La retorica della sicurezza
pubblicato da Ticinosette #10 - 6.3.15
Cybercriminalità. Quanto è davvero diffusa la pirateria digitale? E con quali criteri vanno interpretati i dati relativi al fenomeno?Un recente dibattito pubblico sulla criminalità informatica (truffe, estorsioni, “phishing”, carte clonate, ecc.) ci dà l'occasione per riflettere non solo su questo problema, ma anche sulla modalità e i contenuti della sensibilizzazione ad opera di vari addetti ai lavori. Le domande che ci poniamo sono: i crimini via internet sono così diffusi come si sente dire, oppure si cade spesso in un inutile allarmismo o, peggio, visti i tempi di votazioni, nella propaganda elettorale? Come si parla del tema e chi ne parla di solito? Chi gli autori dei crimini? Qual è la causa del fenomeno e quanto se ne discute alla radice?
Le riflessioni degli esperti
Riprendo alcune affermazioni dal comunicato stampa del dibattito pubblico. “È importante aprire un confronto, così da sensibilizzare l'opinione pubblica sul tema della sicurezza informatica, che da qualche anno sta mutando in modo radicale, passando dal livello tecnologico al livello sociale” dice Angelo Consoli, responsabile del gruppo di ricerca in “cyber-security” della Supsi. Per Nicola Colotti, giornalista radiofonico e curatore di una rubrica sulle tecnologie digitali, “soltanto la consapevolezza dei cittadini che usano internet attraverso ogni tipo di dispositivo può portare ad un maggiore controllo sull'operato delle autorità e dei prestatori di servizio”.
Francesco Regazzoni, ricercatore in scienze informatiche all'USI, ricorda che “usiamo 'smart-card', 'smart-phones' e ora 'smart-watches' quotidianamente per trattare i nostri dati più sensibili, ma quanto (…) siamo informati sul loro funzionamento e sappiamo come potrebbero essere sfruttate da malintenzionati?”. Per l'avvocato ed ex-magistrato Natalia Ferrara Micocci “la facilità di accedere ad internet corrisponde alla semplicità con cui possiamo rimanerne vittime”.
Ebbene, questi sono tutti ragionamenti condivisibili, osservazioni giuste ed importanti, tanto quanto il dibattito stesso, che suscitano tuttavia altre domande di fondo sulle quali ci eravamo già chinati. Quale valore può avere l'opinione di un esperto rispetto a quella di altri esperti? Perché nella cosiddetta “società della conoscenza” sembra che, in questo ambito, non conosciamo granché? Perché il bombardamento di consigli e di avvertimenti non ci rende più competenti e consapevoli?
Il pericolo della retorica
L'incipit del testo del dibattito era il seguente: “un paio di click, ti svuotano il conto bancario. Qualche chat, hai un pedofilo in rete. Usi la carta di credito, ti viene clonata. Usi il cellulare, vieni spiato. Bande di hacker saccheggiano i conti bancari, i mafiosi riciclano in rete, i terroristi attaccano in rete”. Il tono è indubbiamente allarmistico, utile per fare pubblicità ai promotori e alla tematica, ma quanto serve al cittadino? A mo' di esempio, il procuratore federale antimafia in Ticino, Pierluigi Pasi, fu più prudente quando disse che “non occorre fare allarmismo, occorre solo conoscere e quindi non sottovalutare il problema”.
Non si stratta quindi di minimizzare un problema ma nemmeno di ingigantirlo, da un lato perché vanno distinti i pirati informatici “buoni” da quelli “cattivi”, come aveva spiegato nel 2011 un ex “hacker” ticinese su queste pagine. I recenti attacchi di febbraio del collettivo “Anonymous” alle strutture informatiche del sedicente gruppo terrorista “Isis”, ad esempio, non hanno forse una finalità positiva?
D'altro canto, non giustifica un allarmismo nemmeno il fatto che la Procura ticinese ammetta, recita sempre il manifesto del dibattito, “le difficoltà di combattere la criminalità informatica, per la sua vastità, complessità e globalità”, difficoltà peraltro ammesse anche dalle autorità sovranazionali. Non vale forse anche per altri tipi di crimini? Ci sembrano, queste, non grida di aiuto e di panico, ma semplici constatazioni.
Come vedremo in seguito, diffondere la paura è molto semplice, conoscerne il motivo molto meno, tanto più essendo la percezione soggettiva molto variabile. L'approccio ideologico, la parzialità e l'opportunità sono sempre dietro l'angolo. Quando si parla di criminalità molto spesso si pone l'accento sull'effetto e sulle possibili soluzioni, meno sulle cause. Gli oratori sono quasi sempre uomini e donne di legge che, con la diffusione della criminalità, ci campano. Un avvocato o un fiduciario quasi mai accusa un collega consenziente sul quale spesso si appoggiano le reti criminali. Un esperto o un ricercatore tende ad avvalorare il fenomeno che studia piuttosto che ad inficiarlo, ecc.
Le variabili della paura
Molto più saggio ci pare l'approccio del Servizio elvetico di coordinazione per la lotta contro la criminalità su Internet (Scoci), per cui il numero di casi “non consente di trarre conclusioni in merito allo sviluppo effettivo della criminalità su Internet”, ma indica soltanto “l’atteggiamento della società” verso il problema e “la predisposizione della popolazione a collaborare attivamente”. Un fattore è dunque l'ambiente sociale, economico e culturale in cui si vive, l'altro sono le influenze esterne. Il primo è prevedibile, il secondo quasi mai o affatto.
Un esempio. Nel 2010 un sondaggio svizzero sulla sicurezza al computer concluse che “il 76% dei partecipanti ha indicato di sentirsi da abbastanza sicuro a sicuro” quando usa internet. Nel 2013 un sondaggio europeo sosteneva che “a ritenere che il rischio di cadere vittima della ciber-criminalità sia aumentato nell’ultimo anno è ben il 76% degli intervistati”. Come spiegare un tale cambio di atteggiamento, riguardo alle minacce informatiche, in un arco di tempo così ridotto?
Il sondaggio del 2010 affermava che “il 29% non usa l’e-banking per timori legati alla sicurezza”, ma due anni dopo questa percentuale era aumentata leggermente (31%). Come mai? Possiamo soltanto immaginare che sia bastato l'attacco informatico di fine 2010 ai servizi “PayPal” e “PostFinance” per modificare la percezione dei cittadini nell'uso di internet. La paura è un'emozione spesso irrazionale che si modifica nel tempo.
Quali interessi?
Le autorità giudiziarie e di polizia globali brancolano spesso nel buio, anche a causa di una certa lentezza organizzativa tra i paesi, ma non solo. L'Europa è uno dei maggiori mercati al mondo per le transazioni con le carte di credito e quindi anche di clonazioni illegali (“skimming”), ma “l'European Cybercrime Center” (EC3) dell'Europol, che ha lo scopo di tutelare i cittadini, è stato creato solo nel 2013 ed è operativo solo da quest'anno.
Se il tema è davvero una priorità, perché ci si è mossi così tardi? Perché il suo direttore, il danese Troels Oerting, pochi giorni dopo l'annuncio dell'arresto di 52 persone nell'ambito di una vasta operazione anti-frode con le carte di credito, si è licenziato per mettersi al servizio di un grande gruppo bancario britannico? Qual è la reale priorità dei giganti della finanza: tutelare i propri correntisti o la propria immagine? Se a loro davvero interessasse il primo aspetto, allora perché così tanti privati hanno snobbato l'invito dell'EC3 di creare un gruppo consultivo, come ammette lo stesso centro europeo sulla sua pagina internet? Ma c'è dell'altro.
Poiché nessuno sa con esattezza la dimensione effettiva del crimine informatico, esistono solo delle stime e chi le realizza? I privati che vendono software di sicurezza!
Una delle poche fonti globali è il “Norton Cybercrime Report” che si basa su un sondaggio on-line su vasta scala in 24 paesi. Secondo il rapporto del 2012 il crimine informatico sarebbe “costato ai consumatori di tutto il mondo 110 miliardi di dollari, 16 miliardi in Europa (21 negli States e 46 in Cina)”. Nel 2013 gli attacchi sarebbero invece diminuiti, ma più mirati e fruttuosi.
Trattandosi di stime, può voler dire che i crimini sono molti di più oppure molti di meno. I dubbi verso queste cifre sono sempre più diffusi.
“Nel migliore dei casi, il rapporto ci dà un'idea di grandezza del problema, prima di arrivare all'inevitabile conclusione per cui i consumatori toccati non dovrebbero 'prendere rabbia, ma comprare Norton'” afferma ad esempio la collega Elyssa Pachico.
Nel rapporto infatti c'è proprio scritto così. Thomas Rid, del Kings College di Londra, dice che l'azienda “sta facendo un ottimo lavoro di analisi sulle minacce, ma comunque ha tutto l'interesse nel dipingere un ambiente molto più pericoloso perché così si aspetta di guadagnarci”.6
Il collega Constantine Von Hoffman scrive: “Norton non dice nulla sulla grande differenza dei numeri tra il 2011 e il 2012. Forse perché i numeri dell'anno scorso erano completamente fittizi”.
Norton ha sempre ribadito la sua buona fede e difeso la metodologia del suo sondaggio.
Tutti criminologi?
Siccome gli attacchi informatici prendono di mira soprattutto le finanze delle aziende, a fare “criminologia” ci si sono messe anche le multinazionali delle revisioni contabili, così come le banche. Annualmente pubblicano i loro “rapporti forensi” che volentieri vengono ripresi dai media senza particolare prudenza. Anche in questi casi ci sarebbe lo stesso problema di opportunità dell'azienda anti-virus: chi guadagna con la sicurezza e l'affidabilità della contabilità, quanto sarà oggettivo occupandosi di pirateria informatica per i bilanci delle aziende?
Un esempio. Una di queste grosse aziende ha pubblicizzato il suo “Forensic Fraud Barometer” e riferendosi al 2014 dice che “la ciber-criminalità ha il vento in poppa in Svizzera”. Il record di danni economici spetterebbe a Zurigo, seguito subito dopo... dal Ticino! Ma quanti sono stati i casi? In Svizzera “solo” 77, in Ticino “solo” 5 (così come nel 2012 e nel 2013). L'azienda poi precisa che le sue cifre si basano sui casi archiviati da un tribunale penale (cioè solo quando c'è una denuncia e si scopre un colpevole) e su quelli comunicati dalla stampa scritta (cioè solo quando se ne riferisce). Basta questo per un'analisi seria?
Un dato interessante riguarda poi gli autori: a commettere il maggior numero di attacchi non sarebbe la tanto temuta criminalità organizzata di pirati informatici, ma gli stessi manager e impiegati delle aziende!
Un'altra grossa azienda di revisioni, col suo “Global Economic Crime Survey” strizza l'occhio ai potenziali clienti dicendo che “eccelliamo nella conformità dei dati e nelle indagine in rete”. Insomma, “non arrabbiarti, assumici”.
All'origine del mito
In Ticino è giunto di recente il popolare filosofo polacco Zigmunt Bauman, che del concetto di “società della paura” ne ha fatto un potente “j'accuse” contro il nostro modello sociale. Forse negletto a politici e ad avvocati, Bauman vede tutto il paradosso dell'allarmismo popolare e populista nel fatto che proprio il moderno e ricco Occidente dovrebbe sentirsi più al sicuro e tutelato... e invece...
, ...osserva il collega e scrittore italiano Giancarlo Bosetti: “tutta la fenomenologia della paura si riaffaccia così nei diversi segmenti della vita sociale degli ultimi decenni: il terrorismo, la criminalità della vita urbana (e informatica, ndr.), le tendenze a recintare la comunità di apparati di sicurezza, i rischi ambientali e della salute, e poi l’afflusso di Altri e Diversi, bersaglio prediletto dalle politiche della paura che hanno negli immigrati il più redditizio capro espiatorio”.
Non trae forse origine da questo modello l'utopia della “sicurezza totale”? Il mito di poter combattere il crimine tecnologico?
Scrive il criminologo italiano Roberto Cornelli: “l'insicurezza contemporanea è, in parte, l'effetto di una promessa non mantenuta: il connubio tra gli ideali di libertà e di democrazia hanno diffuso aspettative generalizzate di inclusione e protezione, frustrate nei fatti dall'impossibilità di garantire a tutti gli stessi livelli di tutela e di qualità della vita”.
Se così fosse, non sarebbe la sicurezza tecnologica che ormai agisce su quella sociale, come affermava qualcuno al dibattito pubblico che ci ha ispirato, ma piuttosto l'insicurezza sociale (la povertà, la precarietà, l'indebitamento, l'ignoranza, l'egoismo, ecc.) la causa di quella informatica, che alimenta senza fine l'esercito di esperti e il mare di retorica.