Dalle chat americane alla sicurezza dei Comuni ticinesi

Chatgate: è così, ormai, che è conosciuto lo scandalo nel quale è incappata, giorni fa, l'amministrazione Trump. Un caso, quello degli alti funzionari finiti a discutere di piani di guerra in una chat Signal, che fa riflettere. Quanto spesso informazioni sensibili, la cui segretezza è fondamentale per la sicurezza della popolazione o per gli interessi di un'azienda, vengono diffuse online tramite canali non appropriati, con il rischio di finire nelle mani sbagliate? Impossibile saperlo. Certo è che conoscere al meglio la tecnologia – in costante, anzi: esponenziale evoluzione – alla quale siamo esposti tutti i giorni è, sempre più, un bisogno primario. Qualcosa che non tocca soltanto i vertici politici o i CEO di grandi compagnie, ma anche i cittadini comuni. Ne abbiamo parlato con Alessandro Trivilini, responsabile del Servizio di informatica forense della SUPSI.

La domanda di partenza è semplice: quanto sono al sicuro le nostre conversazioni nelle app di messaggistica istantanea? «Le applicazioni storiche come Signal», ci spiega Trivilini, «sono dotate di solidi algoritmi per la cifratura dei dati e di una matematica collaudata nel tempo. Questi rendono inaccessibile, tramite crittografia, la consultazione del messaggio a persone non appartenenti al gruppo». E lo fanno, come si dice in gergo, end-to-end: da un estremo all'altro della conversazione. «Mittente e destinatario, da un punto di vista tecnico, hanno altissime probabilità che il messaggio scambiato in app di messaggistica di questo tipo venga efficacemente protetto da intercettazioni e tentativi di decifrazione».

Il problema qual è, allora? «Innanzitutto bisogna considerare il fattore umano». Un cellulare, ad esempio, può essere perso, o rubato. Ma i possibili intoppi sono tanti. «Gli Stati Uniti hanno incluso un giornalista nella chat riservata ad alti funzionari». E di fronte a errori come questo, evidenzia Trivilini, non c'è «Fort Knox digitale che tenga». 

C'è, poi, un altro aspetto da considerare: «La Svizzera – come l'Europa, gli Stati Uniti e anche la Cina – è nel bel mezzo di una rivoluzione nelle leggi sulla protezione dei dati. Oggi, in particolare, si parla di "sovranità dei dati" e "cittadinanza dei dati"». Principi, questi, che assoggettano il trattamento dei dati alle specifiche leggi del Paese in cui questi sono generati o archiviati. Due concetti fondamentali, quindi, per determinare la giurisdizione su tutto il materiale diffuso online. «È, questa, la prima domanda da porsi: i dati risiedono in Svizzera? È il nostro governo che garantisce a istituzioni, cittadini, e aziende la possibilità di accedervi – in caso di incidenti informatici, violazioni, manipolazioni – conformemente alle disposizioni sulla legge della protezione dei dati?». Perché se così non è, spiega Trivilini, la crittografia non basta, «e inviare dati sensibili su WhatsApp rappresenta un problema concreto».

Nella gestione dei dati, insomma, è meglio l'autarchia? «Considerate le regolamentazioni sempre più territoriali, la tendenza è questa: il trasferimento dei server (nei quali sono gestiti e archiviati i dati, ndr) nel proprio Paese, così da averne il controllo». In caso di incidente informatico, continua l'esperto, «a contare è proprio la riproducibilità delle prove, garantita se abbiamo i server in casa». E non a caso Threema, app di messaggistica già usata dal Consiglio federale, potrebbe presto sbarcare sui dispositivi delle autorità cantonali, come segnalato recentemente da Ticinonews. «È stata fondata in Svizzera e mantiene sul nostro territorio i propri server. Ma, soprattutto, potrebbe – chissà – in futuro garantire a istituzioni e aziende elvetiche una sicurezza maggiore grazie a registrazioni che non passino da numeri di telefono più o meno fittizi, ma da identità digitali riconosciute dall'autorità federale».

Sono, questi, giorni di grandi cambiamenti in materia di sicurezza informatica. Il 1. aprile, ricorda Trivilini, entrerà in vigore in Svizzera l'obbligo di notifica di ogni attacco informatico all'Ufficio federale di cibersicurezza. Una responsabilità che tocca tutti. «Per proteggere le proprie infrastrutture critiche – come potrebbe esserlo, ad esempio, un acquedotto –, ogni piccolo Comune delle nostre valli dovrebbe adottare, in rapporto alla sicurezza informatica, gli stessi accorgimenti presi dai grandi attori svizzeri. E questo, ovviamente, tocca anche l'uso delle app di messaggistica, dove potrebbe verificarsi lo scambio di informazioni sensibili».

Il tutto in nome di due concetti facili da comprendere: rapidità ed efficacia di intervento. «Nel caso di incidente informatico, l'obiettivo è capire cosa sia successo nel minor tempo possibile, mitigare il danno, documentarlo e portare il caso prima in sede civile per dimostrare le responsabilità, poi in sede penale». Prevenire, sottolinea Trivilini, «non basta più. Bisogna anche saper vestire i panni dell'investigatore digitale forense, saper riconoscere gli elementi che serviranno per dimostrare la responsabilità d'uso ed eventuali colpe».

In tal senso, il Servizio Informatica Forense (SIF) della SUPSI lavora da tempo con istituzioni e aziende nel campo della sicurezza. Recentemente, tuttavia, il focus è stato spostato, grazie a due nuovi corsi «unici in Svizzera, creati grazie al supporto di BancaStato», sull'aspetto "investigativo" della sicurezza informatica. «Siamo entrati nell'epoca dell'intelligenza artificiale (AI)», evidenzia Trivilini, «e ciò rappresenta un'opportunità incredibile per la criminalità informatica, che può permettersi di delegare all'AI la rapida costruzione di messaggi o contenuti verosimili e in grado di ingannare» gli utenti del web. «In questo contesto, la classica formazione sulle e-mail di phishing, benché sempre utile, non è sufficiente». L'intelligenza artificiale, riassume l'esperto, «ha potenziato le armi dei criminali informatici. A noi non resta che dare ai cittadini gli strumenti per difendersi. Prima insegnavamo alle autorità giudiziarie cantonali e nazionali come pensava un hacker. Ora facciamo un passo in più: seguendo la linea del pensiero critico, facciamo capire qual è il lavoro di un investigatore digitale».

Qualcuno potrebbe dirsi: ma non sarebbe meglio tornare alle lettere stampate, almeno per tutto ciò che riguarda informazioni sensibili? «Non possiamo sottrarci dai benefici che questa digitalizzazione dà a tutti i livelli. È tempo di preparare tutta la popolazione, responsabilizzare a ogni livello affinché i vantaggi non vengano offuscati dai rischi». Una nuova ondata di formazione, auspica Trivilini, «fatta sull'esperienza, breve ma incrementale». Piccole "pillole" che di mese in mese, «di pari passo con le novità tecnologiche emergenti», ci preparino a questo mondo. Corsi di aggiornamento? «Non chiamiamoli così. Li definirei corsi di preparazione. Deve cambiare anche il modo in cui presentiamo le cose, perché se poniamo le stesse domande otterremo le stesse risposte».