Fortunato Ammendolia, informatico e animatore della comunicazione e della cultura del COP, studioso di pastorale digitale, «religious sentiment analysis», intelligenza artificiale ed etica
«Dall’inizio di maggio 2020, il Vaticano e la diocesi cattolica di Hong Kong risultano essere state tra le organizzazioni […] prese di mira da RedDelta, un gruppo impegnato in attività di attacco informatico, sponsorizzato dallo stato cinese […]. Questa serie di sospette intrusioni di rete ha preso di mira anche la Hong Kong Mission Study in Cina, e il Pontificio istituto per le missioni estere (PIME), in Italia. […] Queste intrusioni informatiche si sono verificate prima del previsto rinnovo, nel settembre 2020, dello storico accordo provvisorio tra Cina e Vaticano del 2018, un accordo che, secondo quanto riferito, sta portando il partito comunista cinese (PCC) ad acquisire maggiore controllo e supervisione sulla comunità cattolica “nascosta” del Paese, storicamente perseguitata». Si tratta di un passaggio graffiato dal rapporto CTA-CN-2020-0728 prodotto dalla Record Future, società privata americana del Massachusetts specializzata in intelligence sulle minacce, ovvero nel tracciare gli attacchi informatici subiti da organizzazioni e Stati, e nel promuovere il potenziamento degli strumenti di sicurezza. Il rapporto dichiara che a identificare e profilare la campagna di cyberspionaggio attuata da RedDelta è stato l’Insikit Group, il quale si è avvalso in particolar modo di risorse proprie della Record Future.
Dal documento emerge che l’attacco sferrato per carpire le intenzioni della Santa Sede, si sia avvalso di documenti esca – primo tra tutti, una lettera di cordoglio del Santo Padre per la morte del vescovo Joseph Ma Zhongmu, a monsignor Javier Herrera Corona (capo della Hong Kong Mission Study) –. Documenti dall’aspetto legittimo che hanno di fatto installato sul computer dell’utente che li ha ricevuti «software dannoso» (malware). Certamente «il rapporto sarà [il risultato] di grande interesse per coloro che sono impegnati nella difesa della rete nel settore privato, pubblico, e nelle organizzazioni non governative (ONG) con presenza in Asia, ma anche per quanti sono interessati alla geopolitica cinese».
Tuttavia, tra il «non ci sono riscontri di un attacco specifico» dichiarato da mons. Javier Herrera Corona, e il «non dovrebbero essere fatte ipotesi arbitrarie» del portavoce del Ministero degli Affari Esteri del governo cinese, preferiamo spostare l’asse del discorso dalla questione «del rapporto in sé» a quella della cyber security. Di fatto, una Chiesa che abita l’infosfera è chiamata a vigilare anche sugli attacchi informatici e a promuovere azioni liberanti per l’uomo. Ciò è materia di pastorale digitale, nell’ampio scenario che andiamo a delinerare. Questo contributo, quindi, è da intendersi come introduzione alla questione «Chiesa e cyber security», con focus su «termini» fondamentali e su «processi» da incoraggiare.
Quando si parla di attacco informatico, la prima parola che viene in mente è hacker. Nell’enciclopedia Treccani si legge che l’hacker è un: «esperto di programmazione e di reti telematiche che, perseguendo l’obiettivo di democratizzare l’accesso all’informazione e animato da princìpi etici, opera per aumentare i gradi di libertà di un sistema chiuso e insegnare ad altri come mantenerlo libero ed efficiente. […] Sebbene generalmente si tenda a confondere gli hacker con i pirati informatici, o crakers, il cui scopo è danneggiare un sistema informatico, quest’ultimo termine, dal valore fortemente spregiativo, è stato invece coniato dagli hacker stessi per definire chi non abbia rispetto delle proprie abilità informatiche. In relazione agli scopi perseguiti, si distinguono tre differenti categorie di hacker: white hat hacker, il cui operato corrisponde a un rigoroso rispetto dell’etica hacker; black hat hacker, chi violi illegalmente sistemi informatici con o senza vantaggi personali; grey hat hacker, l’hacker cui non siano applicabili queste distinzioni o che passi facilmente dall’una all’altra categoria». Dalla definizione appena citata, si comprende che non si può fare una semplificazione semantica del termine con orientamento solamente negativo. Non a caso si parla di hacking etico, ovvero di attivazione di processi in cui organizzazioni private o pubbliche per trovare «vulnerabilità» nei propri sistemi informatici coinvolgono white hat hackers. Una prospettiva che contempla corsi di formazione, conferenze e certificazioni. Una prospettiva che orienta al bene, dando «senso» alle capacità dell’hacker. Una prospettiva che ci permette pure di ricordare che nel variegato scenario dell’hacking, qualora un’attività di attacco non riceva il consenso del proprietario del sistema, essa è da considerarsi illegale. E il biblico «non rubare» – che non vuole né un derubato di beni, né un ladrone che fa uso o abuso di quegli stessi beni –, in tal senso, obbliga a una «restituzione costruttiva».
Ma un attacco informatico, con il suo malware, può fare di più che aprire un varco in un sistema, estrarre informazioni o modificarle. La storia dell’hacking, infatti, non dimentica il malware Stuxnet, a ragione definito la prima arma digitale, in un contesto di guerra cibernetica (cyberwarfare) tra stati. Stuxnet agì nel 2010: introdotto attraverso una chiavetta USB, arrecò danni fisici alle apparecchiature – sabotaggio delle centrifughe per l’arricchimento dell’uranio – dell’impianto nucleare di Natanz, in Iran. Dai danni arrecati alle apparecchiature di Natanz, ai possibili danni arrecabili oggi nel contesto dell’Internet delle cose, Internet of things, in acronimo IoT –, dove la connessione in rete di oggetti «smart» – «intelligenti» – apre alla possibilità di attacchi informatici da remoto che potrebbero compromettere il funzionamento di uno o più di essi. Fino a colpire la vita stessa dell’uomo. Si pensi alle conseguenze dell’attivazione in remoto dei freni di un veicolo marciante, contro la volontà del guidatore; si pensi pure alle conseguenze del sabotaggio da remoto dei microinfusori di insulina, o più in generale di oggetti che stabilizzano parametri vitali. Non è un caso che la lingua inglese disambigui ciò che in italiano chiamiamo «sicurezza» in termini di safety e security. Infatti, ciò che è safe, ovvero realizzato per rispondere in sé a dati requisiti, non è detto che sia secure, ovvero non sabotabile dall’esterno. Nel 2016, Corrado Giustozzi, esperto in materia di sicurezza, nell’evento TEDxCNR, ha evidenziato: «Il male esiste, i cattivi ci sono, cattivi veri: la criminalità organizzata, che è sempre un passo avanti ai buoni, e che per fare soldi ha imparato a fare ricatti bloccando computer. Ma ci sono altri cattivi che ci preoccupano ancora di più: […] quelli che potrebbero capire che si fa terrore non soltanto entrando in un ristorante o in una discoteca e sparando all’impazzata con il Kalashnikov alla gente, ma spegnendo i pacemaker delle persone che stanno al cinema, o al giubileo o in metropolitana».
La cyber security, tesa a garantire la sicurezza dei sistemi informatici e delle reti, intreccia elementi tecnici, organizzativi, giuridici, umani. Il Vaticano non è fuori dalla questione. Non mancano, infatti, intorno a papa Francesco, esperti in cyber security: il suo stesso angelo custode, il comandante della Gendarmeria vaticana Gianluca Gauzzi Broccoletti, è uno di essi. Abitare l’infosfera in modo sicuro non può infatti non contemplare il codice informatico realizzato a tale scopo, avvalendosi anche del machine learning – apprendimento automatico –, branca dell’intelligenza artificiale. Occorre, tuttavia, che la questione della cyber security sia affrontata anche a livello di diocesi e di parrocchie. Nella 71a Assemblea generale della Conferenza episcopale italiana, tenutasi nel maggio 2018, con l’approvazione di un aggiornamento del decreto generale (datato 1999) Disposizioni per la tutela del diritto alla buona fama e alla riservatezza, la Chiesa cattolica italiana ha siglato la ricezione del regolamento UE n. 2016/79, meglio noto come GDPR, Regolamento generale per la protezione dei dati. Di questa ricezione va evidenziato il Capo V: Elaborazione dei dati e misure di sicurezza.[1]
Davanti agli attacchi informatici, ciascuno, nel suo piccolo, può iniziare a difendersi. È necessario, innanzitutto, aprirsi alla formazione per riconoscere la buona comunicazione in rete, per riconoscere attività di phishing costruite con l’ingegneria sociale, dove si fa leva sulla psicologia dell’individuo, opportunamente studiato, per ottenere informazioni desiderate. È necessario buon senso. È di certo utile un forno a microonde collegato alla rete e controllato in remoto dal telefonino, ma … dallo stesso telefonino con cui controllo il conto bancario? Qualche interrogativo dovrebbe nascere, prima di ogni utilizzo, per garantirsi protezione. In risposta al rapporto della Record Future, mons. Javier Herrera Corona avrebbe commentato: «La Santa Sede, non discute informazioni relative ai negoziati attraverso canali elettronici: il danno causato da qualsiasi violazione sarebbe quindi sempre limitato». Si dovrebbe, però, auspicare che l’eventuale intercettazione in rete di informazioni relative a negoziati aprisse allo stupore, per una comunicazione intrisa del linguaggio di Cristo, e non di quella dei potenti. A fare la differenza è sempre l’amore!
Va detto che riflessione e prassi sul binomio Chiesa e cyber security guardano ben oltre il «difendersi» della Chiesa dagli attacchi in rete. Sottolineando la salvaguardia del creato, il monito lanciato ai progettisti non può che essere quello di pensare «tecnologie» in cui safety e security siano sempre più convergenti. In quella direzione già tracciata nel marzo 2018 con il primo «Vatican Hackathon», apprezzato da papa Francesco, in cui 120 giovani esperti in diversi settori dell’informatica, provenienti da sessanta università del mondo e appartenenti a fedi diverse, hanno fatto a gara per trovare e proporre soluzioni tecnologiche ai problemi di oggi.
[1] Rimando, per approfondimenti, alla pagina: https://giuridico.chiesacattolica.it/chiesa-e-privacy.
© Tutti i diritti sono riservati.