La spy story dei fratelli Occhionero e la lista di nomi illustri. Tra spionaggio e carenza di misure di protezione, emerge un quadro di carenza di cultura della sicurezza delle vittime e non di bravura (ce ne vuole davvero poca) degli aggressori
Lenticchie, uva passa, prosecco, Moscato d’Asti, informazioni riservate. Il nostro inizio d’anno è stato integrato da qualche elemento augurale per quelli che si occupano di sicurezza. È la storia – triste e buffa al contempo – degli “Occhionero Bros.”, protagonisti di un dossieraggio che ha rapidamente appassionato l’opinione pubblica. I mezzi di informazione sono stati catalizzati da una vicenda che stupisce e spaventa la gente comune, mentre commuove chi queste cose le conosce un pochino di più.
Mentre l’attenzione dei quotidiani si è incentrata sui due 006,5 e 008,1 (troppo approssimativi per meritarsi la numerazione di James Bond…), poco si è detto dei personaggi illustri che hanno costituito il bersaglio delle presunte scorribande informatiche. Per evitare che questi VIP e i componenti del loro entourage si sentano trascurati, ho pensato di dedicare a loro lo spazio di questo consueto appuntamento. L’ordinanza del giudice per le indagini preliminari sembra un estratto del memorabile “almanacco di Gotha”, l’annuario dell’aristocrazia politica, diplomatica e finanziaria pubblicato dal 1763 al 1944. Il provvedimento, infatti, snocciola una sequela di nomi importanti e mette in evidenza che – se non davanti alla legge – dinanzi a un computer siamo tutti uguali. La vulnerabilità dei dispositivi che ci accompagnano quotidianamente si riverbera su chi se ne serve e poco importa se il tizio è soggetto di alto lignaggio. Il malware se ne frega del fatto che il suo bersaglio non risponde mai personalmente al telefono, è filtrato da mille assistenti e segretari, circola protetto da una scorta armata, è sempre e comunque inavvicinabile. Il malware fa liberamente il suo mestiere, rispettando riga dopo riga le istruzioni che è chiamato a impartire all’apparato su cui si è andato ad annidare. Il vero problema è nella condotta di chi si è fatto abbindolare da qualche allegato “birichino” arrivato con la posta elettronica oppure è involontariamente inciampato in qualche altra trappola sul web. La questione, a dispetto delle altrui e mie inutili chiacchiere, è di carenza di cultura della sicurezza delle vittime e non di bravura (ce ne vuole davvero poca) degli aggressori.
I veri colpevoli dell’intera spy story sono proprio loro. Possibile? Qualcuno paragonandomi allo sposo di “Alice” di Francesco De Gregori dirà “è impazzito, oppure ha bevuto…”. Pur allattato a Barbera, per fin troppo ovvie ragioni di provenienza geografica, scrivo in stato di assoluta sobrietà. Le responsabilità puntuali cui faccio riferimento sono di carattere culturale, organizzativo e tecnico. La totale insensibilità e indifferenza alla grana della digital security è un nodo giunto al pettine. Aver snobbato una preoccupazione esageratamente naturale mi sembra profondamente imperdonabile. L’essersene fregati si è andato a tradurre nella mancata adozione di cautele comportamentali e di precauzioni software, che se invece fossero state implementate non avrebbero portato al risultato che è dato leggere sulla stampa o ascoltare dalle emittenti radiotelevisive.
A voler esser pignoli, il codice della privacy (il decreto legislativo 196 del 2003) non solo stabilisce l’obbligo di predisporre idonee misure di sicurezza ma “si permette” di punire chi non ottempera a tale specifico adempimento (per il soddisfacimento del quale il legislatore ha persino predisposto un dettagliatissimo “allegato B” al provvedimento normativo). Non è finita. Gli articoli del codice penale inerenti i crimini informatici sono caratterizzati da un inciso non proprio insignificante in cui si legge “protetto da misure di sicurezza” e riferito alla condizione basilare in cui deve trovarsi il sistema informatico perché si realizzi compiutamente la fattispecie di reato. Ne consegue che l’accesso abusivo e il danneggiamento si realizzano sotto il profilo penale solo se il sistema è protetto. E allora come si va a mettere la questione? Il 2017 si profila interessante.
