«Le persone non sono educate a essere diffidenti e a dare i propri dati solo a soggetti reputati affidabili». Per Matteo Flora, docente ed esperto di web reputation e cybersecurity, è tutta questione di mancanza di cultura informatica. Il pericolo è dietro l’angolo soprattutto perché sottovalutiamo l’importanza di password forti, aggiornamenti costanti, protezioni. Flora, che insegna “Corporate Reputation e Storytelling” all’Università di Pavia e “Criminalità Informatica e Investigazioni Digitali” alla Statale di Milano, è anche uno dei più noti attivisti e hacker etici italiani. «Per tanto tempo i termini “hacker” e “criminale informatico” sono stati confusi – accusa Flora – ma in realtà descrivono due comportamenti molto differenti». Entrambe queste figure, spiega, hanno spiccate competenze informatiche e di programmazione, ma gli hacker, al contrario dei criminali informatici, non operano per recare danno ad altri o trarne dei benefici personali. In un momento come questo in cui si torna a parlare con insistenza di cybersecurity, gli abbiamo qualche consiglio pratico per una vita digitale più consapevole.

Non molto tempo fa è stato reso noto che il telefono di Jeff Bezos, miliardario Ceo di Amazon, nel 2018 sarebbe stato hackerato da Mohammed bin Salman, principe ereditario dell’Arabia Saudita, tramite un video inviato su Whatsapp. Se neanche uno degli uomini più ricchi e potenti al mondo riesce a difendersi da un attacco hacker all’apparenza così banale, come possiamo farlo noi?

 L’attacco fatto a Bezos è tutt’altro che banale. Riguarda vulnerabilità che vengono vendute a milioni di euro sul mercato. Non stiamo parlando di una condizione normale. L’attacco a Bezos è stato fatto usando un software commerciale che serve per realizzare lawful interception, cioè un programma che generalmente viene venduto solo a stati e forze di polizia, e che serve per intercettare sospetti di reato. Il software è stato prodotto da Nso, una società israeliana a cui Facebook ha fatto causa, che sfruttava una vulnerabilità di Whatsapp, la stessa che è stata usata per intercettare Bezos, ma probabilmente anche Jamal Khashoggi. Parliamo dell’utilizzo da parte di un governo sovrano di uno strumento teoricamente venduto a scopi di polizia, usato contro un cittadino di un altro stato a fini tattici e di intelligence. È quello che sta facendo scalpore, non il fatto che fosse sottoposto ad intercettazione.

Vorrei usare questo pretesto per parlare di un problema di sicurezza che riguarda un po’ tutti. C’è il rischio che attacchi hacker, di tutt’altro livello rispetto a quello che ha interessato Bezos, possano colpire anche i comuni cittadini. Quali sono le pratiche che possiamo adottare per ridurre il rischio di essere hackerati?

 Quello di cui parli non è un rischio, è una certezza: è impossibile che non ve ne siano. Farà sorridere, ma la stragrande maggioranza degli attacchi che le persone subiscono non sono mai dovuti a operazioni volte a “bucare” un obiettivo specifico, ma sono fatti per carpire informazioni, per fare phishing, per prendere possesso di account social, o per fare cryptolocker. Questi attacchi sono possibili per tre ragioni, che sono le stesse dagli anni Ottanta. La prima causa di sottrazione di dati è una weak password policy: cioè le persone usano password banali, le riusano spesso e volentieri, e quasi nessuno attiva l’autenticazione multifattore. Gli attacchi via password o phishing di password sono così numerosi che gli altri sono statisticamente irrilevanti. Quindi, più che avere paura dell’hacker cattivo che mi ruba l’account della banca, devo aver paura di me che do la password al primo che me lo chiede in modo credibile via mail. La seconda causa è la cattiva configurazione delle aziende del loro apparato informatico, la terza invece riguarda i mancati aggiornamenti dei sistemi operativi. Escluse queste ipotesi, la restante parte degli attacchi informatici diventa praticamente irrilevante. Gli attacchi mirati riguardano una frazione quasi non significativa dei cittadini italiani, ma richiedono decine di migliaia di euro per essere evitati. Possono colpire un vip, un’azienda, una multinazionale, ma è un discorso completamente disgiunto dalla security di base.

Nonostante ciò, il terrore che tutti hanno è che i propri dati sensibili, le proprie foto, gli indirizzi e numeri di telefono vadano a finire nelle mani sbagliate. Però già ora diverse aziende dispongono dei dati che volontariamente inseriamo su app di vario genere (food delivery e car sharing, ad esempio). Quali consigli darebbe per amministrare più in modo più sapiente le proprie informazioni?

 Ogni giorno diamo senza problemi una parte dei nostri dati e non ci preoccupiamo di che fine potrebbero fare un domani. Buona parte dei dati che Cambridge Analitica usava erano presi da quiz stupidi, applicazioni su Facebook, a cui le persone davano le proprie informazioni. Il problema è di educazione. Le persone non sono educate a essere diffidenti e a dare i propri dati solo a soggetti reputati affidabili. Un altro punto poi è che siamo disabituati a ragionare su dove finiamo noi e dove inizia internet. Sono il fondatore di Permesso Negato, un’associazione che si occupa di contrasto al revenge porn. Buona parte di quei contenuti derivati da hacking, sono stati ottenuti perché gli utenti avevano password attaccabili sui propri cloud e ignoravano il fatto che le loro foto non fossero in condivisione solo fra il proprio computer e il proprio telefono, ma che erano online. Il punto è ragionare su quanti dei nostri dati sono solo con noi e quanti invece vengono automaticamente caricati in rete. Non è un male che avvenga, ma in questo caso è necessario avere password forti e sistemi a doppia autenticazione. Insomma, bisogna fare attenzione a due aspetti: innanzitutto controllare a chi stiamo dando i nostri dati, e poi capire dove finisce il nostro telefono e inizia lo spazio in cui carichiamo le informazioni. Il cloud aumenta quella che in gergo si chiama “superficie d’attacco”. Prima, se volevi “bucare” il mio telefono dovevi farlo o da remoto e spendere tantissimi soldi, oppure rubarmelo fisicamente. Ora invece la superficie d’attacco è tutta internet.