Pagani: «Siamo tutti potenziali obiettivi degli hacker, i nostri dati sono il petrolio di questa epoca»
Alberto Pagani è stato parlamentare del Pd dal 2013 al 2022, prima in commissione trasporti e telecomunicazioni, poi capogruppo Pd in commissione Difesa e delegato nell’Assemblea Parlamentare della Nato. Ha inoltre prodotto diverse pubblicazioni in materia di intelligence, geopolitica, sicurezza nazionale e terrorismo. Oggi è un professionista della sicurezza che lavora come docente all’Università di Bologna e consulente per aziende e istituzioni. A lui abbiamo chiesto un parere sull’indagine in corso a Milano che vede anche una ventina di romagnoli tra le persone spiate dal gruppo di hacker finiti sotto inchiesta.
Pagani come è possibile che un gruppo di “smanettoni” riesca ad entrare nella mail del presidente della Repubblica?
« Io resto allibito che qualcuno ancora si stupisca di queste cose, evidentemente non c’è la cultura della sicurezza. Non banalizzerei parlando di “smanettoni”, si tratta di un settore dove i titoli di studio contano meno delle competenze reali, e ci sono persone senza laurea capaci di fare più danni degli ingegneri informatici. Poi in questo caso si tratta piuttosto di professionisti che di dilettanti. Il vero guaio del nostro Paese non è la debolezza delle difese adottate, ma la mancanza di consapevolezza della fragilità dei nostri sistemi».
Si riferisce a quelli privati o a quelli pubblici?
«A giudicare da quello che sta emergendo dalle indagini mi riferisco purtroppo a entrambi».
Nel campo informatico sono state adottate normative europee che impongono obblighi per le imprese che forniscono servizi essenziali, questo migliorerà la situazione?
«Speriamo di sì, ma dipende molto dall’atteggiamento con cui si affronta il problema. Se lo si fa con approccio burocratico, si risolvono pochi problemi. Basta prendere ad esempio quel che succede con le norme anti corruzione, quando l’applicazione si risolve con carte su carte, autocertificazioni da produrre i corruttori si intimoriscono poco. Infatti, abbiamo forse estirpato la corruzione facendo impazzire di burocrazia il piccolo fornitore artigiano? O abbiamo forse impedito le infiltrazioni mafiose nell’economia sana o negli appalti pubblici? Non credo».
Come mai queste norme non hanno prodotto i risultati auspicati?
«Perché chi non vuole troppi pensieri, perché alla fine lo stipendio è uguale, si limita a mettere formalmente a posto le carte, per scaricare su altri le proprie eventuali responsabilità se capita qualche disgrazia. Quando si pensa più alla forma che alla sostanza, e si ragiona a partire dagli obblighi di legge, invece che dall’analisi dei rischi, non si aumenta la sicurezza, si crea solo del lavoro per gli avvocati».
Come ha maturato questa convinzione?
«Lavorando come consulente mi capita di chiedere agli amministratori di società italiane di medie dimensioni di confrontarmi con il loro security manager, per fare insieme un’analisi realistica dello stato di fatto. Quando non capiscono chi devono chiamare, perché alla parola sicurezza associano la prevenzione degli infortuni o la tutela della privacy, significa che la persona con cui vorrei parlare in azienda non c’è. Quindi ne deduco che non c’è nemmeno una pianificazione della sicurezza basata sull’analisi dei rischi.
All’estero invece?
«Nei Paesi anglosassoni il security manager è una figura apicale delle aziende, che non dipende nemmeno dal direttore del personale, ma lavora direttamente con l’amministratore delegato o il presidente del Cda, perché deve garantirgli che l’azienda corra meno rischi possibile».
E se parliamo di istituzioni?
«In questo caso arriviamo alla cosa più grave evidenziata da questa vicenda: ovvero che sia stato possibile scaricare, cioè “copiare e incollare”, una intera banca dati estratta dello Sdi che è il data base del Viminale in uso alle forze dell’Ordine. E’ qualcosa di gravissimo».
Di questa vicenda milanese colpiscono anche i numeri. Non si indaga più sul singolo politico, sul vip o sul grande manager, qui si va a strascico, mettendo da parte i dati di un milione di persone.
«I dati sono il petrolio di questa nuova epoca. Si tratta di un patrimonio incredibile, che ha un valore economico. Anche se in questo caso, mi perdoni il termine, mi sembra un po’ un caso di spionaggio da commedia all’italiana; con fidanzate, dossier su manager o politici per favorire la carriera personale dei loro concorrenti... più che la spectre di un film di James Bond mi sembra l’ufficio ricatti e ritorsioni di un film di Fantozzi».
Non conosciamo però l’uso che ne avrebbero fatto i mandanti
«Questo è vero, ma non credo che spiare il telefono della fidanzata di un danaroso ereditiero sia funzionale al concepimento di un raffinato piano eversivo».
Ora si parla di inasprire le pene, cosa ne pensa?
«Credo sia poco utile perché si delinque confidando di restare impuniti, non di avere pene lievi. Se aumentano i rischi, aumenteranno il prezzo del lavoro illegale, e quindi i profitti di chi opera illecitamente in quel settore, magari con la sede legale all’estero».
Tra gli spiati ci sono anche persone a cui sono entrati nei cellulari, come si fa?
«Si fa come ci insegna Omero nell’iliade: con l’inganno, nascosti dentro un cavallo di legno, gli achei furono fatti entrare nella città di Troia e la conquistarono. In questo caso il cavallo si Troia è l’allegato di una mail, o di un messaggio whatsapp, o un sms. Nel momento in cui lo apriamo siamo noi che diamo il comando di eseguire il programma e facciamo entrare il trojan. Ci sono ovviamente sistemi molto più evoluti come Pegasus, il famigerato spyware prodotto dalla israeliana NSO Group, che continua a essere ampiamente usato in tutto il mondo in attività di cyber spionaggio grazie alla sua vasta scelta di modalità di attacco. E chi ci spia vede tutto».
Tutto?
«Tutto, non solo i messaggi, ma tutto quello che facciamo con il nostro dispositivo, comprese le nostre conversazioni private o le nostre password».
Siamo tutti potenzialmente spiabili?
«Con Pegasus sono stati spiati almeno 13 capi di Stato, che non sono supportati e protetti da sprovveduti, ma dai professionisti più aggiornati sui rischi di cybersicurezza. Quindi direi di sì: siamo tutti potenzialmente spiabili. Ma non è una novità. Qualcuno si ricorda lo scandalo delle migliaia di intercettazioni illegali della Telecom ai tempi di Tronchetti Proverà?».