L'ossessione per la cybersecurity ci porterà tutti a vivere nel Panopticon? Nelle tavole che illustrano questa pagina vediamo una società in cui chiunque è una spia o può essere spiato. Un futuro lontano. O forse no
Dal mio studio guardo il bimbo dormire nell’altra stanza, attraverso lo schermo sottile del laptop. Sul desktop principale ho una finestra di videoscrittura e una col browser (e-mail, Facebook, Twitter); ma con una semplice combinazione di tasti posso passare a un’altra schermata in cui si vede solo l’immagine nera e verde del baby monitor: una stanza scura, il riquadro geometrico delle ringhiere della culla, un fagottino biancastro con le manine che sbucano dall’orlo della coperta. Se non avessi tolto l’audio sentirei la lana frusciare ogni volta che si gira.
Questo idillio di genitorialità 2.0 ha un solo problema: l’altra stanza è a varie migliaia di chilometri dalla mia casa, e il bimbo che dorme non è mio figlio. In realtà, non so chi sia. L’indirizzo IP della telecamera a cui mi sono collegato abusivamente da casa mia a Torino, però, è localizzato da qualche parte in Lituania, nella città portuale di Klaipeda. Direi che è un maschietto.
La legge contro la pedofilia mi incoraggia a specificare che questo esempio è fittizio. Allora posso parlare di altri esempi non fittizi: in Lituania sto osservando quella che sembra la sala d’attesa, vuota, di uno studio medico. In Spagna vedo un parcheggio quasi pieno. Un marciapiedi in Polonia. Una stanza immersa nell’oscurità in Bielorussia. Il bancone di una ricevitoria ad Avellino, dove con un po’ di attenzione potrei ricostruire il codice di chi paga con la carta.
Questi sono alcuni delle centinaia di migliaia di posti al mondo in cui sono installate delle telecamere collegate a Internet. Ognuna di queste telecamere (così come i router, i termostati intelligenti, i frigoriferi smart, certe nuove automobili, i dispositivi basati su schede Arduino Yùn) ha un indirizzo identificante, che spesso, a meno che non si siano prese delle precauzioni, è reperibile su specifici motori di ricerca (il più famoso si chiama Shodan). Quasi tutti i device connessi sono accessibili a distanza da parte di chiunque ne conosca username e password. Per le telecamere prodotte fino a pochi anni fa – alcune sono ancora in commercio – questi erano “admin” e “admin”, o “admin” e “password”, o “admin” e “1234”.
Questa piccola bravata, più o meno inquietante a seconda dei modi di considerarla, non risulterà affatto sorprendente a chi abbia anche solo qualche nozione di base sul funzionamento della rete e su quella che, con un termine-ombrello vago quanto fuorviante, si chiama “cybersecurity”. L’espressione è di recente tornata in voga in seguito alle polemiche sulla nomina, per ora congelata, di Marco Carrai, un imprenditore vicino a Matteo Renzi, a testa di una riformata agenzia nazionale per la sicurezza cibernetica. Ma che cos’è la sicurezza cibernetica?
Ufficialmente, due cose molto distinte. Da una parte c’è l’uso della rete per prevenire minacce “nel mondo fisico” che vengono orchestrate mediante comunicazioni telematiche – i terroristi che si scrivono su Gmail, gli spacciatori che smerciano sulla darknet. Questo è un lavoro di intelligence simile a quello che negli Stati Uniti portava avanti l’NSA, ed è qualcosa che, nel bene o nel male, i governi hanno sempre fatto: semplicemente messo in atto con nuovi mezzi, e quindi su una scala maggiore.
Dall’altra, c’è la difesa contro rischi di alto livello di natura specificamente digitale: lo spionaggio industriale di settori come la difesa e l’aerospaziale, le infiltrazioni nei database degli istituti di credito, gli attacchi coordinati a infrastrutture energetiche o di trasporti. Attacchi di questo tipo possono essere ritenuti veri e propri atti di guerra – e anche qui, occuparsene ricade da sempre fra le prerogative dello Stato.
Quale organo debba affrontare queste due famiglie di problemi, e con quale libertà d’azione, è una questione di cui si sta discutendo parecchio. Ma vi è una terza famiglia di problemi che risulta fuori dalla portata di questo genere di agenzia: la sicurezza del singolo device e del singolo utente che accede con password deboli o compromesse a un singolo servizio. L’esempio delle telecamere è solo un dettaglio. In un’epoca in cui sempre più persone hanno una consistente “porzione” della propria vita online (lavoro, contatti sociali, foto; ma anche documenti in cloud, conti in banca, investimenti), la sicurezza di tale porzione non riguarda solo i singoli che rischiano di perdere risparmi o foto dei bambini; collettivamente, ne va del buon funzionamento della società.
Secondo alcuni è questa la grande battaglia per la sicurezza cibernetica si gioca oggi, e gli strumenti con cui combatterla non sono tecnici o militari, ma normativi e soprattutto culturali. Questa, ad esempio, è la tesi esposta da Edward Lucas, senior editor dell’Economist, in Cyberphobia: Identity, Trust, Security and the Internet, un saggio da poco uscito in inglese per Bloomsbury. Secondo Lucas, ciò che deve far paura della rete non è una singola vulnerabilità enorme (la centrale nucleare disattivata a distanza, gli aerei fatti cadere, i progetti rubati, e giù di distopie), ma la somma di infinite piccole vulnerabilità diffuse.
Le password sono un esempio, e il caso delle telecamere visto sopra è in fondo minimo, innocuo. Più preoccupante è il caso dei router, anch’essi spesso lasciati con la configurazione standard: infettandoli si è in grado di monitorare l’intero traffico Internet dei computer che vi si connettono. Ma è ancora poco. La scorsa settimana sono stato da un notaio; per l’atto che stavo stipulando erano necessari dei documenti che ho portato su una chiavetta. Glie l’ho data, e lei l’ha inserita per stamparli. In quel momento, se avessi avuto competenze diverse, avrei potuto ottenere una quantità smisurata di dati sensibili: utili a ricattare, a speculare, o persino a impersonare gli altri sfortunati clienti di quello studio (quante cose si possono fare con un indirizzo e un codice fiscale!). La stessa cosa può succedere a chi la chiavetta la usa semplicemente in una copisteria, e poi la rimette nel computer di casa. La stessa cosa può succedere a un cellulare che aggancia automaticamente le reti Wi-Fi aperte.
Queste vulnerabilità hanno una dimensione tecnica, legata all’acquisto di cose. Le telecamere più recenti costringono gli utenti a impostare password migliori (c’è voluta una sentenza della Federal Trade Commission statunitense); i router di fascia alta hanno firmware proprietari che resistono ai virus più comuni. In una certa misura è un passo che sarà necessario fare – rendersi conto, cioè, che comprare un router è come comprare una serratura di casa, e forse per quella non sceglieremmo con tanta facilità un modello da 15 euro anziché uno da 200. Ma la dimensione tecnica è in fondo minoritaria e non risolve niente. In ognuno di questi casi la vulnerabilità è data principalmente dal comportamento dell’utente – che imposta password deboli o compromesse, o le ricicla, o semplicemente non ci pensa.
Sì, sappiamo che dovremmo usare password più lunghe e difficili, e usarne di diverse in ogni diversa occasione, e aggiornare regolarmente tutti i software, e installare sempre gli antivirus che spesso non servono a niente, perché le minacce più gravi sono le più nuove. Dovremmo, dovremmo.
Però poi ci diciamo: perché qualcuno dovrebbe attaccare proprio me? Perché dovrebbero provare a indovinare la mia password, a infilarsi nella mia USB stick? Luciano Floridi, uno dei massimi teorici di etica informatica, ha detto che in rete nessuno si sente Moby Dick: tutti si sentono sardine, protetti dal banco tutt’intorno. Con uno spirito simile spesso lasciavo aperta la porta del mio vecchio appartamento, quando dovevo prestare le chiavi a degli ospiti, confidando che nessuno sarebbe arrivato all’ultimo piano della mia scala nella mia palazzina solo per provare la maniglia di una porta a caso nella speranza di trovarla aperta.
Come moltissime analogie usate per capire le questioni della rete, anche questa sembra intuitiva ma non funziona.
Per due ragioni: da una parte, il grosso degli attacchi oggi è automatizzato. È relativamente semplice scrivere un piccolo software che cerca, ad esempio, tutti i router di una certa marca e prova la password standard; se funziona li infetta e resta in attesa che vi transitino dati interessanti (una carta di credito, un conto PayPal); e nel frattempo si replica. Per far partire l’infezione basta una mail di spam con allegato (le aprono in molti più di quanti non crediate), o un pomeriggio in un’aula computer di qualunque università italiana: il resto lo farà da sé. Da questo punto di vista, non serve essere un bersaglio per diventarlo.
Ma c’è di più: il cosiddetto spearphishing (“phishing”, storpiatura di “pesca” in inglese, è il modo in cui si definiscono questi attacchi fatti come con delle reti a strascico; “spear”, “fiocina”, indica un’azione più mirata). Certo, non c’è nessuna ragione per cui io debba essere bersaglio di un hacker. Ma, ad esempio, mia sorella lavora per uno studio legale. Dal computer dell’ufficio non apre le mail personali, per ragioni di sicurezza; ma se gliene arrivasse una dal mio indirizzo, con un messaggio allarmato che le dice che ho ricevuto un avviso di garanzia, magari per leggerlo farebbe un’eccezione. E se poi dal suo indirizzo arrivasse una mail alla presidentessa di una società cliente, con la scansione di un documento da verificare con urgenza, anche lei probabilmente la aprirebbe. In questo caso, chiunque ottenga accesso al mio computer avrebbe accesso anche a quello di mia sorella, e quindi ai sistemi di quell’azienda – bilanci, progetti, liste clienti, corrispondenza. Non c’è bisogno di una falla nella sicurezza: nell’esempio che ho appena descritto, la falla sono io.
Qui appare un aspetto cruciale della sicurezza cibernetica per cui nessuna agenzia governativa potrà fare granché: è un bene diffuso, condiviso, di cui ognuno si porta appresso un pezzetto che può proteggere o rovinare. Un ottimo investimento di sicurezza per i clienti dello studio di mia sorella sarebbe far fare un corso di cybersecurity a me; e a tutti i parenti e amici di tutti i suoi colleghi; e ai figli dei dipendenti; e agli agenti immobiliari con cui sono in contatto; e…
Un ragionamento di questo tipo porta Lucas, e molti altri, a osservare che non sarebbe irragionevole richiedere che per usare un computer si debba ottenere una specie di patente. In fondo, sostiene, è richiesta anche solo per guidare un motorino, col quale le possibilità di fare male a sé e agli altri sono relativamente ristrette. Internet negli ultimi anni è divenuta la spina dorsale delle economie dell’intero occidente; eppure non solo per accedervi, ma persino per produrre device che vi si collegano non è necessario superare alcun controllo per essere certi di non essere pericolosi – per sé, e per tutti.
Anche Carlo Blengino, penalista specializzato in cybercrime e fellow di NEXA – Center for Internet & Society del Politecnico di Torino, riconosce che ad oggi il più delle volte usiamo internet senza alcuna coscienza dei rischi che corriamo e facciamo correre agli altri – “come se bevessimo ogni volta che ci mettiamo al volante”. Ma l’idea di una patente gli sembra soprattutto l’ennesima, inefficace zavorra burocratica. (La prima parola che ha usato è stata “cazzata”). «L’infosfera», ha aggiunto, usando il termine al centro del pensiero di Floridi, «ci è esplosa fra le mani. È naturale che ci voglia un po’ di tempo ad adattarci».
Neanche così tanto tempo: il quadro normativo in materia di Internet è molto più sviluppato di quanto non fosse il codice della strada a vent’anni dal motore a scoppio. «Il difetto non è normativo, ma culturale»: come nel caso della pirateria, che è vietata dalla legge ma ritenuta accettabile da quasi tutti i cittadini, le leggi sulla sicurezza online ci sono ma non ne percepiamo l’esistenza e la necessità. Non abbiamo nozione delle conseguenze che può avere anche solo un click sbagliato o una password debole – che possono essere ben più gravi che se uscissimo di casa con la porta spalancata e tutti i documenti bancari bene in vista sul tavolo.
I racconti di Blengino abbondano di situazioni di questo tipo. Ci sono gli imprenditori che usano i servizi gratuiti di Gmail per la posta aziendale, e poi si sorprendono che i dipendenti licenziati portino gli indirizzari dei clienti alla concorrenza (che è un reato, ma reso possibile dalla poca lungimiranza delle vittime). C’è la procura di Pisa che condivideva tutti i fascicoli aperti sullo stesso Dropbox. C’è il notaio che accetta di buon grado la mia chiavetta USB.
In teoria questi comportamenti sono sanzionati dalla legge, che in materia di dati personali prevede addirittura l’inversione dell’onere della prova: ad esempio, starebbe alla procura dimostrare in tribunale che quella Dropbox era protetta da una password più inespugnabile della fortezza di Mordor. Ma nella pratica tutto ciò si scontra con la scarsa dimestichezza che abbiamo noi con i nostri diritti, e la magistratura con le nozioni necessarie a comprendere se sono difesi o no. «A volte anche da parte dei giudici manca la sensibilità», ha risposto compassionevolmente Blengino quando gli ho chiesto quanti magistrati, a suo parere, erano in grado di valutare i bit di entropia di una password.
Ma in realtà anche dal punto di vista normativo Blengino prevede che sarà necessario fare un passo ulteriore. Ad oggi, il grosso delle tutele legate alla sicurezza cibernetica passa ancora attraverso la nozione di dati personali da difendere. In certi casi (il notaio) si rivela calzante; in altri (lo spearphising) meno. Cosa è stato violato, lì, di preciso? Un elettrodomestico? Una cassetta di sicurezza? Una casa? Il problema sembra riguardare qualcosa di più ampio, che ha a che fare con concetti come identità e persona.
Anche per questo l’idea della patente pare, ad oggi, irrealistica: per delineare diritti e doveri è necessario avere ben chiaro quale sia il bene giuridico da tutelare, ed è una domanda ancora aperta. Alcuni parlano di “corpo digitale” – rifacendosi esplicitamente alla necessità di un atto come l’habeas corpus che si riveli fondativo di una nuova concezione di diritti personali. Ad oggi quell’atto manca, benché qualcosa di simile sembri delinearsi nello storico pronunciamento con cui la Corte Suprema degli Stati Uniti ha vietato la perquisizione senza mandato dei cellulari, dicendo:
Hanno un ruolo tanto pervasivo nella nostra vita quotidiana che un marziano li riterrebbe probabilmente una parte importante dell’anatomia umana.
Alla fine della nostra conversazione Blengino mi ha raccontato che di recente, in un corridoio della Cassazione a Roma, ha visto un’esposizione sulla storia della costruzione del Palazzo di Giustizia. In una delle ultime fotografie erano visibili svariati operai appesi alle putrelle ancora nude del Palazzaccio che sorridevano all’obiettivo, con imbragature improvvisate, senza casco né cinture.
«Se all’epoca fossi andato dai miei colleghi, o dal ministro, a parlare di sicurezza sul lavoro mi avrebbero riso dietro. Ecco», ha detto, «noi oggi siamo in quella situazione lì».