di Serena Lisi

Il nuovo millennio è iniziato all’insegna di molte aspettative, ma anche di molte paure, come ad esempio quella che attanaglia le menti di milioni utenti dei servizi telematici a proposito del cosiddetto Millennium Bug. Con tale nome, era designato un fantomatico malfunzionamento dei datari di dispositivi elettronici quali computer, ATM e telefoni cellulari, che sarebbero dovuti “impazzire” allo scattare della mezzanotte del primo gennaio 2000, in virtù del fatto che molti di essi “a detta dei più apprensivi“ non avrebbero riconosciuto il nuovo anno, utilizzando un datario che segnalava l’anno in corso con sole due cifre, le ultime, avendo un formato del tipo gg/mm/aa (numero giorno/numero mese/ultime due cifre dell’anno).

Per la prima volta, in tempi non sospetti e ben lontani da quelli dell’attacco del 2007 all’Estonia, e da quelli del 2007 e 2010 all’Iran, la società civile del mondo intero fronteggiava una nuova minaccia che ancora non aveva un nome codificato: il DDoS, Distributed Denial of Services. Se il Millennium Bug avesse colpito così duramente come temuto, infatti, il risultato, seppur accidentale e non doloso, sarebbe stato esattamente un DDoS, ossia una interdizione massiva di servizi, anche primari, come quelli bancari o legati al mondo delle telecomunicazioni, che avrebbero bloccato moltissime attività quotidiane e creato, sempre involontariamente, l’equivalente di attacchi sintattici (cancellazione di informazione) e semantici (creazione o mescolanza errata di informazioni) a banche dati grandi e piccole, fossero esse gestite da comuni cittadini, da enti pubblici o grandi aziende private. Nel 2000 tutto questo non accadde: ci fu soltanto una grande paura e qualche piccolo malfunzionamento o sovraccarico di linee e furono isolati i casi di errore semantico nelle banche dati, riconducibile più che altro a qualche malinteso sulla certificazione di alcune date a doppio zero, talora bizzarramente equivocate tra 1900 e 2000.

Tuttavia, la “grande paura” di quel capodanno aveva segnato l’avvento di una nuova epoca e, soprattutto, di una nuova consapevolezza: seppur molto lentamente e superficialmente, alcuni cominciavano a comprendere che la quinta dimensione non era solo un territorio virtuale di libertà, ma era anche il regno dell’incertezza e dell’anarchia e che servivano più adeguate informazioni per tutti ed un framework normativo che tutelasse utenti, produttori e gestori delle comunicazioni in rete. Non a caso, proprio nel 2000 l’Unione Europea comincò a lavorare alla Convenzione di Budapest, ratificata dal Consiglio d’Europa il 23 novembre 2001.

Come spesso accade per le innovazioni tecnologiche, tuttavia, la regolamentazione della materia ha avuto, in questi ultimi venti anni, un’evoluzione molto più lenta e discontinua rispetto al progresso tecnologico. Alcuni esempi sono particolarmente calzanti in questo caso: la normativa dei singoli Paesi europei si è adattata con molta lentezza alla convenzione di Budapest, come dimostra il caso italiano con la legge 48/2008; inoltre, anche a livello globale, seppur contemperata da svariati accordi bi- e multi-laterali e iniziative, l’incertezza in campo normativo e di regolazione continua a persistere, peraltro sostenuta dalla naturale e attestata tendenza all’anarchia e all’entropia del sistema internazionale. Non è un caso che il Wassenaar Arrangement non abbia mai sortito appieno gli effetti desiderati: nato nel 1996 per controllare le esportazioni e l’uso di certi tipi di prodotti “ed in particolare quelli dual use, che possono essere impiegati sia per scopi civili che militari/bellici“ e riletto alla luce delle innovazioni cyber nel 2004, conta ormai più di quaranta aderenti, tra Stati ed organizzazioni regionali, ma non riesce ad avere un effettivo controllo su alcune categorie, come quelle immateriali inserite con gli emendamenti del 2013 e riguardanti IP, social networks e bug bounty programs (ricognitori, non sempre così leciti come immaginato, di difetti in programmi e applicazioni).

Lo stesso discorso potrebbe essere fatto sia sulla collaborazione russo-americana in materia di difesa cibernetica delle infrastrutture critiche promossa nel framework dei più noti e strutturati accordi START, edizione 2011 (ferma allo stato di bozza da quasi dieci anni) e sul pur encomiabile ed accuratissimo lavoro del Tallinn Manual on the International Law Applicable to Cyber Warfare, che però resta confinato alla cosiddetta sfera de jure condendo, ossia della normativa in fase di formazione e recepimento a livello nazionale ed internazionale, dunque non vincolante né uniformemente condivisa. 

Molte altre riflessioni potrebbero essere fatte in materia normativa, a partire ad esempio da quelle ispirate dal GDPR in materia di protezione dei dati personali e sensibili, ma in questa sede appare più opportuno fermarsi agli esempi già citati ed analizzare brevemente un altro aspetto di questo primo ventennio dei XXI secolo, quello della percezione delle minacce cyber a livello operativo. Anche in questo caso, molte sono le osservazioni scaturite dal modo di trattate la “grande paura” creata dal mito del Millennium Bug del 2000. In fondo, però, il tutto può essere ridotto un unico commento finale: oggi come allora, moltissimi enti, anche in questo caso sia pubblici che privati, temono più il danno d’immagine che i danni materiali derivanti da un malfunzionamento o da un attacco. Come accade sistematicamente sin dal 2000, i rapporti Verizon e FireEye rivelano che svariati enti e aziende negano con decisione le proprie vulnerabilità e tendono a nascondere eventuali attacchi o danni subiti, pur cominciando a riconoscere la necessità di aggiornare i propri sistemi e la formazione del personale, nonché l’urgenza di adottare soluzioni resilienti ed in grado di offrire risposte integrate e multilivello alle minacce che devono affrontare quotidianamente.

Se, in un così breve discorso, dovessimo stilare un bilancio sommario di questi vent’anni, potremmo dire che la percezione di potenzialità  e minacce dell’ambiente cyber si è solo in parte evoluta: siamo tutti più informati, anche grazie a sistemi di comunicazione sempre più veloci e penetranti; ma siamo anche più incerti su quali siano le informazioni vere e quelle distorte e sulla reale entità delle minacce che ci circondando, nonché sull’efficacia dei sistemi di difesa “sempre più sofisticati“ proposti dagli esperti di settore. Inoltre, nonostante questa nostra apparente nuova consapevolezza, spesso continuiamo a utilizzare i mezzi cyber con estrema leggerezza, quasi a voler negare ciò che dovremmo aver ormai acquisito come parte del nostro bagaglio culturale di base.