ve forme di criminalità legate all’ambito informatico. Il loro impatto è rile- vante e rappresentano una minaccia per la sicurezza collettiva. Si pensi ai danni provocati da attacchi di tipo cyber-terrorista se non di cyber-warfare alle infrastrutture di interesse pubblico: reti elettriche, di comunicazione, di gestione della mobilità. Benché si tratti di attacchi diversi  il primo orga- nizzato da gruppi terroristi, il secondo un vero e proprio atto di guerra tra Stati  il loro bersaglio sono le infrastrutture strategiche. Lo scopo è creare disagi alla popolazione e arrecare danno alle reti di comunicazioni, in parti- colare quelle militari. Al momento si tratta di due forme che non si manife- stano ancora in tutta la loro gravità (Giacomello 2014).

All’interno di questo tipo di crimini informatici, è opportuno distinguere tra atti offensivi che hanno nella rete il loro terreno prediletto e reati comu- ni che la rete potenzia o agevola (Wall 2007). Tra i primi vanno menzionate le violazioni negli accessi commesse dagli hacker allo scopo di neutra- lizzare i sistemi o di modificarne anche temporaneamente il funzionamento.

Altri tipi di crimini sono la propagazione di virus, ovvero l’invio di pro- grammi volti a penetrare nei sistemi e a danneggiarli; le violazioni negli ac- cessi per ottenere informazioni, sottrarre dati o cancellarli. I criminali in- formatici si insinuano nei sistemi informatici delle proprie vittime sfruttan- done la buona fede, la poca prontezza e l’ingenuità e carpendo così infor- mazioni. Un’altra strada per penetrare i sistemi informatici è sfruttare gli errori presenti nel software, i cosiddetti bachi, per raccogliere informazioni su dati sensibili ed eventualmente modificarli. Largamente praticato è lo spionaggio in rete volto a controllare scambi di informazioni e dati, anche di tipo militare.

I crimini informatici presentano delle caratteristiche specifiche, perché si manifestano in un ambito tecnologico del tutto nuovo per il quale sono ne- cessarie professionalità e conoscenze sofisticate, non alla portata di tutti. I crimini informatici sono dunque strutturalmente differenti da quelli tradizio- nali (Colombo, Barbagli, Savona 2011), perché richiedono conoscenze tecni- che specifiche, il che rappresenta un vantaggio nei confronti delle vittime.

Altri fattori che caratterizzano i crimini informatici sono la loro novità e il fatto che avvengono in uno spazio e su scala globale. La localizzazione dei crimini informatici è diversa da quella tradizionale. Dal punto di vista spaziale, vittima e criminale possono essere molto distanti. Questa circo- stanza facilita l’attività criminale e mette chi la esercita al riparo da tentati- vi di repressione e sanzione da parte delle autorità, ancora concepite e or- ganizzate su base statal-nazionale (Cuniberti et al. 2009).

Una categoria di crimini informatici particolare è il cyber-decep-

tion/theft, ossia il furto o la sottrazione indebita di materiali e informazioni.

Rientra in questa categoria la pirateria di quanto è attinente alla proprietà intellettuale: l’acquisizione illegale di materiali come i contenuti video, i

file musicali nonché gli stessi programmi, scambiati in rete senza il rispetto

del copyright. Questo fenomeno rappresenta per le aziende del settore una perdita all’anno di miliardi di dollari; per tale ragione esso è particolarmen- te studiato (Holt, Bossler 2014). La repressione del cyber-deception/theft è difficile perché le vittime spesso non denunciano quanto subiscono e non collaborano con gli investigatori. Denunciando le aziende temono di perde- re in termini di credibilità, affidabilità e immagine nei confronti del pubbli- co, clienti o partner e di indebolirsi a vantaggio della concorrenza. Per que- sta ragione preferiscono affrontare e risolvere in proprio la situazione anche giungendo ad accordi con gli stessi criminali.

Come si vede, si tratta di reati comuni che trovano nella rete e soprattut- to nel c.d. dark web, che è terreno fertile anche per scambi di merci e con- tenuti illegali, materiale pedopornografico, traffico d’armi e di stupefacenti, fino a quello di esseri umani o di organi di esseri umani (Izzi 2011).