In Vaticano, nonostante le minacce informatiche presso la Santa Sede siano all’ordine del giorno, manca un vertice che si occupi della sicurezza cyber. Anche di questo dovranno occuparsi i tecnici nel contesto del nuovo corso che è appena cominciato.
I limiti della sicurezza cyber vaticana
La sicurezza cyber del Vaticano – alla luce delle molteplici minacce cibernetiche che ogni giorno colpiscono la Santa Sede – continua ad essere un motivo di grande interesse. Del resto, il fatto che manchi un vero vertice deputato alla gestione della materia ha destato non poche preoccupazioni.
Da anni, in effetti, non si contano le sollecitazioni affinché ci sia una curva maggiore degli affari digitali. Attualmente, infatti, in Vaticano a supervisionare la sicurezza cyber ci sono novanta volontari. Dal 2022, a capo di questa rete c’è Joe Shenouda. Il gruppo si occupa, su base quotidiana, di monitorare l’infrastruttura digitale del Vaticano.
In effetti, le vulnerabilità di questo sistema sono fin troppo evidenti. Si pensi solo che nel 2020, in piena pandemia, gli asset della Santa Sede subirono molteplici attacchi con la perdita di una notevole mole di dati. Sebbene i segnali fossero evidenti, non c’è stata alcuna sterzata.
Questione di nomine
Formalmente, presso la Santa Sede non è (ancora) stato nominato un Chief Information Security Officer (CISO). Il CISO – noto anche come Direttore della Sicurezza Informatica – è una figura chiave.
Si tratta infatti di quel responsabile che in ogni organizzazione si occupa di proteggere le informazioni e i sistemi informatici. Mancando un CISO, non ci sono linee programmatiche di politica informatica. I CyberVolontari hanno cercato di operare, con tutti i limiti che un rapporto operativo simile può corrispondere.
Eppure, l’anno precedente – nel 2019 – Papa Francesco aveva nominato Gianluca Gauzzi Broccoletti nuovo direttore della Direzione dei Servizi di Sicurezza e Protezione Civile dello Stato della Città del Vaticano. L’ingegnere, allora nuovo capo dei gendarmi vaticani era al contempo divenuto Comandante del Corpo della Gendarmeria.
Alla luce del ruolo diplomatico che ricopre la Santa Sede, però, questa scelta è rimasta quasi un unicum. Ed è incredibile, nella misura in cui – oltre ad essere un autorevole soggetto diplomatico – possiede beni di ogni genere (si pensi solo a quelli finanziari), oltre ad archivi informatici, di qualsiasi tipologia.
Come operano i volontari
In relazione alla situazione di fatto, le attività dei Vatican Cybervolunteers sono molto importanti. La particolarità, tuttavia, è che tutte le loro attività sono pressoché informali. Il gruppo non ha alcun rapporto ufficiale con Stato vaticano. Non ci sono contratti che definiscono le posizioni dei volontari, né contatti ad alto livello con le gerarchie.
In termini operativi, le riunioni e lo scambio di posizione avviene tramite Signal. Non ci sono comunque degli archivi digitali, in quanto una volta che si è proceduto a scambiare e a confrontare le informazioni, le comunicazioni vengono cancellate.
Le attività principali di questo ‘corpo’ sono l’approfondimento e l’esame di tutte le potenziali minacce, cominciando dall’accento sui singoli livelli di vulnerabilità. Da qui, si stilano successivamente dei rapporti, che a loro volta trovano la condivisione con i contatti presso la Città del Vaticano. All’interno di questa rete – di volta in volta – questi contatti fungono da tramite, nei confronti delle più alte gerarchie.
Solitamente, sebbene non sempre, questi moniti non passano inosservati. Anzi, “nove volte su dieci nel giro di qualche giorno la vulnerabilità viene risolta“, ha sottolineato Joe Shenouda. Nella misura in cui questo non accadesse, “comincia un’opera di pressione piuttosto insistente” affinché si operi. Anche in questo caso, l’opera di convincimento ha spesso offerto delle ottime garanzie di risposte positive.
Il livello delle minacce
Non essere in linea con le sfide della contemporaneità significa essere, potenzialmente, una fucina per gli illeciti. Tant’è che, studi e analisi alla mano, in Vaticano ogni giorno si assiste all’attacco di innumerevoli fenomeni criminali, con disservizi e rallentamenti dei servizi essenziali locali.
In questa particolare lista, hanno presenziato i tentativi di Distributed Denial-of-Service (DDoS), ossia attacchi informatici contro siti e servizi del web. DDoS che sono arrivati persino da parte di hacker criminali dilettanti. Immancabili le campagne di phishing mirate da potenze straniere, così come falsi hotspot Wi-Fi nei pressi del Vaticano o dei costrutti di ingegneria sociale rivolta a vescovi e cardinali.
Per questo, Joe Shenouda ha lanciato un appello. In questi termini: “È ora che la Santa Sede e tutte le organizzazioni che ancora esitano facciano della cybersicurezza una priorità assoluta“.
