La lista delle risorse di reti istituzionali violate da soggetti (quasi) mai identificati e per i fini più disparati è molto lunga. Da questo punto di vista, dunque, il caso dell’accesso abusivo alla email del Ministro degli esteri – peraltro anticipato dal famigerato “Caso Occhionero” – non “fa notizia”. Ma induce una riflessione sulla reale capacità del governo di gestire la sicurezza informatica del sistema-Paese.
Sul caso specifico non c’è molto da dire. È abbastanza facile capire quanto sia inverosimile la giustificazione di Gentiloni (o di chi per lui): “il ministro non usava l’email”. O rilevare il fatto nudo e crudo che – se la notizia del Guardian è vera – per quattro mesi qualcuno ha fatto il bello e il cattivo tempo sul mail server del Ministero degli esteri senza che nessuno se ne accorgesse. O ancora stupirsi del fatto che nessuno dei “giornalisti d’assalto” nazionali abbia scoperto il fatto, dovendo apprendere la notizia da un giornale inglese.
Ma tutto questo è, come si direbbe in tribunale, circostanziale e mentre sulla notizia è già sceso il velo dell’oblio (di Stato?) rimane sul tavolo una imbarazzante questione da affrontare: la schizofrenia governativa sulla sicurezza ICT.
Le imprese sono bombardate da obblighi di adozione di misure di sicurezza e altri orpelli burocratici, ma le istituzioni si pongono – fattualmente – al di sopra della legge e degli interessi del Paese omettendo di proteggersi adeguatamente. E manifestando un’attitudine riassunta in due aforismi: fa quello che il prete dice, non quello che il prete fa e medico, cura te stesso!
Per un accorto responsabile della sicurezza di un ente pubblico che porta all’apertura del “caso Occhionero”, ci sono tanti figuranti che animano il “circo” inutile della “saibersechiuriti” – quello dei covegni paludati, dei piani quinquennali, dei centri di competenza e delle audizioni parlamentari. Ma nessuno dice una cosa tanto evidente quanto semplice: la sicurezza informatica non interessa nessuno.
Perché?
In primo luogo, c’è ancora poca reale consapevolezza di quanto sia importante proteggersi. Sono passati appena vent’anni dall’arrivo dell’internet per tutti in Italia, e l’amministrazione pubblica è ancora all’era primordiale per quanto riguarda la digitalizzazione delle istituzioni. Chi “governa” questo cambiamento viene da un mondo senza computer, e chi si candida a supportare il cambiamento fa parte di un’era senza pensiero, da vivere a suon di parole d’ordine (possibilmente anglofone) ma senza costrutto. In mezzo, stretta da un abbraccio più letale di quello di Scilla e Cariddi, l’Italia.
In secondo luogo, è inutile girarci attorno, la sicurezza richiede preparazione. Si può anche comprare il più sofisticato degli antifurti, ma non servirà a nulla se chi deve gestirlo non lo accende o lo configura male.
In terzo luogo – e in conseguenza del precedente – la sicurezza costa, ma non produce. Sono necessari investimenti mirati e persone in grado di gestirli, senza un beneficio immediatamente (cioè politicamente) spendibile. Ma se, come diceva David Ogilvy, if you pay peanuts, all you get is monkey – se paghi in noccioline, attirerai soltanto scimmie – per quale motivo esperti competenti di sicurezza (informatica) dovrebbero scegliere di lavorare per lo Stato invece che per il settore privato?
In effetti, riflettendoci, forse ha ragione Gentiloni: se la sicurezza (informatica) è così complicata da gestire, meglio non usare la posta elettronica.
Ma allora non sarebbe il caso di alleggerire la vita delle imprese evitando di imporre obblighi che lo Stato per primo non intende rispettare?