Autore: Stefano Ricci 20/06/2019
Che la moderna terminologia politologica stia lentamente mutando sotto la spinta incessante dell’innovazione tecnologica e delle nascenti problematiche da essa derivanti, è ormai fatto indubbio: negli ultimi anni, sono centinaia gli attori e i decisori governativi che hanno iniziato a presidiare gli spazi virtuali e non possiamo certo negare, in questa sede, che proprio la dimensione cibernetica sia destinata a giocare un ruolo di primissimo piano nella definizione futura degli equilibri geopolitici mondiali.
Parallelamente, gli operatori di settore, e l’opinione pubblica tutta, possono assistere – con una certa, piacevole sorpresa – alla nascita di nuove figure professionali, come ad esempio il data protection officer (in materia di trattamento dei dati sensibili), l’ethical hacker (per la verifica della sicurezza informatica di una specifica organizzazione o azienda) e, ultima in ordine cronologico, l’ambasciatore per la cybersicurezza all’estero.
Quest’ultima definizione è forse la più utile per comprendere quanto penetrante possa essere lo spazio cyber nel compimento di precise scelte di ordine economico, sociale e politico; primo ambasciatore per la cybersicurezza all’estero è l’estone Heli Tiirmaa-Klaar, incaricata dal governo di Tallinn di “scrivere” le regole della politica estera estone in materia di sviluppo digitale e sicurezza della sfera cibernetica nazionale, al fine di promuovere azioni e collaborazioni che abbiano come obiettivo specifico lo sviluppo di una più diffusa partecipazione globale al miglioramento delle relazioni internazionali.
Per l’appunto, l’esigenza di creare una simile figura chiarisce quanto la politica odierna sia in affanno circa la piena comprensione d’uno strumento, per sua natura, effimero e intoccabile: da un lato essa, intuito come l’interesse nazionale sia vincolato al dominio informatico e che le condotte tenute all’interno delle reti virtuali possono generare pesanti ricadute internazionali, invoca una chiara e precisa regolamentazione internazionale che garantisca stabilità alla governance e certezza ai mercati, così da limitare i comportamenti non-virtuosi e scoraggiare la guerriglia cibernetica.
Dall’altro, però, essa stessa sembra ignorare come proprio il cyber-spazio sia, per sua definizione, l’unico spazio “reale” in cui è pressoché impossibile realizzare qualsiasi tentativo di normativizzazione dello stesso; di fatto, il cyber-space è l’ultima frontiera del nostro tempo, una giungla in cui smarrirsi è facile tanto quanto parlarne con avventatezza.
Mentre nelle altre dimensioni geopolitiche è relativamente facile identificare attori, sistemi e proiezioni, nel caso della geopolitica cibernetica queste definizioni lasciano spesso il tempo che trovano, così come appare molto complesso evidenziare le responsabilità dei diversi player nazionali nel caso di attacchi e violazioni informatiche: insomma, mentre è semplice indicare questo o quel governo nella responsabilità di un’invasione territoriale, lo stesso non può dirsi per le intrusioni a mezzo cyber.
Abbiamo più volte testimoniato quanto sia difficile identificare i responsabili nel caso di comportamenti del tutto sanzionabili: pensiamo al caso del malware WannaCry o ancora al più recente NotPetya.
Si tratta di strumenti capaci di paralizzare infrastrutture pubbliche e di diffondersi su scala globale con relativa facilità e rapidità: Stati Uniti, Russia, persino la Tasmania, nel caso dei malware appena citati.
Il problema sorge, inoltre, nell’approccio concettuale alla questione: se da un lato, infatti, per la redazione di specifici accordi di natura politica o collaborazione militare, i vari governi fanno affidamento sulla buona preparazione di tutto il comparto tecnico-diplomatico, lo stesso non può certo dirsi per le questioni puramente informatiche, dove sono il ritardo culturale e l’impreparazione a farla, spesso, da padroni e dove sono gli stessi operatori del comparto politico a dominare la scena (con buona pace dei white hats in ogni angolo del globo).
Si cerca oggi di “normare” lo spazio virtuale attraverso il ricorso a strumenti di natura giuridica, ma non si riesce nemmeno ad ammettere l’evidente impossibilità nel chiudere una piattaforma di file-sharing senza che da essa ne esploda – come la celeberrima testa dell’idra – una serie di cloni.
Insomma, se da un lato la questione tecnologica è andata avanti nel suo percorso di vita, lo stesso non può dirsi per la capacità di un intero comparto, quello economico-politico, di aggiornare la propria dialettica e di esser davvero formata su temi tanto sensibili quanto il dibattito sullo spread, la questione medio-orientale o l’accordo sul nucleare iraniano.
Non sarà una norma a garantire stabilità cyber a un sistema-Paese o a un’unione regionale di nazioni, ma la comprensione dei temi cibernetici: questa è la vera sfida per governanti e opinion leaders.
Solo attraverso il raggiungimento da parte del pubblico di una piena consapevolezza di ciò che un qualsiasi dispositivo “intelligente” oggi alla nostra portata può rappresentare, solo tramite un costante aggiornamento sui progressi della tecnologia e dell’informatica, solo grazie al ricorso agli strumenti della divulgazione scientifica e della preparazione tecnica, solo così verrà infine favorito il rispetto di misure minime di sicurezza.
In conclusione, non sarà un tavolo tecnico (nell’accezione più comune del termine) a determinare l’evoluzione digitale dell’ordine contemporaneo, né tantomeno un trattato multilaterale sarà capace di garantire il rispetto degli spazi virtuali dei vari paesi: il solo strumento in grado di fare la differenza oggi è l’informazione.
Questo è l’elemento mancante nell’attuale dibattito in materia: si parla di firewall, cyber-warfare, protezione delle infrastrutture sensibili, GDPR e quant’altro, ma non una goccia d’inchiostro è spesa per spiegare il concetto d’ingegneria sociale e, di conseguenza, per ricordare quanto sia il fattore umano a configurarsi come il vero ago della bilancia della questione.
Insomma, si potranno anche progettare i più sofisticati sistemi di difesa dalle intrusioni informatiche, ben vengano gli accordi internazionali e l’adozione di best practices, ma che non si dimentichi mai come dietro la tastiera di un computer vi sia, e vi sarà ancora per molto tempo, un operatore umano; un’entità, pertanto, limitata e fallibile.