Durante la mia passata esperienza professionale, nel collaborare con le Forze dell’Ordine e le Agenzie di intelligence italiane, ho potuto toccare con mano quanto queste organizzazioni criminali fossero già avanzate da un punto di vista tecnologico.
Nella normativa italiana manca la possibilità di collaborare da parte dello Stato con società esterne altamente qualificate e preferibilmente a capitale interamente italiano. Le quali possano affiancare le varie articolazioni dello Stato, offrendo il proprio contributo professionale e di competenze cyber.
Hacker criminali per il contro-spionaggio?
È già nella realtà che gruppi criminali (mafie e cartelli) e cellule terroristiche stiano ingaggiando o appaltando hacker per fare contro-spionaggio. Operazioni che vanno ad identificare informatori, seguire agenti, anticipare blitz e “bruciare” indagini.
Un audit del Dipartimento di Giustizia USA ha documentato che nel 2018 un hacker al soldo del cartello di Sinaloa ha ottenuto metadati e geolocalizzazioni dal telefono di un funzionario FBI a Città del Messico. Inoltre, ha usato la rete di telecamere cittadine per seguirlo e identificare informatori, poi intimiditi o uccisi. Il caso è pubblico dal giugno 2025.
Hamas ha condotto più campagne di social-engineering, honeytrap contro militari israeliani con app fake che installavano spyware su Android per raccogliere la posizione. E insieme, anche microfono e fotocamera. Si è trattato di una forma di intelligence tattica contro apparati di sicurezza.
Ed infine in Italia. La ‘ndrangheta per esempio, grazie al suo enorme potere economico, è in grado ed in parte già lo fa, di assoldare al proprio servizio crew di cyber criminali, deputate proprio al contro spionaggio e quindi alla sorveglianza di tutti quei soggetti, investigatori compresi, che dovessero rappresentare un “problema” per l’organizzazione.
Un confronto con le agenzie di intelligence occidentali
Stiamo parlando di vere e proprie operazione di contro spionaggio, con dispiegamenti di “dispositivi” e relativi asset. Tutti questi, per livello di sofisticazione, tecnologia e numero, sono assolutamente paragonabili ad un’Agenzia di intelligence occidentale.
Durante la mia passata esperienza professionale, nel collaborare con le Forze dell’Ordine e le Agenzie di intelligence italiane, ho potuto toccare con mano quanto queste organizzazioni, fossero già avanzate da un punto di vista tecnologico.
Spesso mi sono imbattuto infatti nei famigerati “Aquarius”. Vale a dire smartphone dotati di sistemi operativi proprietari e di livelli di crittografia dei dati e delle comunicazioni, che li rendevano praticamente quasi inattaccabili e quindi perfetti per organizzazioni terroristiche e di criminalità organizzata.
Le reazioni dei Governi: in Usa si reclutano Cyber Warriors
Per combattere tutto questo, gli Stati ed i Governi, gli USA per esempio tramite la NSA lo fanno da anni, stanno reclutando e formando team di “Cyber Warriors”.
Queste unità sono pronte non solo a difendere gli asset e le informazioni strategiche dello Stato ma – protetti legalmente in quanto inseriti in quadri normativi ben definiti – sono autorizzati, quando richiesto, ad attaccare e disarticolare organizzazioni e relative infrastrutture tecnologiche.
Ovviamente, qualora si fossero rese responsabili di attacchi o tentativi di spionaggio o se anche solo fossero ritenute un possibile pericolo per la sicurezza nazionale.
E in Italia?
In Italia tutto questo resta ancora un miraggio. Il tutto, nonostante da più parti si sia invocata l’adozione di quadri normativi che favoriscano e permettano alle varie articolazioni dello Stato (Agenzie di Intelligence e Forze dell’Ordine) di poter acquisire risorse umane. Le quali, altamente qualificate, servirebbero per creare team specializzati nel Counter Hacking e nell’Hacking Back.
Ad oggi le varie articolazioni dello Stato si avvalgono occasionalmente di società esterne specializzate soprattutto nelle intercettazioni telematiche. Manca, tuttavia, un piano preciso e strutturato. Permanendo un quadro normativo almeno “incerto”, che spesso rappresenta un enorme limite (se non in qualche caso un grandissimo rischio per queste società), si rischia di finire in grossi guai dal punto di vista legale.
Dove dovrebbe migliorare il Sistema Paese?
Cosa deve fare l’Italia per dotarsi di strutture ed asset in grado di poter essere pronte non solo a difendere le proprie infrastrutture ed interessi ma anche di “attaccare o contrattaccare” nel caso ce ne fosse bisogno?
Innanzitutto l’Italia deve dotarsi di un quadro normativo specifico chiaro. Un quadro che definisca organi e procedure di controllo snelle e chiare. E soprattutto che definisca quali sono le articolazioni e in quali casi possano passare dalla cyber resilienza al cyber attacco. Quest’ultimo, ovviamente, passa dalla definizione puntuale di fattispecie specifiche da parte del legislatore.
Un primo timido passo lo si è fatto con il DL 115/2022 (“Aiuti-bis”) art. 37, convertito in L. 142/2022. Con questa iniziativa, l’allora Governo Draghi, ha introdotto per legge le “misure di intelligence di contrasto in ambito cibernetico”. Di fatto costituiva il perimetro legale del cosiddetto hack-back statale, seppure con paletti molto stretti, che ne limitano di molto le capacità operative.
Il principale limite era in riferimento soprattutto alla lunga catena autorizzativa che prevede che fosse la Presidenza del Consiglio ad emanare le disposizioni e le relative autorizzazioni, previo parere CISR e informativa COPASIR, con il coordinamento da parte del DIS, di AISE/AISI che poi le avrebbero eseguite. Si aggiungeva la cooperazione del Ministero della Difesa, nei limiti dell’art. 88 della stessa legge.
Limiti e mancanze della catena di comando
Questa lunga catena di comando e controllo spesso potrebbe rappresentare un grosso limite, viste le esigenze operative sul campo che si dispiegano con tempistiche di analisi e risposta spesso ristrettissime.
Ovviamente un catena di controllo è assolutamente necessaria per evitare possibili abusi ed usi distorti di queste capacità. Tuttavia, va trovato un compromesso che contemperi queste due esigenze, al fine di rendere questo strumento realmente efficacie per la difesa dell’interesse nazionale.
Nella legge manca invece totalmente quello che, a mio modesto parere, è l’altro pilastro su cui si deve poggiare una strategia di questo tipo. Vale a dire la possibilità di collaborare da parte dello Stato con società esterne altamente qualificate e preferibilmente a capitale interamente italiano. Le quali possano affiancare le varie articolazioni dello Stato, offrendo il proprio contributo professionale e di competenze cyber.
Tutto ciò allargando ad esse, “l’ombrello normativo” già previsto per le articolazioni dello Stato, in maniera tale che ci sia un ambito definito e chiaro per quei soggetti. Costoro rappresentano un enorme bacino di competenze.
Oggi però viene poco sfruttato se non osteggiato, con un atteggiamento quindi in netto contrasto con quell’approccio secondo me strategico rappresentato dalla “Sovranità tecnologica”. Quest’ultima, in effetti, nonostante spesso la si invochi, ancora tarda ad essere messa in campo in maniera pratica.
Articolo di Diego Fasano, CEO di Ermetix
