Forze dell'ordine e Ministeri italiani in balia dell'antivirus... di Mosca

AGGIORNAMENTO 6/4: In basso, la precisazione dell'azienda che sostiene di non aver legami con alcun governo e di rispettare i più elevati standard di etica commerciale.
Fabio Pietrosanti è presidente del Centro Hermes per la Trasparenza e i Diritti Umani Digitali. È un'associazione di cyberattivisti che fa parte di un network europeo, European Digital rights che si occupa di diritti civili legati alla società dell’informazione. Ci ha raccontato che Kaspersky, un colosso della cybersecurity russo, noto per gli antivirus, poi evoluto con soluzioni più sofisticate, oggi viene adoperato sia in ambito privato che pubblico. E poi c'è il caso italiano.
Qual è questa anomalia?
Facendo una ricerca online anche dai dati di trasparenza sugli acquisti, emerge che tutte le agenzie di sicurezza italiane: polizia, carabinieri, Ministero dell’interno, Giustizia, Difesa, Servizi segretii, utilizzano e acquisiscono software antivirus Kaspersky. In buona sostanza, su tutte le agenzie di sicurezza italiane, c’è un pezzo di software prodotto in Russia che ogni giorno si collega a Mosca per effettuare controlli sugli aggiornamenti.
E che male c’è? Non è la ricerca del minor prezzo? È vietato?
Nell’ambito di determinati contesti, della sicurezza nazionale è necessario utilizzare tecnologie di sicurezza nazionali, o europee o di paesi nell’ambito della Nato. Tuttavia l’ambito della sicurezza informatica essendo non ancora molto ben regolamentato, fa sì che si utilizzino alcune aziende che sono al di fuori di quella che è l’alleanza atlantica. Questo è uno di questi esempi.
Quale può essere il rischio di delegare la sicurezza interna italiana a un’azienda russa?
Facciamo un esempio molto pratico e realistico. Se domani lo FSB o i militari russi avessero l’esigenza di accedere a un computer dell’intelligence italiana o della difesa o della polizia italiana, per un'esigenza specifica, queste istanze russe, laddove avessero il potere di coercizione legale o istituzionale nei confronti di Kaspersky, potrebbero richiedergli che invece di far scaricare un aggiornamento dell’antivirus, venga scaricato un captatore informatico con finalità di spionaggio.
Se n’è accorto qualcuno di questa anomalia?
Attualmente è un’analisi del tutto preliminare. Bisognerà attuare degli approfondimenti. Vogliamo conoscere il dettaglio di installato della tecnologia Kaspersky nelle agenzie di sicurezza italiane. Certo è, che in altri paesi, come ad esempio la Francia, c’è maggiore attenzione alla provenienza delle tecnologie che vengono utilizzate in contesti di sicurezza strategica.
Trump che ha fatto negli Usa?
Nonostante l'amministrazione Trump abbia esplicitamente vietato l’utilizzo di tecnologia Kasperski, già prima della normativa introdotta a dicembre negli Usa, per le organizzazioni militari e l'intelligence, era fatto divieto di utilizzare apparati non prodotti all’interno degli Usa. Quello che ha fatto Trump è stato di introdurre il divieto anche per le agenzie civili. Non è che importante vietare le tecnologie di un certo paese o di un certo produttore, ma avere un processo di selezione dell’origine geopolitica, delle tecnologie che prima guardi al proprio paese, poi alla propria area geografica e di alleanze e solo dopo, laddove non ci fossero soluzioni guarda al di fuori.
A parte Kaspersky ci sono altri punti inusuali a livello italiano e europeo?
Questo è un dato sconcertante quanto realistico: pressoché la totalità delle infrastrutture mobili di telecomunicazioni, di operatori mobili europei utilizza tecnologie ZTE e Huawei che hanno un prezzo di acquisto decisamente inferiore, si parla anche del 25%, 30% inferiore al prezzo di mercato rispetto all’equivalenza delle tecnologie europee. Quindi il grosso delle tecnologie e parte delle infrastrutture critiche di telecomunicazioni mobili europee è oggi in mano ai cinesi.
Anche Kaspersky fa dumping con i prezzi?
Non ho informazioni ufficiali, ma attraverso interviste informali posso dire che il risparmio è sempre in quell’ordine di grandezza. C’è da domandarsi, come legittimo dubbio, e non come insinuazione, se queste strategie di prezzo siano rivolte a un’acquisizione di fette di mercato per finalità politiche, anche indirettamente, e non necessariamente di di tipo imprenditoriale.
Di questi fatti che Lei ci racconta se ne parla?
Allo stato corrente non se ne parla su alcun media anche perché significherebbe dover ammettere un errore grossolano fatto in ambito istituzionale, praticamente di tutte le istituzioni. Queste sono tutte informazioni disponibili online sui siti delle varie agenzie di sicurezza secondo la legge 190/2012 che obbliga la pubblicazione degli acquisti relativi alla PA. Semplicemente qualcuno non ha fatto il suo lavoro.