Ci sono (e quali) rischi per la sicurezza pubblica su possibili attacchi terroristici legati alla nuova guerra arabo-israeliana? Come (è necessario?) difendersi? Ne parliamo con Alberto Pagani è docente e advisor nel settore della sicurezza. Parlamentare dal 2013 al 2022, prima in commissione trasporti e telecomunicazioni, poi capogruppo Pd in commissione Difesa e delegato all’assemblea parlamentare della NATO
Alberto Pagani, docente e advisor nel settore della sicurezza, parlamentare dal 2013 al 2022 in Commissione Trasporti e Telecomunicazioni, capogruppo del PD in Commissione Difesa e delegato all'assemblea parlamentare della NATO in Grecia, quindi in questa veste ti coinvolgiamo come esperto in questo momento particolarmente tragico che stiamo vivendo. Partiamo proprio da quello, da questi quattro attacchi agli aeroporti italiani che sono stati segnalati dalla stampa. Che cosa vuol dire attacchi hacker agli aeroporti italiani e quali sono le conseguenze di questi attacchi?
Finché è un disagio sono conseguenze sono tutto sommato controllabili e gestibili, il problema è che gli aeroporti sono Infrastrutture Critiche, come lo sono i porti, le infrastrutture ferroviarie, quelle stradali, quelle dell'energia elettrica o di altre funzioni essenziali. Quindi bisogna distinguere quello che è il cyber crime, che è il 95%, anche di più, degli attacchi che si manifestano quotidianamente sul territorio nazionale, cioè quella modalità comune che si svolge sulla rete per avere riscatti, per ricattare persone, da quello che invece sono vere e proprie azioni di guerra informatica, cioè attacchi che mettono in repentaglio la sicurezza del paese, come gli attacchi alle Infrastrutture Critiche. Attribuire la responsabilità di un attacco ad uno stato è sempre difficile, perché se c'è dietro una potenza ostile che si nasconde dietro gruppi hacker, cerca di fare in modo che non sia attribuibile a lei questa attacco, per cui non è semplice dire “un'azione di guerra è diretta da un paese piuttosto che dall'altro”. Il punto è che non interessa più di tanto se è un’azione di guerra della Russia, piuttosto che dell'Iran, piuttosto che di un’altra potenza straniera. Se è un rischio per la sicurezza nazionale a questo bisogna rispondere come a un’azione di guerra, cioè cercando di neutralizzare i sistemi che attaccano e renderli inoffensivi.
Diciamo che questi attacchi agli aeroporti svelano un rischio reale, cioè che il terrorismo non è e non sarà mai lontano dalla nostra realtà, incombe, è dietro le quinte, è sempre lì dormiente, si alzano i livelli e si abbassano a seconda delle situazioni geopolitiche. Quindi, comunque il paese deve organizzare una difesa stabile e costante.
Assolutamente sì. È superficiale e sciocco dire non ci sono stati attacchi, ci sono stati in realtà, non ci sono state conseguenze tragiche e tentativi di attacchi terroristici nel nostro territorio, come invece è successo a Parigi, in Francia, successivamente in Germania, in Spagna e in tanti altri paesi europei, e non è lo stellone italico che ci ha protetto. C’è un lavoro coordinato delle forze di sicurezza, di polizia e delle forze di intelligence che hanno evitato molti rischi. Ma il fatto che finora nessun tentativo sia andato a buon segno non ci garantisce che non andrà a buon segno in futuro, non voglio fare allarmismo quindi cerco di pesare le parole, ma siamo oggettivamente uno dei paesi che soffrono un rischio di attacco terroristico, oggi più che nel passato perché la matrice del terroristica ha due facce in questo momento. C'è il rischio di un attacco tradizionale, cioè quello coordinato e pianificato dall'organizzazione, studiato e realizzato con un addestramento di carattere militare, che è l’attacco terroristico che ho definito tradizionale, non so se è il termine giusto, ma che immaginiamo come quello del Bataclan a Parigi, per fare un esempio, e c'è invece il rischio di un attacco improvvisato. È sempre più difficile prevenire, contrastare con gli strumenti dell’intelligence l’azione di un attacco improvvisato di quello che si autodefinisce lupo solitario, cioè di un disturbato mentale autoradicalizzato o radicalizzato in maniera disorganica sulla rete o in carcere o in un centro di preghiera, esaltato dalla situazione del momento, il conflitto arabo palestinese, male interpretando la sua fede religiosa può compiere un'azione di carattere terroristico non coordinata e, quindi, non prevedibile, non intercettabile e neanche su un obiettivo diciamo di grande importanza. L’attacco casuale può colpire chiunque in un bar, abbiamo visto l'ultimo attacco a Parigi, l'obiettivo non è un obiettivo strategico, sono due persone che sono passate da lì. Per cui, per quanto le forze di polizia e di intelligence stiano facendo un ottimo lavoro di prevenzione, questo non puo' annullare il rischio, può mitigato e noi dobbiamo essere consapevoli che condividiamo con una situazione che è un momento di rischio.
Il terrorismo è decisamente, come dire, un aspetto estremo, un’angolatura di visuale drammatica. Ci sono altri aspetti meno drammatici, in prospettiva, che potremmo definire più serenamente, fra virgolette ovviamente, inerenti al tema della sicurezza. Il mondo digitale ha decisamente inaugurato una serie di nuovi rischi che sono alle volte anche impalpabili.
Sì, certamente. Noi abbiamo un miglioramento quotidiano del nostro stile di vita dato dalle nuove tecnologie, dalle tecnologie digitali, dal sistema delle telecomunicazioni. Internet ha realmente rivoluzionato la vita di tutti noi rendendola più comoda e più smart, come si dice, e utilizziamo internet in tante attività della nostra quotidianità e neanche ci pensiamo più che ci stiamo avvalendo della rete, dall'utilizzare il navigatore satellitare per orientarci a utilizzare la rete per attivare l’antifurto di casa o per trasmettere i nostri dati bancari per fare un bonifico, per trasmettere informazioni sensibili. Tutto questo miglioramento della comodità della nostra vita e di efficienza della nostra quotidianità comporta anche un aumento della fragilità perché ogni comunicazione su internet non è sicura, è protetta da strumenti che sono più o meno efficaci nel limitare intrusioni di hacker o azioni malevole. Ma non esiste la sicurezza totale. Naturalmente la maggior parte dei casi della nostra quotidianità, l’hacker o il delinquente comune che opera sulla rete, se adottiamo precauzioni adeguate non riesce ad hackerare i nostri sistemi, non ne vale la pena fare uno sforzo. Come dicevo prima, ci sono classi di rischio diverso quando parliamo invece di erogazione di servizi essenziali per la comunità la cui interruzione produrrebbe danni non a una persona, ma a tutta la società, come l’interruzione della corrente elettrica. Sappiamo che l'elemento della comodità comporta un’ulteriore fragilità e quindi comporta una necessità di investire risorse nella protezione della sicurezza, che è data da due aspetti: la tecnologia e quindi gli investimenti in tecnologia per la sicurezza e protezione e l'altro è anche la procedura delle persone, cioè l'educazione e la formazione delle persone ad adottare comportamenti prudenti, orientati a una corretta prudenza sulle password che utilizziamo, sulle azioni che facciamo. A volte non ci rendiamo conto che le piccole cose della nostra quotidianità che facciamo con leggerezza, con superficialità sono vulnerabili. Un’educazione diffusa alla cultura della sicurezza è una delle ricette migliori per garantire la mitigazione dei rischi.
La parola chiave probabilmente è proprio questa, l'ultima citata, cultura della sicurezza. Più la transizione digitale va avanti, più si allarga lo schema digitale globale, più c'è bisogno di questa cultura della sicurezza. In questo momento non abbiamo la sensazione che le centrali culturali, non solo le università, ma forse anche le stesse istituzioni, abbiano attivato dei canali di educazione a questa sicurezza.
No, hai ragione. Effettivamente non è ancora sufficiente. In realtà qualche cosa si sta facendo. Il legislatore, lo dico da ex legislatore, ha adottato strumenti della definizione del perimetro cibernetico, la nascita di un'agenzia nazionale per la cyber security, che sono strumenti importanti anche in funzione della diffusione della cultura della sicurezza. Ma il mondo della formazione è molto complesso e molto articolato, cioè non basta sottoscrivere una legge perché succeda quello che la legge indica nei propri obiettivi, Ci vuole tempo, ci vuole impegno, ci vuole soprattutto motivazione per portare il personale docente e le istituzioni a capire quanto è importante educare alla sicurezza, inteso sia nel comportamento attivo che nella sicurezza in forma passiva. Ci sono vari aspetti del comportamento nostro che possono aumentare o ridurre il grado di sicurezza complessiva del paese e anche nostra personale. Forse se si insistesse con maggiore costanza su questo tasto, sarebbe anche più facile portare le agenzie formative a mettere nei programmi attività di formazione in questo senso. Se invece l’attenzione si alza nel momento in cui c'è un evento infausto, che può essere un attentato, e quindi c'è l'attenzione mediatica, per due giorni tutti parlano di sicurezza, poi non succede niente e tutti si dimenticano e parlano di altro, è evidente che non c'è quella pressione costante che porta anche a un’azione strutturale di formazione ed educazione.
Non dobbiamo delegare alle forze dell'ordine, alla Polizia Postale, all’intelligence. È un problema che riguarda tutti noi e quindi cominciare dalle imprese che sono avamposti internazionali e quindi luoghi da dove le intromissioni possono essere e sono state frequenti.
Vero, è esattamente così. Cioè non basta delegare, cioè naturalmente noi abbiamo ottimi professionisti che fanno il loro lavoro e non possiamo pretendere che facciano anche il nostro. Dobbiamo essere collaborativi. Che vuol dire adottare comportamenti prudenti e segnalare le minacce, segnalare i rischi. La polizia postale, che si occupa di proteggerci dal cyber crime, fa un lavoro ottimo e lo può fare ancora meglio se c'è collaborazione, se c'è segnalazione di quelle che possono essere minacce o reati. Tutti i giorni ciascuno di noi riceve nella propria posta elettronica, sui social, minacce, che sono profili falsi che ci contattano, link di una finta banca. Oltre a non abboccare, bisogna anche segnalare perché questi profili siano colpiti, interrotti, altrimenti non colpiscono me ma poi possono colpire qualcun altro. Almeno rendiamo più difficile la vita ai malintenzionati che devono costruire profili nuovi. È una lotta continua tra chi ha intenzione di delinquere e chi deve proteggersi dai malintenzionati e bisogna che ciascuno faccia la sua parte e anche che abbia gli strumenti per poterlo fare, cioè che sappia quali sono i rischi e attraverso quali modalità è sottoposto a dei rischi.