LO HACKER, CHE BONTÀ – IL GENERALE RAPETTO: “MI OCCUPO DI QUESTE COSE DAL 1986 EPPURE NON AVREI MAI POTUTO IMMAGINARE CHE QUALCUNO SPERASSE DI ADDEBITARE I PROPRI GUAI A UN PIRATA INFORMATICO” – “SI SIA TRATTATO DI UN MALFUNZIONAMENTO O SIA STATO UN ARREMBAGGIO CORSARO, NON È SOLTANTO UNA FIGURA DI MERDA. E’ LA PLATEALE ED INCONFUTABILE DIMOSTRAZIONE CHE QUEL SISTEMA INFORMATICO NON ERA ALL’ALTEZZA
-
Umberto Rapetto per www.infosec.news
Non avrei mai potuto immaginare – eppure mi occupo di queste cose dal 1986 – che qualcuno sperasse di addebitare i propri guai ad un pirata informatico.
Nemmeno il migliore John Belushi con le sue finora imbattute “cavallette” nelle sequenze di The Blues Brothers avrebbe saputo stupire il pubblico come l’outing di Tridico che al “non è stata colpa mia” ha aggiunto che erano stati gli hacker….
Se l’affondamento del sito dell’INPS è secondo solo a quello del Titanic, la dichiarazione del Presidente dell’ente previdenziale non ha precedenti.
Soltanto i log di sistema, quelli che registrano tutti gli eventi e annotano chi fa cosa/quando, possono rivelare cosa sia accaduto davvero. Voglio augurarmi che quei “registri” ci siano e vengano adeguatamente ispezionati da chi sarà incaricato di svolgere le indagini. Sarebbe tristissimo assistere ad una ulteriore lacrimosa confessione di chicchessia che annunci l’inspiegabile scomparsa dei log, bersaglio dei briganti telematici che ne avrebbero cancellato ogni traccia.
Qualunque cosa sia toccata in sorte all’INPS è a dir poco inqualificabile o, a voler essere un pochino rigorosi, è invece qualificabile. Si sia trattato di un malfunzionamento o sia stato un arrembaggio corsaro, non è soltanto una “figura di merda” come avrebbe commentato Emilio Fede nei suoi memorabili fuori onda. E’ la plateale ed inconfutabile dimostrazione che quel sistema informatico non era all’altezza della missione che era destinato ad assolvere.
Senza alcuna velleità di mettere sotto processo (ci saranno la magistratura ordinaria e contabile a farlo) i potenziali responsabili, nell’immaginaria Norimberga si potrà cominciare con la “culpa in eligendo” e la “culpa in vigilando”.
“Eligendo”? La scelta di direttori e responsabili spesso è figlia di un sistema clientelare che ha fatto piovere persone inadeguate in ruoli critici. Gli amici, i raccomandati, i “quelli cui non si può dire di no” e altre discutibili figure sono approdate al vertice di articolazioni pubbliche delicatissime. Chi ha piazzato quelle persone dovrebbe renderne conto, magari illustrando i criteri delle selezioni e dei privilegi riservati a chissà quali caratteristiche.
Veniamo al “vigilando”. C’è chi non esiterà a replicare che il controllo di certe attività impone competenze esorbitanti il proprio profilo. La controrisposta prevede due binari. Solo ora ci si accorge di essere a propria volta non all’altezza del compito assegnato? E poi non esistono procedure dettagliate e magari uffici destinati ad operare riscontri e accertamenti sugli aspetti operativi e non solo amministrativi?
Lasciamo alla coscienza di ciascuno (altrimenti il discorso evocherebbe un inutile regolamento di conti degno della valle di Josafat) questi dettagli che – in simili evenienze – sono senza dubbio marginali e affrontiamo i fatti almeno sulla base di quel è dato sapere.
Il sistema “è andato giù”. Questo è chiaro. Proviamo ad immaginare che fosse crollato un palazzo stracolmo di gente. Se è stato l’eccessivo afflusso di persone a determinare un sovraccarico della soletta dei piani dell’edificio, ogni addebito finirebbe in capo a chi ha progettato l’immobile. Costui sarà pronto a dichiarare di aver avvisato dei limiti di capienza e soprattutto di portata per metro quadro. Allora deve cominciare a difendersi chi doveva regolare gli ingressi, “porzionando” il numero di visitatori per scongiurare che il carico si profilasse “critico”. La palla passa al servizio di reception e vigilanza che non avrebbe rispettato le indicazioni in proposito, servizio che non tarderà a dire che quelle indicazioni non le ha mai ricevute…
Non un semplice scaricabarile (troppo convenzionale), ma un sorprendente “yo-yo” che si srotola e si riarrotola portando avanti e indietro accuse e scuse. Ma se lo schianto fosse invece stato determinato da una quasi solita bombola di gas? O se invece si intravedesse la mano di un terrorista?
L’11 settembre dell’INPS è toccato nell’infausto giorno del primo Aprile, quello che gli anglofoni chiamano April Fool’s Day e che dalle nostre parti – tra i mille scherzi – ha dato modo di appiccicare pesci sulla schiena ad intere generazioni di scolari birbaccioni. L’incidente informatico in questione, però, non è uno scherzo. A parte l’esposizione planetaria al pubblico ludibrio (credo che abbiano riso anche in Australia di una simile sbalorditiva circostanza), restano responsabilità ineludibili.
Anonymous e altre bande di hacker (invece di rivendicare una simile epocale frana digitale) hanno con ogni mezzo escluso di aver determinato il catastrofico evento e certe spesso tetre simbologie hanno per un attimo evocato “La livella” del Principe de Curtis: “Nuje simmo serie… appartenimmo à morte!”
Un ipotetico atteggiamento fideistico verso le dichiarazioni del Presidente dell’INPS e la conseguente accettazione della versione dei criminali informatici non portano alla assoluzione dell’istituto previdenziale.
Qualunque reato informatico (a vostra scelta tra quelli introdotti nel codice penale dalle leggi 547/1993 e 48/2008) prevede testualmente che il sistema informatico oggetto di intrusione o di danneggiamento sia “protetto da misure di sicurezza”. In assenza di tali cautele la condotta delittuosa zoppica e mancandone un elemento fondamentale non è configurabile.
Mica è finita. La normativa in materia di privacy (in Italia in vigore non da ieri ma già dai tempi della legge 675 del 1996) prevede – giustamente – sanzioni ferocissime nei confronti di chi non adotta le “misure di sicurezza” e non adegua i propri sistemi hi-tech in maniera da tutelare la riservatezza dei dati dei soggetti cui le informazioni si riferiscono. “La seconda che hai detto” sussurrerebbe Corrado Guzzanti.
La tragicomicità dell’accaduto induce a inchiodare l’attenzione proprio su Guzzanti jr. e a suggerire a chi crede di semplificare le cause della vicenda una inesorabile riflessione. “La risposta è dentro di te, epperò è sbagliata”.