sicurezza

Il futuro dei programmi spia per le indagini di polizia

Il recente attacco informatico effettuato dai fratelli Occhionero fa sorgere seri dubbi sulla percezione del rischio informatico da parte di politici e manager, ma apre anche spunti di riflessione sul futuro ruolo dei “captatori informatici” nel campo delle investigazioni. Ecco gli scenari

Pubblicato il 13 Gen 2017

Giuseppe Vaciago

Partner 42 Law Firm e Docente di Data Ethics e Data Protection al Politecnico di Torino

security-sicurezza-120301160303

Sarebbe inutile parlare del caso “Occhionero”. Giornalisti, ricercatori, consulenti, esperti di sicurezza informatica, hanno già detto e scritto meglio di quanto potrei farei io evidenziando come un malware “artigianale” abbia potuto “bucare” i personal computer degli elementi di spicco della politica e della finanza italiana. Vorrei, invece, partire da uno spunto investigativo dell’indagine per una riflessione più profonda sul tema dei “captatori informatici”.

Innanzitutto cosa sono i captatori informatici? Sono dei pacchetti offensivi di alto profilo in grado di infettare ogni tipo di device (dai computer, ai tablet, agli smartphone). L’operazione avviene attraverso un trojan (cavallo di Troia). Il programma maligno (malware) si attiva una volta che l’obiettivo apre una semplice email, scarica un file, si collega a una rete wifi precedentemente attaccata. A questo punto il trojan infetta il device rimanendo nascosto. Inizia quindi la seconda fase, quella del software spia (spyware). Il computer infetto invia file, schermate, chat, mail, conversazioni Skype o registrazioni ambientali al server che ora lo sta controllando da remoto.

La cosa interessante è che mentre si sta discutendo a livello nazionale sull’utilizzabilità di tali strumenti per le attività investigative, nel caso “Occhionero” abbiamo un’esemplificazione dello scenario futuro. Da un lato, l’hacker o presunto tale che attraverso il suo malware “Eye Piramid” spia politici e manager italiani e dall’altro la Procura di Roma che attraverso il medesimo strumento si introduce del computer dell’indagato per acquisire elementi utili all’indagine.

Se il nostro “corpo digitale” è composto da dati e viene “ferito” nel momento stesso un terzo non autorizzato accede alle nostre informazioni, dobbiamo chiederci se il captatore sia o meno un’arma o meglio una “cyber-weapon”. La risposta non può che essere affermativa perché poter “ferire” il nostro corpo digitale non può che significare rubare la nostra identità, accedere alle nostre informazioni confidenziali con la minaccia estorsiva di diffonderle, acquisire le nostre credenziali bancarie, effettuare acquisti on line con il nostro account. Tutto questo è possibile attraverso il “captatore”. Se, quindi, partiamo dalle premessa che questo strumento sia, di fatto, a un’arma, è necessario interrogarci su tre distinti ordini di problemi: il primo riguarda il livello di sicurezza con cui tali software vengono conservati, il secondo è quello relativo all’esportabilità e alla produzione di tali strumenti, il terzo è la valutazione se le pene edittali oggi previste per chi opera illecitamente nel mercato dei malware siano adeguati o meno. Sottovalutare questi aspetto può avere, nel medio-lungo termine, conseguenze devastanti in termini di sicurezza informatica e quindi sicurezza nazionale.

Nel luglio del 2015, una delle più importanti società produttrici di captatori (Hacking Team) ha subito un leak che ha permesso la diffusione di oltre 500 giga di dati contenenti perlopiù email aziendali, ma soprattutto il codice sorgente del loro prodotto software. La fuga di notizie ha mostrato che i dipendenti Hacking Team adoperavano password deboli, quali “P4ssword”, “Wolverine” e “Universo”. Dobbiamo, quindi, interrogarci, se sia corretto che società private che producono e commercializzano software di questo tipo non debbano essere soggette a rigidi controlli e regolamentazioni, esattamente come accade nel “mondo off line”. Ai sensi del combinato disposto dell’art. 697 del codice penale e dell’art. 20-bis della legge 110/75, una società che produce armamenti o, banalmente, anche un privato cittadino che conserva un’arma nella propria abitazione risponde penalmente nel caso in cui questa venga smarrita e/o rubata per propria negligenza. Le pene arrivano fino a due anni di arresto.

La domanda è quindi molto semplice: si può considerare una “custodia poco diligente nell’interesse della sicurezza pubblica” il fatto di proteggere con password deboli l’accesso a server che al loro interno custodiscono cyber-weapon?

Un secondo profilo, ancora più delicato e controverso, è quello relativo all’esportazione di tali armi verso Paesi esteri che risultano in varie black list internazionali (tra cui ONU, NATO, EU). Sotto questo profilo esiste una regolamentazione di riferimento sia a livello nazionale (d.l.gs 96/2003) che internazionale (Regolamento Europeo 428/09 e 388/12). Sempre a livello internazionale, non si può non citare il Wassenar Agreement che regolamenta il controllo delle esportazioni per le armi convenzionali e le tecnologie “dual-use”, ossia quei prodotti che, pur non essendo di per sé armi, potrebbero potenzialmente diventarlo. In buona sostanza, gli Stati che hanno sottoscritto tale accordo cercano, attraverso le politiche nazionali, di garantire che il trasferimento di armi o di tecnologie “dual use” non contribuisca allo sviluppo militare di Paesi non democratici in grado di minare la sicurezza internazionale.

Un “intrusion software”, ad esempio, può essere utilizzato da una società di security per testare la sicurezza di un sistema informatico e al contempo essere usato da uno Stato non democratico per controllare e intercettare le conversazioni dei propri cittadini. Un recente caso, ha visto coinvolta un’altra società italiana (Area S.p.A.) che vendeva al Governo siriano un sistema di monitoraggio on line attraverso un fittizio rapporto commerciale con la principale società di telecomunicazioni nazionale.

Il vero problema tuttavia è trovare il bilanciamento di interessi tra l’esigenza di reprimere e vietare trasferimenti illeciti di tecnologie dual use e quello di limitare lo scambio di informazioni fondamentali in ambito di security. La recente modifica del Wassenar agreement ha generato numerose polemiche, in quanto la nozione di “intrusion software” è sicuramente molto ampia e potrebbe anche bloccare l’esportazione di software utilizzati dalle società di security per la ricerca di nuove vulnerabilità.

Il terzo e ultimo profilo riguarda la fase dell’acquisto di “exploit 0-day” e di successiva produzione del software. Può e deve essere regolamentata l’attività prodromica alla creazione di un captatore? Attualmente, il nostro codice penale prevede una pena fino a 4 anni di reclusione per chi “fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi” (art. 617-quinquies c.p.). Ma, tornando da dove abbiamo iniziato, la legge consente la produzione di captatori?

Queste sono le premesse per una riflessione più ampia che andrà fatta tenendo a mente che il percorso per allineare la disciplina sulle cyber-weapon a quella delle armi tradizionali è appena iniziato, ma deve diventare presto una priorità a livello nazionale. Il caso “Occhionero” è solo l’inizio, fidatevi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2