Pierluigi Paganini, CEO di Cybhorus e Coordinatore Scientifico del Sole 24 Ore Formazione, è il protagonista del nuovo editoriale a tema cyber security, intelligenza artificiale e nuove minacce: gli attacchi sovraumani.
di Enzo Argante
Pierluigi Paganini, CEO di Cybhorus, Coordinatore Scientifico del Sole 24 Ore Formazione. In realtà sono moltissime altre le cose che fai e cominciamo da lì, giusto per inquadrare poi il contesto di tutto quello che diremo in questo nostro incontro.
Sì, io oggi sono appunto, come dicevi, fondatore di un'azienda, Cybhorus, che offre una serie di servizi in ambito cyber security, però la mia fenesi parte da molto lontano e uno dei principali successi che mi ha visto protagonista è quello della fondazione di un gruppo che si chiamava Cybaze nel 2017, che nasceva con sostanzialmente due obiettivi. Il primo era quello di creare in ambito cyber securityi un aggregazione di realtà che fino al 2017 nel nostro settore era un approccio non battuto, non seguito, almeno in Italia e dall'altro lato alla volontà di creare questa aggregazione utilizzando tutte le realtà italiane perché proprio in ambito cyber la possibilità di riferirsi alle risorse e tecnologie completamente italiane rappresenta un plus soprattutto in un momento in cui le tensioni geopolitiche diventavano sempre più pesanti. Osservavamo tutta una serie di rischi, che poi si sono materializzati, che tutt'oggi viviamo e quindi questa idea di far nascere questa azienda ebbe successo. Fondai un primo nucleo che si chiamava Cse CybSec che fu fuso poi con un'altra realtà che si chiamava Amaze, quindi da questa fusione nacque Cybaze e poi decidemmo di acquisire due aziende all'epoca piccoline, una era Yoroi, l’altra era Media Service, la prima eccellenza nella parte di threat intelligence, la seconda un'eccellenza nazionale e internazionale per quanto riguarda la parte di hacking. Fondammo questo gruppo che ci portò ad avere in veramente in pochi mesi una realtà che contava oltre 140 persone e che operava su tutto il territorio nazionale. Poi questa realtà è stata acquisita tre anni fa da un gruppo multinazionale che è il gruppo Tinexta, oggi conosciuta come Yoroi perché attraverso una serie di fusioni e quant'altro è rimasto in piedi come nome Yoroi, però questa è la genesi di quel gruppo e la motivazione che c'era dietro la nascita di quella realtà in ambito cyber security.
Quindi, come si evince, assolutamente titolato a rispondere alla prossima domanda. Cerchiamo di essere semplici e nello stesso tempo globali nella risposta. Quali sono i rischi, se si può sintetizzare questo pensiero, che colgono le persone, le imprese, le infrastrutture, le istituzioni? Quali sono i reali pericoli dei cyber attacchi?
Allora, il primo concetto di cui dobbiamo prendere consapevolezza è il fatto che oggi abbiamo un livello di penetrazione della tecnologia nelle nostre vite importante. Abbiamo una sovrapposizione quasi totale del nostro vissuto quotidiano e del nostro vissuto digitale, quindi non importa che ci si stia riferendo a un cittadino, un'azienda, un’organizzazione governativa. Di fatto siamo tutti nodi di una rete globale e con questa rete scambiamo un quantitativo enorme di informazioni. La capacità di difendere questi nodi, quindi noi stessi, le imprese, le organizzazioni rende poi possibile difendere l'intero ecosistema da cui ovviamente noi, in maniera più o meno consapevole, riceviamo tutta una serie di servizi. I rischi quali sono? Oggi noi corriamo rischi enormi, dal furto di identità, appunto, per la sovrapposizione a cui facevo riferimento, ma abbiamo poi rischi di natura finanziaria, quindi le classiche frodi, per arrivare poi anche a fenomeni che possono anche, come dire, impattare la persona stessa, pensiamo allo stalking online, al revenge porn. Cioè tutta una serie di reati che di fatto vanno a impattare la sfera personale per quanto riguarda l'individuo, poi abbiamo la sfera economica attraverso le frodi e ovviamente il rischio che probabilmente è quello principale, il rischio di un furto di identità. Per quanto, invece, concerne le imprese il rischio ovviamente è molteplice. Abbiamo la possibilità che un attacco informatico possa paralizzare completamente le operazioni di un'azienda, abbiamo ovviamente la possibilità che attraverso un attacco informatico si possa, in qualche modo, carpire quella che è la proprietà intellettuale di un'azienda e oggi considera che la quasi totalità delle aziende ha nel dato il proprio valore principale, quindi i gioielli della corona delle aziende oggi sono rappresentati dai dati, il patrimonio, quello che la differenza dalla collettività. E poi c'è un altro aspetto che è subdolo, ma è estremamente pericoloso, soprattutto in questo momento: è quello della possibilità di manipolare il sentiment di popolazioni piccole o addirittura intere nazioni su specifici temi attraverso campagne di disinformazione e quindi, ancora una volta, la sovrapposizione tra vissuto reale e vissuto tecnologico potrebbe portare addirittura a influenzare scelte di governo e l’abbiamo visto in passato - presidenziali 2016 americane, la Brexit stessa - attraverso l'utilizzo di strumenti informatici, quindi i social network, campagne di disinformazione, fake news.
Quindi stiamo dicendo che il potere è nelle mani di pochissimi, perciò potentissimi e quindi pericolosissimi personaggi che sono l'oligarchia che controlla il sistema dei dati globali.
Sicuramente la disponibilità del dato, la capacità di elaborazione di grosse mole di dati, è il reale potere nell'attuale società. Quelle aziende, quegli organismi governativi che hanno questa capacità di elaborare grosse quantità di informazioni, di accedere a grossi quantitativi di dati sono di fatto le entità più potenti sul nostro pianeta. Abbiamo, indifferentemente da tutto, una serie di altre ricchezze materiali nel dato, un qualcosa che si accresce quotidianamente, cioè più viviamo più interagiamo tra noi, interagiamo con quella rete globale a cui facevamo riferimento prima, più i dati vengono prodotti. Chi ha la capacità di acquisire questi dati oggettivamente è oggi in una posizione di vantaggio. Il rischio qual è? Come dicevi, che vi sia un’oligarchia, un gruppo limitato, ristretto di entità, che riesca a utilizzare questi dati, acquisirli e per i motivi che dicevo precedentemente, quindi la possibilità di utilizzare i dati per influenzare il comportamento delle masse, ovviamente di fatto si riconosce a questi individui il potere di controllare anche il genere umano, di fatto. Quindi indirizzare la ricerca, indirizzarlo negli investimenti, indirizzando i sentimenti. Questo è qualcosa di spaventoso per certi versi.
Quindi nel momento in cui, adesso lo facciamo con il tuo aiuto, descriviamo le azioni di difesa tra italiane ed europee nel mondo della cyber security, parliamo di difesa dagli hacker, ma anche di intaccare questo enorme potere in realtà. Qual è la situazione di questa difesa in atto?
Allora, distinguiamo, come dicevi correttamente, due livelli di difesa. Abbiamo un livello di difesa contro attori ostili che sono di varia natura, abbiamo sindacati criminali, bada bene parlo di sindacati, quindi l'idea dell'hacker nella stanza col cappuccio che può colpirci e, come dire, rubarci tutti i soldi dal conto corrente è un qualcosa di sbagliato. Abbiamo organizzazioni internazionali al pari di multinazionali che riescono a realizzare frodi sofisticate e che fatturano svariate centinaia di milioni all'anno. Abbiamo attori mission state, quindi attori che operano per conto di governi, principalmente con finalità di spionaggio, di disinformazione e anche di sabotaggio. Quindi, soprattutto anche alla luce dei conflitti che stiamo vivendo in questo periodo, abbiamo ovviamente una componente importante anche di attivismo, cioè coloro che esprimono il dissenso attraverso lo strumento informatico. Questi sono gli attori che noi reputiamo, riconosciamo come attori malevoli e da cui, ovviamente, ci difendiamo. Quindi le istituzioni a livello internazionale cercano di raggiungere degli accordi di collaborazione e grazie a questi accordi tra entità internazionali si cerca anche di velocizzare la risposta a queste minacce. Abbiamo però tutta una serie di aspetti che sono propri nel regolamentare, appunto, lo sviluppo di alcune tecnologie, l'utilizzo, l'adozione di tecnologie e questo vuole porre dei limiti all'abuso della possibilità di collezionare i dati, di utilizzarli per i fini che dicevamo poc'anzi e però, ovviamente, ci confrontiamo in un altro ambito, un ambito che è più normativo, che deve vedere allo stesso tavolo una serie di attori che per diverse motivazioni hanno capacità differenti, hanno investito in maniera differente in svariate tecnologie - pensiamone una: intelligenza artificiale - abbiamo oggi alcuni paesi che sono oggettivamente molto più avanti di altri e imporre delle regolamentazioni ovviamente porterà, ad un certo punto, anche a uno sconto tra i vari governi, perché alcuni governi hanno visto proprio nell'intelligenza artificiale la possibilità di far parte di quell’oligarchia di cui facevamo menzione e ovviamente saranno poco restii ad accettare una serie di regolamentazioni che li porrà allo stesso piano di paesi che, invece, ovviamente non hanno potuto investire, oppure non hanno colto l'importanza di certi contesti tecnologici. Tutto questo ovviamente è estremamente preoccupante.
Qual è la tua il giudizio sull'attività del Governo italiano, cioè come si sta muovendo? Con intelligenza, in maniera confusa? Qual è la tua idea?
Il governo italiano, a mio giudizio, è partito molto in ritardo rispetto ad altri governi, pensiamo alla fondazione dell'Agenzia per la cyber sicurezza nazionale che nasceva poco più di due anni fa e, se pensiamo che agenzie omologhe sono nate dieci se non venti anni fa, capiamo che abbiamo un gap, un ritardo importante di circa dieci, talvolta venti anni da colmare. Venti anni nel nostro settore equivale a delle ere geologiche, quindi siamo profondamente in ritardo. Accanto a questo abbiamo un tessuto sociale oggi che è oggettivamente composto da una quasi totalità di piccole e medie imprese che non hanno consapevolezza della minaccia o non hanno capacità di investimento. Il Governo in tutto questo, se consideriamo l'entità centrale, il governo, quindi la possibilità di legiferare incentivando dei meccanismi di difesa relativa, secondo me è molto molto molto molto in ritardo e manca molto spesso anche del supporto tecnico di capacità che oggettivamente devono necessariamente provenire dal mondo privato. Si parla tanto di collaborazione pubblico-privato, personalmente stento a veder decollare questa collaborazione per quanto vi siano stati buoni propositi, ma oggettivamente di iniziative meritevoli ce ne sono realmente poche. Quindi, secondo me siamo molto in ritardo e la dimostrazione di quello che sto dicendo è tangibile, lo vediamo dagli attacchi: abbiamo ospedali che vengono bloccati, abbiamo provider che finiscono sotto attacco, abbiamo milioni, se non decine di milioni, di dati sanitari e privati dei cittadini italiani che sono nel dark web e accessibili a chiunque. Questo è un quadro desolante se consideriamo poi l'analisi anno per anno che vede un raddoppio dei dati, degli attacchi ransomware contro le nostre infrastrutture e, quindi, con conseguente violazione dei dati degli italiani. Purtroppo è un qualcosa che però ai più è nascosto, nel senso non si arriva ad avere contezza di quello che sta accadendo e quindi non capiamo, quando il dato finisce online, a quali rischi andiamo incontro. Questo è qualcosa che pagheremo, secondo me.
Quindi nel sistema di difesa europeo, visto che ne facciamo parte, noi siamo un po' l'anello debole.
Più che anello debole, il sistema europeo è un sistema che oggettivamente è ancora in divenire. C’è un'agenzia, l’ Enisa, di cui faccio parte, che si occupa appunto di effettuare delle analisi, fornire una serie di supporti alle varie entità internazionali. Abbiamo dei regolamenti che mirano a proteggere le infrastrutture critiche nazionali e internazionali in un contesto europeo, pensiamo alla direttiva Nis e alla Nis2, che sono direttive che sono partite ben dieci anni fa e che oggi vedono nella seconda edizione un'attuazione importante. Tuttavia, ripeto, per la presenza nel contesto italiano di una grossa porzione di piccole e medie imprese che rimangono vulnerabili ad attacchi informatici, siamo oggettivamente non fanalino di coda a livello europeo, però io mi aspetterei un qualcosa di molto più, come dire, efficace sia come linee guida governative, ma soprattutto anche per incentivare le imprese ad adottare dei sistemi che siano congrui a garantire loro un livello di resilienza quantomeno sufficiente, perché quello è un elemento abilitante. Se noi riusciamo a rendere più resilienti le nostre imprese, faremo sì che le nostre imprese potranno essere parte di catene del valore più allargate, più importanti e che vedrebbero di fatto garantire a queste imprese un mercato più ampio di quello attuale. Questo oggi non sta accadendo.
Torniamo al concetto più ampio della cyber security per toglierci una curiosità inquietante. Tu hai lanciato un allarme su tutti, forse, in qualche modo, cioè attenzione agli attacchi sovraumani. Che cosa sono?
Allora oggi si parla tantissimo di intelligenza artificiale generativa, cioè un’intelligenza che in qualche modo riesce a generare contenuti e questi contenuti, di fatto, possono essere utilizzati per vari motivi, legittimi ma anche per essere parte integrante di catene di attacchi che sono sempre più complessi. Cosa accadrà? Quello che stiamo già osservando in questo momento, che alcune tecnologie basate sul Machine Learning, sul Deep Learning, che sono poi il cuore di quello che oggi noi chiamiamo, in maniera anche impropria, intelligenza artificiale, renderanno attacchi sempre più sofisticati. Di fatto, saranno attacchi sempre più rapidi, sempre più su larga scala, e l'unico modo per individuarli è utilizzare la medesima tecnologia anche in ambito di difesa. Lo stiamo già facendo? Fortunatamente sì, non ce ne accorgiamo, ma molte delle soluzioni che oggi stanno nascendo già guardano a queste tecnologie come elementi abilitanti per fronteggiare le due sfide. Che cosa accade, però? Abbiamo un elemento di attacco e uno di difesa che sono sempre più sofisticati, sempre più rapidi, sempre su più su larga scala, quindi capaci di coinvolgere grosse moli di dati e la cui analisi necessita l'analisi di moli di dati sicuramente non analizzabili neanche da un punto di esseri umani dedicati. In questo contesto è chiaro che il fattore umano, in questa sfida tra attacco e difesa, diventerà sempre meno preponderante al punto in cui, ovviamente, noi avremo di fatto uno scontro tra macchine in cui l'elemento umano è solamente quello che ha dato l'addestramento iniziale a queste macchine, ma potrebbe oggettivamente anche perderne il controllo. In questo scenario, ovviamente, si aprono tutta una serie di interrogativi a cui, per quanto si possa rispondere dal punto di vista tecnologico, ma anche filosofico, oggi secondo me è comunque una scommessa su un qualcosa che non conoscevamo. Io cerco sempre di guardare quello che è accaduto con Chat GPT, per dirne una, un anno fa. Se guardiamo la realtà un anno e mezzo fa, era completamente diversa da quella di oggi, in molti casi noi parliamo di un pre Chat GPT e un post Chat GPT per riferire a Chat GPT come a una vera e propria pietra miliare nell'evoluzione della società. Non è Chat GPT, ma è l'intelligenza artificiale generativa ed era impensabile fino a un anno e mezzo fa l'impiego che ne stiamo facendo nei vari dispositivi. Quindi, noi osserviamo un qualcosa di non dissimile per tutta una serie di algoritmi, di Machine Learning che di fatto diventeranno parte integrante delle nostre vite, ma anche parte integrante degli arsenali di chi ci attacca.