Spionaggio di massa. Liquidarlo come un semplice “errore” non è possibile. C’è qualcosa di più grave. Intanto una superficialità di chi invece dovrebbe per dovere istituzionale, controllare. La vicenda del malware Exodus deflagra inaspettatamente nel dibattito politico e mette in discussione tutto l’impianto della cibersecurity italiana. Sarebbero un migliaio le persone intercettate da un software spia creato da un’azienda italiana - la E-Surv di Catanzaro - che lavora con le forze dell’ordine, società che non si esclude possa aver agito in contatto con ambienti paralleli ad apparati di sicurezza dello Stato. Ipotesi che getta una luce inquietante sulla vicenda e chiama in causa politica ed apparati di sicurezza. A fare la scoperta sono stati la Security without borders, una associazione no-profit che esegue spesso investigazioni su minacce contro dissidenti e attivisti per i diritti umani, e la rivista Motherboard. Il software Exodus viene utilizzato per intercettare degli indagati ma - secondo quanto riferisce il blog dell'associazione - alcuni «hacker di Stato» avrebbero infettato per mesi gli smartphone di un considerevole numero di persone grazie ad app malevole per Android, caricate sul PlayStore ufficiale di Google. Sulla vicenda sta indagando la Procura di Napoli: è nel capoluogo partenopeo, infatti, che il malware è stato infatti individuato la prima volta. La società E-Surv sembra intanto essere sparita da Internet. Se si va sul sito della società, alla voce “contatti” appare un desolante e per nulla rassicurante “notfound”. Della vicenda si dovrebbe occupare nei prossimi giorni il Dis, il dipartimento che coordina l’attività delle agenzie di intelligence. Il garante per la Privacy, Antonello Soro, ha parlato di «fatto gravissimo».
Le reazioni della politica non si fanno attendere. E virano tutte sul fortemente preoccupato per lo scenario che si sta delineando. Per la parlamentare di Forza Italia Renato Polverini «giustamente il garante della privacy Soro ieri interveniva con grande preoccupazione rispetto alla violazione di milioni di telefonini di italiani incensurati. Questo in un Paese democratico non può accadere mai e soprattutto non deve accadere per mano di società private che hanno lavorato o che lavorano per lo Stato. Sarebbe urgente che il responsabile del settore della cybersecurity, Roberto Baldoni, vicedirettore generale del Dis riferisse al Copasir al fine di dare il giusto supporto alla politica per comprendere che cosa è davvero avvenuto. Nel frattempo anche la magistratura farà il suo corso ma la gravità di quanto è accaduto è tale da non ammettere rinvi». Dal canto suo il sottosegretario alla Difesa il Cinque stelle Angelo Tofalo auspica che «le Istituzioni delegate ad assicurare una risposta coordinata agli eventi cibernetici facciano quanto prima i necessari accertamenti e forniscano tutti i chiarimenti necessari». Tofalo si dice «fiducioso che la magistratura intraprenderà al meglio la propria azione accertando tutte le responsabilità confidando sul fatto che nessuna Istituzione abbia fatto un uso illecito del malware Exodus». Il deputato del centrosinistra Serse Soverini si dice stupefatto e incredulo del fatto che la scoperta del malware arrivi dai giornali e non «dalle autorità preposte. La privacy di migliaia, forse di milioni, di italiani è stata violata. Non si tratta di persone accusate di qualche crimine , non si tratta di inchieste in corso, si tratta di cittadini che dovevano essere garantiti nei loro diritti da uno Stato che invece per incompetenza, disattenzione o sottovalutazione ha consentito una intrusione da parte di privati nei loro telefonini attraverso strumenti cibernetici che andrebbe monitorati con grande cura. Sarebbe opportuno che ci fossero investimenti sulla preparazione delle forze dell’ordine in modo da tenere alcune funzioni non esternalizzabili a ditte private. E questo proprio a garanzia della sicurezza dello Stato». Di «realtà che supera la fantasia» parla l’ex parlamentare Fabrizio Cicchitto, secondo il quale «quello che è avvenuto è di una gravità straordinaria che richiede non solo l’intervento dell’autorità preposta ma di quella stessa magistratura che si serviva per le sue intercettazioni dei responsabili di questa gravissima operazione».
L’ex presidente di Palazzo Madama e attuale senatore di Forza Italia si pone una serie di preoccupati interrogativi: «C’è’ stato un omesso controllo? Per quale motivo? Ritengo che un Paese democratico come l’Italia debba fare luce su quanto accaduto anche perché si tratta di reati gravi e giustamente stigmatizzati anche dal garante privacy Soro. La magistratura farà il suo corso. Ma nel frattempo la politica deve capire cosa non ha funzionato e se i dati sono stati utilizzati impropriamente e da chi». Il fatto che nessuna delle autorità preposte sapesse nulla è fatto gravissimo rincara la dose Gianfranco Librandi, del Pd, che chiede: «Con quale autorizzazione è stata effettuata una violazione vibratamente sanzionata dal garante sulla privacy Soro? Perché nessuno delle autorità preposte sapeva nulla? Si tratta di un fatto gravissimo per un Paese democratico».
Insomma è emergenza cybersecurity. E che d’altronde il Belpaese sia da questo punto di vista «particolarmente vulnerabile» lo certifica pure il Centro Studi di Confindustria nel suo rapporto di Primavera che arriva all'indomani della scoperta del malware . Una vulnerabilità che deve fronteggiare una situazione preoccupante: «nel corso dell'ultimo anno gli attacchi cibernetici sono quintuplicati», si apprende dal rapporto che ricorda come «almeno il 20% di essi siano stati rivolti contro obiettivi pubblici e privati e siano stati perpetrati da gruppi di spionaggio, quindi con finalità di sottrazione di informazioni sensibili, mentre il 5% ha avuto una matrice terroristica». La preoccupazione di Confindustria e che la moltiplicazione degli attacchi informatici potrebbe compromettere lo sviluppo legato alla digitalizzazione. Per questo gli imprenditori sollecitano un ventaglio di interventi: proseguire lungo la strada delle agevolazioni pubbliche per investimenti in cybersecurity da tradurre in sgravi fiscali; puntare sulle competenze digitali confermando anche per il futuro il credito di imposta alle imprese per i costi di formazione del personale in tecnologie 4.0 che comprende anche competenze in cybersecurity; creare una filiera nazionale che coinvolga istituzioni pubbliche, imprese, università e centri di ricerca; rafforzare il ruolo Ue.
Rimane che, nonostante i passi in avanti fatti in questi ultimi anni, la materia della sicurezza informatica andrebbe probabilmente regolata in maniera molto più stringente di quanto sia stato fatto nel 2017 con il Piano nazionale per la protezione cibernetica e la sicurezza informatica.
di Giampiero Cazzato
Comments