Prof. Piluso, come nasce l’idea di proporre, e poi avviare, dei corsi legati all’intelligence in ambito cibernetico?
Innanzitutto, è prodromico da parte mia fare una piccola apertura sul contesto sociale che ci caratterizza e spesso fagocita. Mi riferisco al fatto che l’attuale società è sempre meno legata a parametri fissi, ma diventa sempre più dinamica (o “fluida”, parafrasando Bauman) dando vita ad una sorte di deculturazione rispetto alle precedenti generazioni. La vita oggi è più che mai vissuta sul web: dai social, al digital banking, alle criptovalute, solo per citare tematiche inerenti alle mie discipline di studio, per terminare allo smart working, erogabile da casa o da un’isola esotica! Tutto ciò ha un costo sociale enorme in termini di virtualizzazione della realtà, nociva a mio dire soprattutto per le giovani generazioni, ma anche un costo enorme in termini di privacy e di rischi cibernetici sempre in fieri.
Durante il mese di dicembre 2020, in occasione di un convegno telematico sui crimini finanziari da me fortemente voluto, importantissimi relatori intervenuti su base nazionale argomentavano come il vero rischio economico-finanziario dei nostri tempi, non ancora del tutto percepito in verità, fosse proprio quello di tipo cyber. Del resto, il tanto dibattuto Programma “Next Generation EU” pone tra gli interventi prioritari in ambito europeo proprio gli investimenti in Cyber Security, atteso l’elevato rischio che si percepisce tra i Policy Makers Europei negli anni a venire.
Da questi e altri spunti di interesse è nata l’idea di partecipare al contest nazionale indetto dall’INPS per la formazione del personale appartenente alla PA, con evidente netta prevalenza delle forze dell’ordine, sul tema nevralgico della Cyber intelligence.
Lei sostiene che i rischi del fenomeno non sono ancora del tutto percepiti; a quanto ammontano secondo lei e che caratteristiche mostrano?
Il rischio è estremamente alto se consideriamo che tutti i dati sensibili del nostro agire, e quindi una buona parte della nostra vita, sono disponibili online. Ciò ha certamente un impatto fortemente emotivo per ciascuno di noi in termini di rischio di violazione della propria privacy, ma anche in termini economici e di profilatura delle nostre abitudini o capacità di spesa.
Basti ad esempio guardare ai siti di vendite delle compagnie aeree, le quali riescono a stimare la nostra capacità di spesa e profilare per ciascuno di noi un prezzo che potrebbe oscillare dal 10% al 30%. Da un altro punto di vista, i tanto famigerati social network utilizzano software di riconoscimento facciale che sono in grado di profilare interamente i lineamenti e i tratti somatici dalle foto pubblicate e memorizzarli nelle loro banche dati. Queste informazioni saranno inevitabilmente vendute a terzi (vedi caso Tik Tok) oppure sottratte tramite attacchi informatici; attualmente l’impiego maggiore di questa tecnologia avviene in Cina dove i complessi sistemi di sorveglianza identificano e scannerizzano ogni singolo cittadino tracciandone i movimenti, anche grazie ai sistemi GPS all’interno degli SmartPhone.
Questo fenomeno tuttavia diventa oltremodo pericoloso per le aziende reali o finanziarie, le quali vengono hackerate e spesso ricattate per riavere indietro i propri dati. Pensiamo anche allo spionaggio industriale o legato (anche) alla ricerca universitaria brevettabile, alle transazioni finanziarie sul deep e dark web, ai trojan sui telefoni di ministri o capi di Stato.
A titolo di esempio, basti considerare che già nel 2015 Fiat-Chrysler richiamava 1.4 milioni di veicoli poiché vulnerabili agli attacchi informatici attraverso emettitori GPS, dalle dimensioni di una moneta, che permettevano di tracciare il veicolo.
Mi chiede il perché il fenomeno è serio? Ebbene, la società di sicurezza Proofpoint ha condotto un’analisi approfondita sulle misure di protezione messe in campo dai principali siti italiani di e-commerce, verificando la presenza e la completa implementazione del protocollo DMARC. Questo protocollo impedisce ai cyber-criminali di impossessarsi dell’identità di un’organizzazione e riduce il rischio di frodi via e-mail per i clienti. L’analisi ha preso in considerazione i dieci principali siti di e-commerce italiani e, complessivamente, un totale di 79 siti web. Il risultato non è confortante: quasi il 90% dei siti non protegge adeguatamente il cliente dai rischi di frode online via posta elettronica.
Secondo una stima di Clusit (Associazione italiana sicurezza informatica), negli ultimi 9 anni abbiamo assistito a una media di 94 attacchi al mese. Una tendenza che aumenta a passo sostenuto: nel 2018 sono stati 129, nel 2019 ben 137. Nel trimestre gennaio – marzo 2020 si sono registrate 230.000 “ondate” di MalSpam al Mondo. Il 6% di questo dato (approssimativamente 14.000) è rivolto esclusivamente all’Italia, ovvero 4.600 attacchi in un mese, un numero pari a 34 volte superiore rispetto allo stesso periodo del 2019; gli attacchi classificati come “gravi” nell’intero anno sono stati in totale 1.670, in media uno ogni 5 ore, il 7% in più rispetto all’anno precedente e il 91,2% in più rispetto a cinque anni prima. Il fenomeno dunque è in crescita a dir poco esponenziale.
Tutto ciò ha ovviamente ricadute economiche molto importanti: un report condotto da Ponemon Institute per conto di IBM Security ha mostrato come ogni violazione di dati sulle organizzazioni costi in media all’azienda impattata 3,86 milioni di dollari a livello globale e 2,90 milioni di euro in Italia. Tra i settori maggiormente colpiti troviamo al primo posto quello finanziario, seguito da quello farmaceutico e dal terziario.
Ritorniamo al suo Corso: quali sono le sue aspettative e che valore formativo si attende di conseguire?
Beh, le mie aspettative sul Corso sono molto alte in quanto la scelta che abbiamo compiuto è stata quella di mirare all’eccellenza in seno al corpo docente. Ho sempre ritenuto, ed ho sempre cercato di implementare ciò nella mia attività di docenza, che un buon professore debba essere quello che, accanto al contributo teorico, abbia sperimentato delle attività pratiche, sul campo, al fine di offrire una sintesi formativa che si regga su questi due pilastri. In virtù di ciò, i docenti scelti per il Corso rientrano tra le più alte cariche dell’intelligence italiana, della diplomazia internazionale, dei vertici delle Forze dell’Ordine. Cito, tra tutti, Paolo Poletti, già Vice Direttore dell’Aisi e dell’Aise e il Generale della Guardia di Finanza Carlo Villanacci, dislocato per circa 10 anni dall’Italia a Washington per gestire i servizi di sicurezza transnazionali. Una scelta, dunque, da parte nostra ambiziosa, ma che, le confermo, sta dando ottimi frutti alla luce del fatto che le lezioni sono molto partecipate e molto interattive.
L’obiettivo è inoltre quello di riproporre per il prossimo anno la nostra medesima candidatura, nella speranza che anche le altre Regioni, a cominciare dalla Calabria, possano scegliere di formarsi in questo comparto tanto specialistico quanto affascinante.
In effetti, se in generale il fenomeno della sviluppo delle aziende legate alla Cyber sicurezza appare ancora troppo modesto, i dati di mercato ci mostrano che, al momento, sono poche le Regioni italiane che operano in questo comparto e pertanto occorre infondere maggiore linfa vitale per il futuro.
La Calabria, ad esempio, non ha ancora sviluppato questo settore, così come la maggior parte delle Regioni del Meridione d’Italia.
Da meridionale di nascita e meridionalista di vocazione conservo l’obiettivo di sensibilizzare le strutture della PA calabrese e per far ciò è in programma un convegno “in presenza” a fine Corso dove si affronteranno i temi dello sviluppo economico a livello di Mediterraneo e della cyber security quale driver di crescita e prosperità.
Parlando di intelligence balza naturalmente alla mente la figura degli 007: chi saranno secondo lei i nuovi 007 e che funzione avranno?
I nuovi 007 saranno certamente meno affascinanti di James Bond e probabilmente berranno meno Martini; saranno perciò molto più stanziali e capaci di processare dati e programmi informatici con molta scaltrezza e intelligenza. Credo che le materie hard science, come informatica, fisica o alcune branche di ingegneria saranno avvantaggiate nel fornire risorse umane in questo contesto. E’ pur vero però che la mente umana, la formazione umanistica, la ragion critica e la sua capacità di legare gli algoritmi che gli analisti sapranno produrre o estrapolare con la visione storica, geografica ed ontologica dell’uomo, manterrà sempre un posto privilegiato nel campo dell’intelligence. Il transumanesimo, a mio modesto avviso, dovrà ancora aspettare!