Il cyberspazio ha un inviato speciale, tutto italiano. Si tratta di Carola Frediani, giornalista genovese che da anni segue l’evoluzione del settore più critico del nostro tempo: la cybersicurezza.
Carola ha scritto libri (l’ultimo si intitola #Cybercrime. Attacchi globali, conseguenze locali) e un romanzo (Fuori controllo) per raccontare al meglio la rete, oltre a inchieste su giornali nazionali e lunghi reportage. Pubblica inoltre ogni domenica una newsletter sulla sicurezza digitale, Guerre di Rete, che è il punto di riferimento degli esperti italiani del settore, e da poco tempo è diventata cybersecurity awarness manager di una multinazionale online. Carola è la persona perfetta per capire cosa sta succedendo alle nostre vite in rete, quali pericoli ci sono e cosa è invece “fiction”, semplicemente fantasia inventata dai mass media e alimentata dal digital divide, e non un reale pericolo.
Cominciamo proprio da quest’ultimo punto, Carola: quali pericoli non ci sono in rete, dai fraintendimenti dei mass media alle fake news sulla sicurezza digitale?
Bella domanda. I pericoli sono quelli che derivano dalle stesse opportunità e libertà che la Rete ci offre. Lo dico perché è importante impostare la questione in questi termini. Anche se negli ultimi anni mi sono occupata molto di privacy, cybersicurezza, sorveglianza, cybercrimine, cyberspionaggio, quindi se vogliamo proprio dei pericoli e dei rischi, e meglio ancora dei conflitti politici che si combattono su questi temi, bisogna sempre ricordarsi che questi sono solo un aspetto – certamente importante, e su cui servono molta educazione e informazione – della Rete. Conoscere questi fenomeni serve non solo e non tanto a proteggersi, per quanto possibile (sappiamo che la sicurezza non è mai assoluta), ma anche a evitare di subire passivamente l’agenda politico-mediatica di qualcuno, per cui certe angolazioni, dettagli o fenomeni sono gonfiati o distorti per spingere un determinato interesse.
Un esempio concreto?
Che il cosiddetto Dark Web (o meglio, le darknet) contenga solo tutto il peggio immaginabile del creato; e che sia vastissimo. O che la diffusione della cifratura sia un problema insormontabile ed esiziale per chi fa indagini. O che sicurezza (intesa in senso generale) e privacy siano in contraddizione. O che una qualunque compromissione di dati di una qualsiasi organizzazione, compromissione causata magari da una cattiva cyber igiene o da un’assenza di adeguati controlli interni, sia stata dovuta a un “sofisticato attacco di origine statale”. C’è un passaggio del libro Cypherpunks che mette in guardia dai 4 cavalieri dell’infoapocalisse: pedopornografia, terrorismo, lotta alla droga e riciclaggio. Malgrado siano tutti problemi reali e seri, quando sono invocati retoricamente, in relazione alla Rete, bisogna alzare le antenne. Perché dietro potrebbe esserci la tentazione di usarli per far digerire leggi speciali.
Quali pericoli invece corriamo realmente oggi in rete? Sia dal punto di vista dei singoli che per esempio nella sfera sociale e politica?
I rischi che possiamo incontrare sono diversi in base al profilo e alle attività di singoli e organizzazioni. Per questo è molto difficile dare indicazioni generali. Tuttavia possiamo dire che le persone “comuni” rischiano sempre più spesso di incrociare quasi per caso episodi di cybercriminalità, come quando aprono un allegato che infetta il loro pc con un ransomware, cifra i file e chiede in cambio un riscatto; ma possono anche essere vittime di perdite di dati causate da violazioni di siti o servizi cui si erano iscritti. O ancora possono rischiare di avere il loro telefono compromesso da un partner geloso, che magari ci installa sopra un software spia commerciale. Ce ne sono di parecchi di stalkerware, così sono definiti. Aziende, amministrazioni e ospedali invece rischiano di avere le loro attività bloccate da malware, software malevoli, con danni sempre più ingenti. Aziende che fanno ricerca o hanno proprietà intellettuale di valore rischiano di essere depredate dal cyberspionaggio. Insomma, gli scenari possono essere tanti.
Hai scritto reportage sulla scena dell’hacking italiano. È l’occasione per farti due domande al riguardo. La prima è: chi sono veramente gli hacker? I cattivi della rete o qualcosa di diverso?
Dare una definizione universale e sintetica è molto difficile. C’è un bell’articolo di HackerOne, piattaforma che mette in contatto hacker e aziende, che tenta una definizione collettiva, dal basso: il concetto ricorrente è quello di qualcuno che, in genere in modo creativo, o comunque usando delle specifiche capacità, riesce a risolvere un problema, a individuare una mancanza, o una falla in un sistema o tecnologia, a trovare qualcosa che altri non trovano, a migliorare qualcosa che non funziona come dovrebbe, e così via. Oggi, sui media in lingua inglese, anche specialistici, la parola hacker è essenzialmente neutra. Può indicare un ricercatore di sicurezza impegnato solo a a difendere e migliorare sistemi; uno che trova vunerabilità nei software e le segnala alle aziende; uno che scrive exploit, attacchi, usati da governi e intelligence; un cybercriminale che ha violato un sistema, rubato dei dati; una cyberspia che lavora per un Stato, ecc.
La seconda domanda è relativa all’hacking italiano: cosa hai visto? Chi lo popola? Chi se ne occupa?
Guarda, la scena dell’hacking italiano è sempre stata molto viva, e per saperne qualcosa di più c’è una bella, recente presentazione di Stefano Chiccarelli. Ancora oggi lo è, e ancora negli ultimi anni sono emerse varie manifestazioni, eventi, incontri di cybersicurezza e hacking. Sono nate aziende, molti dei nostri ricercatori sono finiti all’estero a lavorare. Forse quello che manca è un tessuto economico, politico e culturale in grado di dare qualche possibilità in più a chi si dedica, in Italia, a questi argomenti.
I “cattivi” in rete vengono spesso tratteggiati come ladri e comuni criminali, ma c’è un altro capitolo che sta diventando sempre più importante: l’impatto della politica e degli Stati nel cyberspazio. Qual è il tuo punto di vista per la democrazia e le libertà civili in Italia e fuori?
C’è una forte tendenza, in questo momento, da parte dei governi a volere più controllo sulla Rete in nome di varie cose: cybersovranità; lotta all’hate speech; demonizzazione dell’anonimato; cyberspionaggio; indagini contro criminali e terroristi. Nel mentre si stanno diffondendo tecnologie come il riconoscimento facciale, o il machine learning (AI) anche nel campo della sicurezza. Già oggi in alcune frontiere l’accesso al telefono dei viaggiatori è considerata una pratica accettabile, che non richiede un mandato di un giudice. E siamo solo all’inizio. Sono pezzi di un puzzle ancora confuso, ma quello che già si intravede è una minaccia alle libertà e ai diritti fondamentali delle persone. Bisogna che la società e i cittadini facciano sentire la loro voce su questi temi adesso.
Quali consigli e risorse ci puoi indicare – magari anche qualche libro da leggere – per muovere i primi passi verso una consapevolezza come cittadini digitali più responsabili?Individuate giornalisti di riferimento e seguiteli, su Twitter o altrove. Leggete media specialistici su questi temi, più che i generalisti. Libri ce ne sono tantissimi, c’è solo l’imbarazzo della scelta, se proprio non sapete da dove iniziare provate dall’autobiografia di Edward Snowden, Errore di Sistema. Per le guide di base sulla sicurezza segnalo il progetto Privasi, il manuale Riprendiamoci la Rete. Piccolo manuale di autodifesa digitale, la Guida Galattica di Autodifesa Digitale.