INTERVISTA:
Domanda 1
Che cos'è l'FTI e che ruolo volge al suo interno il SicurForum?
Risposta
FTI è la sigla di Forum per la Tecnologia dell'Informazione. È
un'associazione costituita nel 1985, quindi ormai ha la bellezza di 15
anni che per una associazione sono tanti. Oggi è una ONLUS, cioè una
organizzazione senza fini di lucro di utilità sociale, che raccoglie
tante componenti diverse quali imprese generiche, imprese di
produttori sia di hardware che di software, gestori di
telecomunicazioni, amministrazioni pubbliche, amministrazioni
pubbliche centrali, cioè ministeri e dipartimenti della Presidenza
del Consiglio, amministrazioni locali, cioè comuni, province e
regioni, mondo universitario, facoltà universitarie, dipartimenti
universitari e centri di ricerca. E' un mix abbastanza complesso,
interessante e non facilmente raggiungibile dalle altre associazioni
che sono in genere associazioni di produttori o associazioni di utenti
e non hanno una gamma di partecipazione ampia come la nostra. Quando
venne fondato, gli interessi del Forum per la Tecnologia
dell'Informazione sembravano un po' dispersi e variegati. Ci
occupavamo di tecnologia delle plasticard, della moneta elettronica,
delle nuove tecnologie educative, della sicurezza dei sistemi, ci
occupavamo di telelavoro, di problemi di tecnologia dell'informazione
e società. Dopo un po' di tempo, e sempre di più in questi anni, il
fatto che le tecnologie tendessero a convergere, ha fatto convergere
parallelamente, anche tutta una serie di applicazioni. I problemi
della moneta elettronica infatti sono anche problemi del commercio
elettronico, sono anche problemi di sicurezza. Su ognuna di queste
tematiche noi abbiamo creato quella che chiamiamo una iniziativa
permanente. Sicurforum Italia è una delle iniziative permanenti del
forum per le tecnologie dell'informazione. Il SicurForum Italia ha il
compito di occuparsi della sicurezza, sicurezza che è diventata un
problema globale. E' un problema globale perché senza sicurezza dei
mezzi, delle applicazioni, degli accessi ai sistemi informativi, non
si ha la sicurezza dell'insieme. È un po' come quando si parla di
qualità, la qualità può essere soltanto qualità globale, o c'è
qualità globale o non c'è qualità, e lo stesso è per la sicurezza,
o c'è sicurezza globale o non c'è. Direi che dovrebbe essere in
questo senso anche sicurezza delle persone, sicurezza logistica,
sicurezza degli impianti, perché sono tutte queste le componenti che
contribuiscono a fare della tecnologia dell'informazione e della
comunicazione un fatto sicuro di cui la gente possa fidarsi.
Domanda 2
Avere fiducia nelle tecnologie dell'informazione che tipo di operazioni
permette di compiere?
Risposta
Per le applicazioni le più diverse, per fare commercio elettronico, per
esempio, ma anche per creare telelavoro. Se una persona non è sicura
che quello che sta facendo è protetto adeguatamente, non può neanche
fare telelavoro. A che scopo trasmettere dei programmi di software che
sono costati fatica, ore e ore di lavoro, per un pubblico generalizzato
che potrebbe anche carpirli e potrebbe distorcerli da quella che è la
loro giusta destinazione? Ecco perché la sicurezza è un problema
globale. E lo stesso discorso si potrebbe fare per la formazione. O c'è
una formazione globale o non c'è una formazione. Tra le varie attività
del forum una delle più importanti è quella di redigere ogni anno un
rapporto sulle società dell'informazione e della comunicazione.
Quest'anno siamo al settimo rapporto. Il rapporto viene presentato
generalmente in sede istituzionale ed è nato come un rapporto molto
voluminoso. Abbiamo cercato di ridurlo progressivamente di volume, di
renderlo più scarno ed essenziale, proprio perché potesse diventare
uno strumento di lavoro migliore per gli operatori. Diamo un quadro
delle tecnologie, delle applicazioni e della normative più interessanti
del settore e di quelle che sono le autorità che operano sempre di più
nel nostro ambito. Pubblichiamo anche una collana di libri che si chiama
Società dell'Informazione e della Comunicazione, una collana nella
quale sviluppiamo attraverso piccoli saggi, manuali per la piccola
impresa e per il lettore medio, tutta una serie di temi legati alle
nuove tecnologie.
Domanda 3
Qual'è la definizione esatta di crimine informatico? In che cosa si
differenzia dal crimine tradizionale?
Risposta
Il crimine informatico è proteiforme, quindi preferirei astenermi da
una definizione precisa. Si tratta della applicazione di strumentazioni
tecnologiche e di idee innovative a quelli che sono dei crimini che ci
sono sempre stati. Vorrei distinguere i crimini informatici non secondo
un criterio giuridico, ma più secondo un criterio sociale. Generalmente
si commettono tre tipi di crimini: si attaccano i sistemi informativi
per prendere dei dati o per rubare dei dati; si attaccano i sistemi
informativi per distruggere dei dati, distruggere parzialmente o
globalmente le informazioni che si trovano al loro interno; si attaccano
i sistemi semplicemente per far vedere che si è bravi, per
autoaffermarsi, si potrebbe dire per promuovere una affermazione del
sé, usando un linguaggio di tipo psicoanalitico.
Domanda 4
Può descriverci meglio le tipologie di questi criminali informatici?
Risposta
Le tipologie di questi crimini sono abbastanza diverse come sono
diversi coloro che le commettono e come probabilmente è diversa la
prevenzione che si può attuare. Chi attacca i sistemi per prendere
qualche cosa, per rubare dei dati, sostanzialmente quindi per rubare
'tout court', perché chi ruba dei dati solitamente ruba dei soldi, è
in genere un professionista, cioè è una persona che va presa molto
sul serio, una persona che ha dei buoni schemi, non soltanto una buona
manualità, ma anche una buona idea di come funzionino i sistemi, di
quelli che sono i punti deboli dei sistemi. Questo individuo ha però
degli obiettivi precisi, cioè non entra in un sistema semplicemente
per far vedere che c'è entrato, mettere la bandierina e parlarne con
gli amici. Vuole prendere qualche cosa. Certe volte fa un furto anche
su commissione, almeno questo è quello che risulta dalla tipologia
che si viene elaborata negli Stati Uniti. Insomma, è un po' come il
ladro che va per rubare un quadro determinato e lascia magari un
Picasso e ruba un Matisse, quindi sa abbastanza che cosa vuole avere
e, secondo almeno quello che risulta nei paesi in cui i reati di
questo tipo sono più diffusi, è il tipo di criminale col quale più
facilmente si può venire a patti, cioè il tipo di criminale col
quale più facilmente si può fare un'opera di prevenzione e difesa
sociale. Poi invece c'è quello che entra nel sistema per distruggere.
È animato, cioè, da una follia distruttiva. Non sempre si tratta di
uno psicotico, spesso può essere soltanto un 'border line', un
'emarginato informatico' che però è una specie di Attila o di Gengis
Khan dei sistemi e non gli importa perché compie un crimine, vuole
semplicemente distruggere dei dati. Se gli si spiega che, siccome ha
attaccato il sistema del reparto pediatrico di un'ospedale, moriranno
dei bambini, non gliene importa assolutamente nulla. È molto
imprevedibile nelle sue azioni ed è molto difficile fare nei suoi
confronti un'opera di difesa sociale. Quello che si può fare è
un'opera di prevenzione, cioè spiegare a chi si occupa di informatica
quali possano essere i gravissimi risultati di certe azioni che
vengono commesse. Generalmente è una persona più giovane della
tipologia precedente, ed è una persona con delle caratteristiche di
genialità forse persino maggiore. Il terzo tipo di criminale
informatico è quello che potremmo definire più ludico, più
giocherellone. In sostanza non vuole rubare niente, non vuole
distruggere niente ma vuole semplicemente fare un'intrusione, vuole
far vedere che è molto bravo, che riesce a violare dei sistemi molto
difesi e molto protetti, in genere è una personalità di tipo
adolescenziale o postadolescenziale. Vuole far vedere che riesce a
penetrare, per esempio, i sistemi del pentagono. Non è tanto facile
penetrare i sistemi del pentagono e quando uno ci riesce vuol dire che
è veramente geniale. Che cosa si può fare per arginare questo tipo
di crimini? Nel primo caso il personaggio in questione è un
professionista. Essendo un professionista forse la cosa da fare è
cercare di venire a patti con lui trasformandolo da attaccante in
difensore. Trasformare cioè questo tipo di hacker in un 'white hat',
in una persona che difende i sistemi. Se conosce bene le modalità con
cui i sistemi vanno violati gli si daranno almeno altrettanto soldi di
quelli che gli sono stati dati per difendere il sistema anziché
attaccarlo. Contro il secondo tipo di criminale, il personaggio simile
ad Attila o Gengis Khan, è difficile fare una proposta perché non è
nei suoi interessi accettarla. Bisognerebbe forse fare un'opera di
prevenzione sociale generale, cioè cercare di dimostrare nel mondo
informatico, con un'operazione capillare, attraverso i diversi media,
attraverso il Web, attraverso le televisioni, che questi reati possono
avere degli effetti disastrosi anche per degli ambienti o per delle
persone che non sono quelle direttamente attaccate. Possono cioè
soffrirne terribilmente non solo le istituzioni contro le quali si
scaglia questo tipo di criminale, ma anche delle persone indifese,
deboli, che forse lui non vorrebbe attaccare. Per quanto riguarda
invece, il genio, il personaggio che commette il crimine per farsi
notare, bisogna sfruttare il suo temperamento adolescenziale. Bisogna
gratificarlo dandogli delle cariche importanti e dimostrandogli che è
molto importante, che siamo assolutamente convinti della sua bravura,
e convincerlo che se diventa un grande difensore dei sistemi e inventa
strumenti di protezione sarà altrettanto bravo. Va fatta una specie
di 'captatio benevolentiae' nei confronti di questo tipo di individui
che fondamentalmente sono sensibili più alla gratificazione morale e
intellettuale che materiale. Si potrebbe, per esempio, selezionare
questo tipo di persone attraverso test proprio sulla sicurezza dei
sistemi, cercando di capire quali sono le personalità giovani che
sono in grado di violare la sicurezza perché si sono fatte più le
ossa su questo tipo di mentalità.
Domanda 5
Nella tipologia che lei ha tracciato, dove si posiziona l'hacker di tipo
ideologico, cioè quello che lotta per la libera diffusione
dell'informazione e la cancellazione delle forme di copyright?
Risposta
L'hacker di tipo "ideologico" si posiziona un po' al di fuori
di queste tre categorie appena elencate. Non ha obiettivi economici, non
ha obiettivi distruttivi, forse ha l'obiettivo di far vedere che è
bravo, ma in modo meno adolescenziale, meno ingenuo e primitivo. Direi
che forse può formare una quarta categoria ed è l'hacker col quale
più facilmente si può venire a patti. Alcune delle istanze che
sostiene sono fondamentalmente giuste, anche se le porta avanti in un
modo un po' estremistico. La libertà dell'informazione, è una cosa che
viene difesa per esempio nella costituzione degli Stati Uniti. Io credo
che, rispetto a tutte le altre categorie, questo sia l'hacker col quale
varrebbe la pena di intrecciare un dialogo il più presto possibile. È
l'hacker che ritiene, per esempio, che i brevetti e le licenze
costituiscano dei freni, delle barriere allo sviluppo della società. Io
credo che non ci sia una barriera da innalzare nei confronti di questo
tipo di hacker. Se non commette dei reati di tipo grave e vuole
semplicemente affermare la libertà di informazione, questa è
certamente una istanza importante che va in qualche modo inclusa nella
società moderna, soprattutto nella società dell'informazione e
comunicazione. Esistono anche delle categorie intermedie di violazioni
di tipo informatico e non è detto che tutte queste categorie siano
così nette, così differenziate tra loro. È bene di sottolinearlo
perché tali categorie non rimangano un po' troppo rigide.
Domanda 6
Allora, spostiamoci sulla questione dell'attività investigativa. Come
si svolge questa attività nel settore informatico?
Risposta
Ricorderei che abbiamo, nell'ambito della polizia, della pubblica
sicurezza, dei carabinieri forze molto rilevanti in questo settore. Se
coloro che commettono dei reati e dei crimini di tipo informatico sono
ben preparati, coloro che cercano di reprimerli e che li reprimono
sono spesso altrettanto ben preparati e ben formati. Questo dato
dovrebbe offrire una certa garanzia all'utente finale e anche alle
imprese e alle istituzioni. Naturalmente si tratta di vedere quante
risorse possano essere destinate alla prevenzione di questi crimini.
Sul problema dei mezzi informatico-telematici per reprimere questi
crimini, non ho assolutamente dubbi che ci siano mezzi adeguati ed
efficienti. Si tratterà forse di comprare qualche strumento di più e
metterlo a disposizione delle forze di polizia ma questo non
costituisce il nucleo centrale del problema. I mezzi ci sono, la
formazione del personale c'è, gli aggiornamenti mi sembra che
avvengano in modo abbastanza adeguato da quello che ho potuto leggere
e sentire. Il problema sta allora nella quantità di persone a
disposizione. Non è questa la sede per decidere se c'è abbastanza
personale che si dedica a perseguire i crimini informatici. In secondo
luogo, questo dipende dal numero di persone globale che hanno le forze
dell'ordine e quindi dal numero delle risorse che possono spostare su
una singola tipologia di crimine. Direi che più viene avvertita la
pericolosità sociale di un certo crimine e più vengono spostate
delle risorse, risorse umane intendo, su questa tipologia.
Indubbiamente, se tutti coloro che sono stati attaccati, per esempio,
denunciassero questo fatto alle forze dell'ordine e quindi ci fosse
una completezza di informazione su tutti gli attacchi che sono
avvenuti, probabilmente verrebbe giudicata maggiore la pericolosità
sociale del crimine informatico. Mi chiedo perché ci sia un certo
numero di reati che non vengono denunciati.
Domanda 7
Cosa caratterizza l'attività investigativa in campo informatico
rispetto all'attività investigativa tradizionale?
Risposta
Un maggiore coefficiente di conoscenze tecnologiche. Se è vero che oggi
tutta l'attività investigativa che viene svolta viene compiuta con una
strumentazione sufficientemente sofisticata, quella relativa ai crimini
informatici richiede una strumentazione maggiore e richiede anche una
formazione migliore e duratura. Non credo che si possa arrivare a
pensare alla creazione di una polizia informatica e probabilmente non
verrebbe neanche bene accolta dagli operatori. Però, come in tutte le
istituzioni, creare delle sezioni specializzate o dei gruppi
specializzati probabilmente è un trend verso il quale si sta andando.
Come ci sono le famose squadre antidroga o squadre anticrimine credo che
si potrebbe andare anche verso la formazione di squadre per la
repressione di reati informatici. Nella selezione di queste squadre
specializzate credo che non sia tanto uno sbarramento di tipo scolastico
quello al quale dobbiamo pensare, ma proprio di tipo formativo e anche
di mentalità. Ci sono persone che hanno una particolare mentalità che
è adeguata per inserirsi in questa tipologia di crimini e persone che
ce l'hanno meno. Credo che però nelle forze di polizia ci siano risorse
adeguate anche in questo senso.
Domanda 8
Nell'attività pratica di investigazione che cos'è che differenzia i
crimini tradizionali da quelli informatici?
Risposta
Credo che una delle difficoltà maggiori che si riscontrano nel
perseguire i crimini informatici sia la 'notitia criminis'. Normalmente
chi è stato soggetto ad un attacco non lo denuncia. Viene quindi a
mancare a chi deve compiere un'azione investigativa la notizia completa
di tutti i crimini di questo tipo che sono stati commessi. Manca spesso
un quadro esauriente di tutti i reati che sono stati commessi e di tutte
le risorse che sono state messe in atto per commettere questi reati.
Questo perché molti operatori, soprattutto gli operatori economici,
ritengono più dannoso far sapere alla loro clientela che i loro sistemi
sono stati violati piuttosto che diffondere la notizia che poi può
divulgarsi attraverso i mezzi di informazione, e cercare attraverso una
analisi, la più completa e la più globale possibile, di prevenire
queste violazioni nel futuro. Questa credo che sia una delle difficoltà
maggiori che caratterizza questo settore rispetto agli altri.
|
 |
