Giuliano Tavaroli

L’Eldorado degli hacker conta gli affari in criptovalute e non si prende più la briga di cambiare i proventi delle estersioni con dollari o euro o yen. E’ questa la chiave di volta che spiega il boom dei ricatti digitali, a detta di un vero esperto, uno che ha fatto della cybersecurity una professione dapprima nell’Arma dei Carabinieri e poi nel privato, e precisamente in Pirelli e quindi in Telecom: Giuliano Tavaroli. Discusso quanto si vuole – proprio per lo “scandalo Telecom”, cioè per intercettazioni illecite, su cui ha patteggiato – ma competente, e non per sentito dire. Ed anche perché la sicurezza, soprattutto informatica, è il lavoro che fa oggi a Pavia, come senior advisor della Strategic Risk Consulting.

Dunque, Tavaroli: se gli hacker impazzano lo si deve anche al boom dei Bitcoin?

Be’, incassano i loro riscatti solo in criptovalute. Potersi far pagare in cripto è diventato il vero acceleratore del fenomeno. Oggi il boom delle criptovalute va esaminato da due prospettive. Quella geopolitica, della guerra ibrida o asimmetrica, tra Stati e tra Stati e privati. E quella della malavita organizzata, digitale e non. La vera novità arrivata con le criprovalute è la possibilità di beneficiare del crimine, perché con le criptovalute incassare è molto più facile. Negli Stati Uniti si stima siano stati pagati agli hacker 4,5 miliardi di dollati in criptovalute per riscattare siti e database.

E la polizia?

Può farci ben poco. L’unico grande successo fu quello per Colonial Pipeline, quell’hackeraggio che aveva bloccato la distribuzione del petrolio sulla costa est degli Stati Uniti. Li venne intercettata e bloccata una parte del riscatto. Tutto questo deve farci capire che stiamo andando verso un mondo di economia digitale non tracciabile, sempre più vicino al metaverso. In cui il comune cittadino è ipertracciato e iperspiato, ma l’hacker è intracciabile.

Un’opportunità pazzesca!

Sì! Le criptovaluta sono state un fattore di accelerazione del crimine informatico perchè hanno reso facili le transazioni. Ora, così, le gang criminali di molti Paesi offrono il loro ransomware in modalità “as a service” ad altri gruppi che veicolano altri attacchi. E intanto le criptovalute viaggiano come una moneta diretta di scambio per merci e servizi, in un vero e proprio mercato parallelo. Miliardi di dollari scambiati. Aziende ricche e fuori dalla concorrenza con le altre. Gli X Factor degli hacker di tutto il mondo sono tre: facilità di scambio, intracciabilità e dunque anonimato di incassi e spese.

E gli Stati?

A  volte sono nel giro. Pensiamo agli “zeroday”…

A cosa?

Gli “zeroday” sono i fattori di vulnerabilità di un sistema – un errore, una linea di codice scritta male – non ancora scoperti o corretti dai produttori, che se bene utilizzati consentono agli hacker di bypassare i sistemi controllo. Ad accaparrarseli spesso sono proprio gli Stati, che usano gli Zeroday per intelligence sia offensiva che di spionaggio, come la Nso israeliana per prevenire e contrastare gli attacchi dall’Iran.

Un rischio enorme!

E c’è dell’altro. A brevissimo gli hacker applicheranno tecniche sempre più evolute, perché hanno risorse economiche indipendenti dagli Stati che li proteggono e li usano.

Ma questi hacker da dove provengono?

La loro si chiama guerra ibrida perché consente ad attori statali di attaccare nell’ombra i nemici di fatto. L’Iran attacca Israele, gli Usa investono moltissimo per tentare di dominare questo spazio di conflitto digitale, la Russia coltiva talenti con una propria, forte cultura tecnologica giovanile: tutti i Paesi ex sovietici, il Messico, l’Iran hanno tutti un fiorente mercato di gruppi criminali che operano nel ramsonware. In questi casi, la richiesta del riscatto è il punto finale, d’arrivo. Gli attacchi durano mesi magari senza rivelarsi: entrano nei sistemi, ti studiano, dai tuoi sistemi muovono verso altri, e sferrano l’attacco facendo partire il virus che cripta i dati. Solo allora ti chiedono il riscatto. Ma spesso non lo fanno neanche, ti esportano i dati, c’è un fiorentissimo mercato delle false identità digitali, delle aziende, del know how tecnologico ed economico. Il pericolo del ramsonware è diventato pubblico e famoso ma è solo un aspetto visibile, molto più piccolo della realtà.

E le aziende?

Non denunciano! Non lo fa nessuno, c’è la fase di trattativa, c’è il danno economico, ma i più tendono a è pensare che il danno del comunicare sia peggio di quello del pagare. Evitano di fare desclosure.

Che fare?

Domanda cosmica. E’ un problema di risorse economiche. Di competenze. Forse l’Italia ne ha di più di altre. Però mancano i professionisti della cybersecurity, siamo indietro, laureiamo pochi informatici, siamo un paese vecchio, un po’ destinato ahimè ad avere una posizione ancillare, in Europa, dove peraltro il tema andrebbe affrontato alla radice. E poi c’è un dato di fatto: nelle aziende e nella P.A. la sicurezza informatica, checchè se ne dica ai tavoli istituzionali, non c’è. Non c’è una spesa vera, non ci sono investimenti veri sulla sanità, tra le aree più colpite, ed è basato tutto basato sulla performance. E’ un’atteggiamento emergenziale di cui oggi vediamo tutti i rischi. Chiunque ha un minimo di attenzione al tema non può non notare che siamo vicini a uno scenario che potrebbe avere effetti futuri disastrosi. Perché stiamo integrando tutto! Le macchine sono supersensorizzate, hanno la guida autonoma, un oggetto che era metallo e motore è diventato digitale. Ora è possibile interferire con i sistemi di guida di un’auto… per ragioni di domanda, però, di accelerazione dell’economia, stiamo andando più veloci di quel che invece serve per fare della progettazione nativa.

Come possono difendersi un privato, un imprenditore?

Il primo passo è porsi il problema. Ho l’impressione che, proprio in quanto viviamo in un mondo dove c’è un delta culturale manageriale, chi governa le aziende non sono millennials e non arrivano da una cultura digitale. Sono spesso manager bravissimi ma senza leadership su questo tema. Ancorchè si spenda in sicurezza, e non lo si fa abbastanza, questa resta una battaglia molto difficile da combattere e da vincere, richiede un approccio sistemico dove istituzioni e aziende facciano ciascuna la sua parte. Invece abbiamo un tessuto economico fatto di Pmi fornitrici di imprese più grandi, quindi la supply chain della sicurezza è complessa, non riusciamo ad applicare il concetto paretiano dell’80% dei problemi risolti dal 20% delle risorse, no. Queste Pmi sono locali, diffuse, il loro know-how tecnologico è relativo, ciascun distretto fa storia a sé. Noi abbiamo un tessuto economico resiliente ma vulnerabile a questo tipo di attacchi.

Il Pnrr si occupa del problema, però….

Con pochi soldi: dai numeri che leggo, nel Pnrr sulla cybersecurity ci sono 600 milioni. La nostra nuova Agenzia ha stanziato nel triennio 22-24 ben 122 milioni. Peccato che il suo equivalente britannico stanzia 3,5  miliardi di sterline. E la Nsa ben 40 miliardi di dollari. O ci decidiamo a fare sul serio oppure sarà tutto inutile. C’è il  rischio di una guerra fredda digitale. Se questa guerra richiede di mettere insieme le risorse, ci sarà uno spartiacque tra chi partecipa e chi no. Poniamo che io venga informato di uno Zeroday. Cosa faccio, se sono negli Usa: lo dico agli americani o lo uso in Francia? E’ un crimine nato ed accelerato da un’economia digitale che l’ha reso facile e remunerativo. Gli Usa hanno stimato che, alla luce degli attacchi subìti, la spesa in sicurezza digitale da parte della sanità privata, tarata sul 2,5-3,5% dei ricavi, non basta. E hanno dedotto: dobbiamo portarla al 7%. Quanto spende in sicurezza informatica la sanità pubblica italiana, che vale 180 miliardi? Non più di 7-8 miliardi, la metà del necessario.

Ma quanto sarebbe giusto investire per proteggersi?

Diciamo che il signor Rossi, imprenditore del tessile varesotto, che fa 100 milioni di ricavi, dovrebbe spendere 5 milioni per la sua sicurezza. Ma non lo fa perché per lui l’It è un costo. Investe piuttosto nelle nuove macchine utensili. E non si rende conto che la sicurezza informatica è un fattore di competitività e creazione del valore. Iniziamo a parlarne e ad alzare il livello di sensibilizzazione. Se fai il 3,5% di investimenti in cybersecurity sul fatturato è un primo criterio soddisfacente! Lo Stato faccia il 110% anche sulla sicurezza.