Sarebbe inutile parlare del caso “Occhionero”. Giornalisti, ricercatori, consulenti, esperti di sicurezza informatica, hanno già detto e scritto meglio di quanto potrei farei io evidenziando come un malware “artigianale” abbia potuto “bucare” i personal computer degli elementi di spicco della politica e della finanza italiana. Vorrei, invece, partire da uno spunto investigativo dell’indagine per una riflessione più profonda sul tema dei “captatori informatici”.
Innanzitutto cosa sono i captatori informatici? Sono dei pacchetti offensivi di alto profilo in grado di infettare ogni tipo di device (dai computer, ai tablet, agli smartphone). L’operazione avviene attraverso un trojan (cavallo di Troia). Il programma maligno (malware) si attiva una volta che l’obiettivo apre una semplice email, scarica un file, si collega a una rete wifi precedentemente attaccata. A questo punto il trojan infetta il device rimanendo nascosto. Inizia quindi la seconda fase, quella del software spia (spyware). Il computer infetto invia file, schermate, chat, mail, conversazioni Skype o registrazioni ambientali al server che ora lo sta controllando da remoto.
La cosa interessante è che mentre si sta discutendo a livello nazionale sull’utilizzabilità di tali strumenti per le attività investigative, nel caso “Occhionero” abbiamo un’esemplificazione dello scenario futuro. Da un lato, l’hacker o presunto tale che attraverso il suo malware “Eye Piramid” spia politici e manager italiani e dall’altro la Procura di Roma che attraverso il medesimo strumento si introduce del computer dell’indagato per acquisire elementi utili all’indagine.
Se il nostro “corpo digitale” è composto da dati e viene “ferito” nel momento stesso un terzo non autorizzato accede alle nostre informazioni, dobbiamo chiederci se il captatore sia o meno un’arma o meglio una “cyber-weapon”. La risposta non può che essere affermativa perché poter “ferire” il nostro corpo digitale non può che significare rubare la nostra identità, accedere alle nostre informazioni confidenziali con la minaccia estorsiva di diffonderle, acquisire le nostre credenziali bancarie, effettuare acquisti on line con il nostro account. Tutto questo è possibile attraverso il “captatore”. Se, quindi, partiamo dalle premessa che questo strumento sia, di fatto, a un’arma, è necessario interrogarci su tre distinti ordini di problemi: il primo riguarda il livello di sicurezza con cui tali software vengono conservati, il secondo è quello relativo all’esportabilità e alla produzione di tali strumenti, il terzo è la valutazione se le pene edittali oggi previste per chi opera illecitamente nel mercato dei malware siano adeguati o meno. Sottovalutare questi aspetto può avere, nel medio-lungo termine, conseguenze devastanti in termini di sicurezza informatica e quindi sicurezza nazionale.
Nel luglio del 2015, una delle più importanti società produttrici di captatori (Hacking Team) ha subito un leak che ha permesso la diffusione di oltre 500 giga di dati contenenti perlopiù email aziendali, ma soprattutto il codice sorgente del loro prodotto software. La fuga di notizie ha mostrato che i dipendenti Hacking Team adoperavano password deboli, quali “P4ssword”, “Wolverine” e “Universo”. Dobbiamo, quindi, interrogarci, se sia corretto che società private che producono e commercializzano software di questo tipo non debbano essere soggette a rigidi controlli e regolamentazioni, esattamente come accade nel “mondo off line”. Ai sensi del combinato disposto dell’art. 697 del codice penale e dell’art. 20-bis della legge 110/75, una società che produce armamenti o, banalmente, anche un privato cittadino che conserva un’arma nella propria abitazione risponde penalmente nel caso in cui questa venga smarrita e/o rubata per propria negligenza. Le pene arrivano fino a due anni di arresto.
La domanda è quindi molto semplice: si può considerare una “custodia poco diligente nell’interesse della sicurezza pubblica” il fatto di proteggere con password deboli l’accesso a server che al loro interno custodiscono cyber-weapon?
Un secondo profilo, ancora più delicato e controverso, è quello relativo all’esportazione di tali armi verso Paesi esteri che risultano in varie black list internazionali (tra cui ONU, NATO, EU). Sotto questo profilo esiste una regolamentazione di riferimento sia a livello nazionale (d.l.gs 96/2003) che internazionale (Regolamento Europeo 428/09 e 388/12). Sempre a livello internazionale, non si può non citare il Wassenar Agreement che regolamenta il controllo delle esportazioni per le armi convenzionali e le tecnologie “dual-use”, ossia quei prodotti che, pur non essendo di per sé armi, potrebbero potenzialmente diventarlo. In buona sostanza, gli Stati che hanno sottoscritto tale accordo cercano, attraverso le politiche nazionali, di garantire che il trasferimento di armi o di tecnologie “dual use” non contribuisca allo sviluppo militare di Paesi non democratici in grado di minare la sicurezza internazionale.
Un “intrusion software”, ad esempio, può essere utilizzato da una società di security per testare la sicurezza di un sistema informatico e al contempo essere usato da uno Stato non democratico per controllare e intercettare le conversazioni dei propri cittadini. Un recente caso, ha visto coinvolta un’altra società italiana (Area S.p.A.) che vendeva al Governo siriano un sistema di monitoraggio on line attraverso un fittizio rapporto commerciale con la principale società di telecomunicazioni nazionale.
Il vero problema tuttavia è trovare il bilanciamento di interessi tra l’esigenza di reprimere e vietare trasferimenti illeciti di tecnologie dual use e quello di limitare lo scambio di informazioni fondamentali in ambito di security. La recente modifica del Wassenar agreement ha generato numerose polemiche, in quanto la nozione di “intrusion software” è sicuramente molto ampia e potrebbe anche bloccare l’esportazione di software utilizzati dalle società di security per la ricerca di nuove vulnerabilità.
Il terzo e ultimo profilo riguarda la fase dell’acquisto di “exploit 0-day” e di successiva produzione del software. Può e deve essere regolamentata l’attività prodromica alla creazione di un captatore? Attualmente, il nostro codice penale prevede una pena fino a 4 anni di reclusione per chi “fuori dei casi consentiti dalla legge, installa apparecchiature atte a intercettare, impedire o interrompere comunicazioni relative a un sistema informatico o telematico ovvero intercorrenti tra più sistemi” (art. 617-quinquies c.p.). Ma, tornando da dove abbiamo iniziato, la legge consente la produzione di captatori?
Queste sono le premesse per una riflessione più ampia che andrà fatta tenendo a mente che il percorso per allineare la disciplina sulle cyber-weapon a quella delle armi tradizionali è appena iniziato, ma deve diventare presto una priorità a livello nazionale. Il caso “Occhionero” è solo l’inizio, fidatevi.
