Giuliano Tavaroli è nell’immaginario di molti l’ex capo della security Telecom. Ma l’ex sottufficiale dei Carabinieri della Sezione Speciale Anticrimine di Milano, che ha lavorato a fianco del generale Dalla Chiesa, è soprattutto altro. È tra i migliori, se non il migliore in assoluto, professionisti nella security aziendale del nostro Paese. Un consulente che si occupa di innovazione digitale, sistemi esperti e relativo impatto su società e sicurezza. Lo cerchiamo per avere un giudizio sulla vicenda Exodus, il malware creato dall’azienda E-Surv di Catanzaro che lavorava con le forze dell’ordine e su cui sta scavando la procura di Napoli. «Partiamo - afferma Tavaroli - dal concetto che lo sviluppo di tecnologie nel campo della cyber sicurezza e dello spionaggio è una competenza che lo Stato deve assumere in prima persona. Così come ha il monopolio della violenza deve esercitare il monopolio su queste tecnologie».
Sta dicendo che a sviluppare malware, trojan spyware e via infettando deve essere un organismo pubblico e non un’azienda privata?
«Esattamente. Gli organi della sicurezza dovrebbero essere dotati delle competenze e delle risorse economiche per sviluppare in house tecnologie di questi tipo. Lo Stato non può dipendere dal mercato per sviluppare questo genere di competenze tecnologiche e di prodotti. Abbiamo il Ris e la polizia scientifica, sarebbe ora che si investisse con uguale impegno sulle capacità di sviluppare in proprio le tecnologie informatiche. La vicenda Exodus, ma non solo questa, ché tante sono state le avvisaglie nel passato recente, ci dicono che il sistema così com’è non funziona. Penso che la magistratura, le forze dell’ordine e i servizi di intelligence dovrebbero avere al proprio interno tutte le capacità per sviluppare in proprio questi tipi di attività investigative. Ovviamente, sempre ammesso che qualcuno decida di mettersi su questa strada ci vorrà del tempo».
E nel frattempo?
«Nel frattempo serve una certificazione delle aziende che offrono questi servizi all’autorità giudiziaria e agli organi di sicurezza. E ovviamente una regolamentazione di questi strumenti anche ai fini processuali».
A vedere la E-Surv e la sua disinvoltura nell’infettare i device di miglia di persone pare che di controlli ne siano stati fatti ben pochi.
«La E-Surv ha un amministratore delegato di 72 anni. Già questo fatto qualche sospetto lo doveva destare. Mi chiedo come poteva una società così poco affidabile essere qualificata come fornitore dell’autorità giudiziaria. Il nodo è centrale. Che tipo di controllo viene svolto su queste aziende? Che tipo di certificazione hanno? C’è o no un albo? Il fornitore di beni e servizi della Difesa deve ottenere il Nos, il nulla osta sicurezza, mi sembrerebbe il minimo estendere questa normativa anche alle aziende che forniscono tecnologie informatiche dual use, ovvero non appositamente progettate per uso militare, ma che possono anche essere utilizzate per scopi militari e non legittimi. Basti pensare al caso Khashoggi: l’Arabia Saudita ha usato virus informatici come Exdous per spiare il giornalista saudita».
Fabio Ghioni, esperto di sicurezza e tecnologie non convenzionali, sostiene che i virus informatici sono inutili ai fini delle indagini. Concorda?
«L’utilizzo dei malware ai fini di indagine da parte dell’autorità giudiziaria è legittimo ed è stato previsto anche nella legge cosiddetta spazza corrotti. In quella norma c’è il via libera alla intercettazioni grazie all'utilizzo dei trojan. E’ stata infatti prorogata l’introduzione dei paletti all’utilizzo dei trojan per le intercettazioni tra presenti. La riforma prevede poi che le intercettazioni siano consentite nei luoghi privati, tipo le abitazioni, quando vi sia motivo di ritenere che si stia svolgendo un'attività criminosa. Il punto allora è un altro, e qui Ghioni ha perfettamente ragione , ovvero ci deve essere la possibilità di certificare come quel materiale è stato acquisito e attraverso quali strumenti e come è stato certificato digitalmente. Ma questo vale per qualsiasi prova processuale».
Ma le mille e passa persone spiate, a suo avviso, sono state spiate per caso?
«No, assolutamente non può essere successo per caso. Uno dei responsabili tecnici della E-Surv ha detto che si trattava di test. Ora testare questa tecnologia su mille persone ignare lascia parecchio perplessi. Mi sento di escludere che uno spyware messo su Playstore possa essere stato scaricato da mille persone per sbaglio. E’ evidente che quel malware è stata scaricato inconsapevolmente da persone a cui è stata inviata la mail con un link esca. Dunque era una cosa studiata. Con una lista di persone mirata. Spionaggio, vendita di dati personali per uso commerciale: i motivi possono essere molteplici. Aspettiamo le risultanze delle indagini».
È vero che i virus informatici sono molto meno costosi per le indagini delle intercettazioni telefoniche?
«Verissimo. Ma non solo. Queste tecniche di indagine sono molto più invasive delle ordinarie intercettazioni telefoniche: con un malware possono scaricare la tua agenda, sapere dove sei in quel preciso momento, scaricare le tue mail Sono strumenti di indagine molto validi. Però al momento manca completamente un regolamento sull’utilizzo di queste tecnologie, un regolamento che, ad esempio, vieti di registrare e mettere su cloud fuori dall’Italia, i contenuti di queste attività».
In Francia Macron ha deciso di investire un miliardo e mezzo per gli strumenti di cyber war. In Italia, a parte il varo del Nis, il Dipartimento delle informazioni per la sicurezza nel 2017, a che punto siamo sulla cyber war?
«Non ci siamo proprio. C’è una partita e non siamo neanche in campo. Siamo, nella migliore delle ipotesi, al campionato amatoriale».
Commenti