L’inchiesta pubblicata il 18 marzo dalla newyorkese ProPublica, una piattaforma aperta dedicata al giornalismo investigativo, non rappresenta soltanto un terremoto tecnologico per il Pentagono: proietta addirittura un’ombra inquietante sull’intera impalcatura della pubblica amministrazione italiana. Nel momento in cui i tecnici del FedRamp, incaricati di validare i sistemi per la sicurezza nazionale americana, definiscono testualmente l’infrastruttura cloud di Microsoft come una «pila di merda», l’Italia si scopre nuda proprio mentre rivendica una presunta sovranità digitale attraverso il pomposamente battezzato «Polo strategico nazionale».
La definizione adoperata dagli specialisti a stelle e strisce, per l’appunto «una pila di merda», definizione cruda se si vuole ma ben documentata nei verbali interni, fotografa perfettamente il mix di gravità e grottesco in cui l’Occidente sembra essersi cacciato. Una potenza come gli Stati uniti che affida i propri segreti più intimi a una struttura definita fatiscente dai suoi stessi controllori come si rapporta con le sfide che deve affrontare e coi suoi mostri? La pervasività dei sistemi del colosso Redmond nelle nostre istituzioni non è più solo una questione di efficienza burocratica o di costi di licenza, ma si configura come una falla geopolitica e criminogena di proporzioni inedite che mette a nudo l’inconsistenza dei protocolli di verifica: anche nella vecchia cara, in tutti i sensi, Europa. Per questo è bene che il rapporto tra i prodotti Microsoft e la pubblica amministrazione del Belpaese meriterebbero un bel check-up.
A ogni modo questa opacità strutturale offre un fianco scoperto non solo alle potenze straniere, ma soprattutto a un attore storicamente rapido nell’occupare i vuoti di potere e di controllo: la criminalità organizzata. Le mafie contemporanee hanno completato da tempo la loro metamorfosi, quando serve, in cybermafie. Si tratta di entità ibride. Che utilizzano le vulnerabilità dei software come un tempo utilizzavano l’intimidazione fisica per controllare il territorio. In un Paese come l’Italia dove grazie ai fondi del Pnrr si sta spingendo verso la digitalizzazione forzata della sanità e della giustizia, l’esistenza di falle strutturali o di sistemi di sorveglianza affidati a personale non verificabile diventa un’autostrada per il ricatto e l’estorsione.
La cosa si evince dal sistema degli escort digitali emerso nell’inchiesta americana. Detto alla grezza si tratta dei moduli di comunicazione che consentono agli utenti di connettersi a vecchi server aziendali che non parlano i linguaggi di sicurezza moderni. Poiché tali codici sono stati scritti negli anni ’90 e mai aggiornati secondo gli standard odierni, questi moduli sono pieni di falle strutturali. Una mafia o cybermafia che riuscisse a infiltrarsi nelle maglie larghe di un poco trasparente archivio digitale governativo disponibile on-line (in gergo cloud), potrebbe portare a segno scorribande micidiali. Potrebbe avere accesso preventivo a fascicoli processuali, intercettazioni digitali o dati sanitari sensibili, trasformando l’informazione in una merce di scambio per condizionare sentenze, appalti e carriere politiche, rendendo di fatto vani gli sforzi, solo per dirne una, del Garante della privacy nonché le tutele formali del Gdpr. Poi ci sono altri aspetti sensibili della vita istituzionale di un Paese che sono ovviamente alla luce del sole.
Il quadro normativo europeo sta tentando con il «Data act» e il «Cloud act» di arginare lo strapotere «degli hyperscaler americani»: ovvero dei grandi colossi che forniscono servizi di archiviazione on line. Ma è in grado di farlo? Alla fine, i princìpi di trasparenza e equidistanza cristallizzati nella disciplina europea finiscono per cozzare con una realtà tecnica di totale dipendenza. La pretesa di proteggere i dati dei cittadini europei attraverso trattati come il «Data privacy framework» appare velleitaria se non tragicamente ingenua se l’infrastruttura sottostante è minata da una gestione del codice che sfugge persino al controllo del Pentagono.
Sempre che non si tratti addirittura di dolo, è grave l’errore cognitivo delle classi dirigenti. Che risiede nell’aver scambiato la esternalizzazione tecnologica con la messa in sicurezza dei dati: il tutto ignorando che la sovranità non si esercita con i timbri sui contratti, ma con la capacità di audire e contestare le architetture fornite. Le mafie non hanno bisogno di abbattere l’intero sistema. A loro basta scivolare nelle zone d’ombra create dalla mancanza di expertise interna della nostra amministrazione, sfruttando quella «pila di merda» tecnologica per mimetizzare operazioni di esfiltrazione dati e infiltrazione istituzionale.
Senza una classe di specialisti e analisti pubblici capaci di sfidare tecnicamente le multinazionali fornitrici, lo Stato italiano si riduce al ruolo di un utente passivo che accetta certificazioni di facciata prodotte da revisori pagati dagli stessi fornitori. La vulnerabilità del Belpaese è dunque antropologica e culturale prima ancora che informatica: è la rinuncia a comprendere lo strumento che gestisce una data porzione di governo, lasciando che sia il mercato a decidere il perimetro della nostra sicurezza nazionale.
Il miglioramento della nostra infrastruttura non passa dunque per l’acquisto dell’ultimo pacchetto software aggiornato, ma per un investimento radicale nella coscienza tecnica della macchina statale e in una narrazione giornalistica che abbia il coraggio di chiamare le cose con il loro nome. Solo restituendo al dibattito pubblico il senso del rigore e della verità documentata, anche nella sua forma più grottesca, potremo sperare di costruire una vera barriera contro l’abbraccio letale tra inefficienza corporativa e opportunismo criminale.
A ogni modo sullo sfondo di questa vicenda svetta un aspetto surreale. Da anni gli Usa hanno identificato nella Cina se non un nemico quantomeno un avversario strategico. Che poi è il prodromo del nemico. Per ridurre i costi e massimizzare i profitti, Microsoft ha permesso che porzioni del codice e della gestione dei servizi cloud venissero gestite o fossero accessibili da personale e infrastrutture in Cina. Questa premessa sarebbe stata alla base di un gravissimo incidente informatico del 2023. Quando gli hacker cinesi sono riusciti a rubare una chiave di firma digitale di Microsoft, ottenendo l’accesso alle e-mail di alti funzionari del Dipartimento di Stato e del Commercio americano. L’imbarazzo associato a questo svarione americano è ancora tangibile, anche grazie all’inchiesta di ProPublica.