[NEWS] Lasciapassare A38/ Chi di captatore ferisce...

[c.m.g]

giovedì 7 luglio 2016

Spoiler:

Quote: Le cronache raccontano dell'informatizzazione con backdoor delle Procure emersa dalle intercettazioni romane. Chi sorveglia i sorveglianti? Chi difende i difensori della legge?

Roma - Nei mesi scorsi si risollevava da un lato il mai sopito dibattito scientifico e democratico sull'opportunità e sulla legalità dell'utilizzo di captatori informatici per necessità d'indagine, dall'altro la Corte di Cassazione valutava gli aspetti giuridici della questione. Una questione delicata, perché è innegabile che oggi molti reati vengono preparati e perpetrati attraverso la tecnologia e la Rete, per cui uno strumento di contrasto appare indispensabile, ma d'altro canto l'invasività di questi strumenti può eccedere la legittima necessità di indagine e violare quindi alcuni diritti fondamentali della persona.
Già, ma come i pifferai di montagna andarono per suonare e tornarono suonati, l'attenzione mediatica e giurisprudenziale rivolta alla possibilità di spiare i sistemi informatici altrui sembra aver distratto le Procure dal rischio di venire a propria volta spiate.

Le cronache di questi giorni riportano infatti la scoperta di un complotto destinato ad installare un software per l'informatizzazione delle Procure, che avrebbe però avuto il piccolo effetto collaterale di consentire ai gestori - esterni - di monitorare i fascicoli giudiziari di amici e parenti. Decisamente ovvio il vantaggio di una simile applicazione, che consente di mettere in allarme chi sta commettendo un reato e dargli la possibilità di occultare le prove o di sparire prima che possa essere operato un arresto. Meno scontata la possibilità di prevenire un simile utilizzo e di individuare una backdoor o qualche altro sistema di intrusione illecita.

Tuttavia il problema centrale non lo individuo nel fatto in sé, per quanto grave, quanto nell'approccio dello Stato all'esternalizzazione dei servizi. Abdicando a tutta una serie di funzioni in favore dei privati, lo Stato pensa di raggiungere un maggiore livello di efficienza, ma perde quelle professionalità che nella Pubblica Amministrazione, pur con tutti i suoi difetti, ci sono sempre state. In un recente convegno dissertavo appunto sui rischi dell'esternalizzazione, ma, dopo aver letto la notizia, devo riconoscere di avere ampiamente sottovalutato il problema. Il fatto che un appalto venga normalmente vinto per massimo ribasso - anche se la normativa attuale consente di stabilire un sistema di valutazione a punteggio per selezionare la migliore offerta per rapporto qualità/prezzo - consente a chi non è interessato al guadagno, ma ad implementare un sistema a suo uso e consumo, di offrire un prodotto valido a prezzi stracciati, sbaragliando la concorrenza. Il fatto poi che la norma sul riuso del software nella PA, nata col lodevole intento di far sì che lo Stato non paghi più volte per lo stesso software, consenta di installare il software "addomesticato" in tante altre amministrazioni, diffondendolo come un virus, agevola moltissimo l'operato di questi ingegnosi mariuoli.

Il caso della Procura è forse una situazione limite, ma quanti possono essere interessati a dati sanitari, anagrafici, scolastici e così via? Ci si preoccupa che lo SPID possa essere poco sicuro, ma probabilmente chi intende fare un utilizzo scorretto del patrimonio di dati della PA non andrà alla caccia di ogni singola identità digitale, ma andrà ad aggredire direttamente il database di suo interesse. Peraltro senza troppo sforzo, se lo ha realizzato lui e lo gestisce in prima persona.

Come difendersi? Molti propongono l'uso di software aperti, così da consentire la verifica da parte di chiunque sia in grado di leggere il listato. Sicuramente meglio usare questo approccio che affidarsi ad una sola ditta che fornisce un pacchetto chiuso e potenzialmente accessibile ai malintenzionati, ma resto comunque un po' diffidente: se è certamente vero che centinaia di occhi possano contribuire a trovare i difetti ed individuare le soluzioni, è anche vero che qualcuno di quegli occhi può appartenere a chi non è interessato a segnalare la vulnerabilità, ma a sfruttarla a suo uso e consumo.

Credo che sarebbe più saggio se lo Stato si (ri)portasse in casa quelle professionalità che consentono di sviluppare e gestire questi apparati in modo diretto e potenzialmente molto più sicuro, di modo che la Pubblica Amministrazione possa garantire anche nel mondo digitale quella imparzialità e garanzia di sicurezza che - nonostante limiti ed errori - ha caratterizzato la sua storia. Credo che il mio amico, poliziotto ed ingegnere, debba restare a sviluppare i delicati software per le Questure, non venire assegnato ad altro incarico amministrativo, che non sfrutta le sue attitudini e capacità, solo perché ha fatto un passaggio di livello. Credo che i software per la gestione delle cartelle cliniche, dei processi civili e penali, dei dati tributari e pensionistici debbano essere sviluppati e gestiti da persone capaci che lavorino per i rispettivi Enti, dei quali possono imparare a conoscere procedure, criticità ed esigenze lavorando quotidianamente a contatto con i colleghi che li devono utilizzare, sentendosi parte integrante del sistema e sviluppando quindi l'orgoglio di difenderlo e migliorarlo. Credo che lo Stato debba garantire pari opportunità, libertà di accesso, libertà di impresa, libertà di espressione; e forse oggi ancor più importante che nei tempi passati, per far sì che Internet resti libera e democratica, non feudo privato dei grandi player della tecnologia. E questo lo può ottenere solo gestendo in proprio le sue funzioni peculiari, non affidandole a quelle stesse ditte private.

Credevo a tutto questo due settimane fa, quando ho presentato la mia relazione al convegno, lo credo ancora di più oggi dopo aver letto la notizia.

Come non penso che sia una buona idea per la democrazia affidare ai contractor (pure i mercenari si sono adeguati al linguaggio politically correct) la gestione di una guerra, così non penso sia una soluzione vincente esternalizzare tutta quella serie di servizi peculiari dello Stato. Perché non ci sono sole guerre fatte con i fucili ed i cannoni, ci sono anche le guerre a colpi di codice per accaparrarsi i dati, per penetrare le difese informatiche, per contrastare le azioni delle forze dell'ordine. E la storia insegna che non si vincono con i mercenari, pardon, contractor.

Diego Giorio




Fonte: Punto Infoirmatico