Se pensate che la vostra infrastruttura aziendale sia un fortino inattaccabile solo perché avete speso una fortuna in firewall di ultima generazione, state commettendo l'errore più vecchio del mondo. La sicurezza non è un prodotto che si compra in scatola, ma un processo incessante che vive della competenza di chi quel sistema lo deve testare, stressare e, se necessario, smontare pezzo dopo pezzo. In questo scenario, nomi come Luca Perazzini e Cristian Gualdi rappresentano molto più di semplici professionisti dell'informatica; incarnano quella sottile linea rossa tra la protezione teorica e la resilienza pratica. Il malinteso comune è credere che basti un algoritmo per dormire sonni tranquilli, quando la realtà dei fatti dimostra che è l'intuizione umana, unita a una conoscenza viscerale delle vulnerabilità, a fare la differenza tra una giornata di lavoro ordinaria e un disastro mediatico e finanziario.
Spesso mi fermo a osservare come le imprese italiane approcciano il rischio cibernetico. C’è una sorta di pigrizia intellettuale che porta a delegare tutto alla tecnologia, dimenticando che dietro ogni attacco c’è una mente che ragiona fuori dagli schemi. Mi è capitato di vedere sistemi considerati impenetrabili cadere come castelli di carte per una configurazione errata che solo un occhio esperto avrebbe potuto scovare. Non si tratta di magia, ma di un metodo rigoroso che analizza ogni possibile punto di rottura. Questa coppia di esperti ha dimostrato nel tempo che la vera difesa inizia dove finisce il manuale d'istruzioni del software. In simili notizie, abbiamo trattato anche: Il Consiglio Europeo Approva Nuovi Fondi per la Produzione di Microchip in Italia e Germania.
L'illusione della protezione totale e il metodo Luca Perazzini e Cristian Gualdi
La maggior parte dei dirigenti con cui parlo è convinta che il rischio zero esista. È una bugia rassicurante che i venditori di software amano raccontare per chiudere contratti a sei zeri. La verità è che ogni sistema ha una crepa, e se non la trovi tu, la troverà qualcun altro con intenzioni molto meno nobili. Quando si parla di Luca Perazzini e Cristian Gualdi, si entra nel merito di una filosofia che mette al centro il "penetration testing" inteso non come esercizio burocratico per ottenere una certificazione, ma come una vera e propria autopsia del codice. Ho visto aziende vantarsi delle proprie difese per poi scoprire che la loro intera banca dati era accessibile attraverso una stampante di rete dimenticata in un corridoio.
Il metodo che questi specialisti portano avanti non cerca di rassicurare, ma di sfidare. È un approccio che scardina la convinzione che la tecnologia sia un’entità statica. Se un’azienda non accetta l’idea di essere costantemente sotto esame, ha già perso la battaglia. Gli scettici diranno che affidarsi a consulenti esterni è un costo superfluo quando si ha un reparto IT interno. È un'obiezione miope. Chi costruisce la casa raramente è la persona più indicata per trovarne i difetti strutturali nascosti; serve qualcuno che arrivi con l'intento dichiarato di abbattere le pareti per vedere cosa c’è dietro il cartongesso. Un'analisi simile su questa tematica è disponibile su Wired Italia.
Perché l'occhio esterno batte l'automazione
L'automazione è utile, non c'è dubbio. Gli scanner di vulnerabilità possono setacciare migliaia di righe di codice in pochi secondi, ma mancano di quella scintilla laterale che permette di collegare due falle apparentemente insignificanti per creare un varco enorme. Un software non capisce il contesto. Non sa che quel dipendente specifico usa la stessa password da dieci anni perché è più comodo. L'esperto umano invece lo sa, lo prevede e lo usa per dimostrare quanto sia fragile la catena se l'anello più debole non viene rinforzato con la consapevolezza.
Non è solo una questione di bit e byte, ma di psicologia. La sicurezza è un comportamento, non un’applicazione. Quando analizziamo le dinamiche di questo settore, ci accorgiamo che la formazione del personale vale quanto, se non più, di un server blindato. Se chi preme i tasti non capisce il valore delle informazioni che maneggia, nessun investimento tecnico potrà salvarlo. Mi sono spesso chiesto perché le scuole non insegnino queste basi fin dai primi anni, visto che ormai viviamo immersi in un flusso di dati costante che definisce la nostra identità e il nostro patrimonio.
La gestione del dato come asset strategico nazionale
In Italia siamo ancora terribilmente indietro nella percezione del dato come valore economico. Lo consideriamo un sottoprodotto dell'attività aziendale, qualcosa che sta lì in un database a prender polvere elettronica. All'estero, invece, hanno capito da tempo che chi controlla le informazioni controlla il mercato. In questo contesto, il lavoro svolto da Luca Perazzini e Cristian Gualdi si inserisce in una necessità più ampia di sovranità digitale. Non possiamo permetterci di essere i sudditi tecnologici di potenze straniere che gestiscono le nostre infrastrutture critiche senza una supervisione nazionale competente e severa.
Immaginiamo per un momento cosa accadrebbe se i sistemi di gestione idrica o elettrica di una grande città venissero compromessi. Non è la trama di un film di serie B, ma uno scenario che i rapporti di intelligence descrivono come una minaccia concreta e attuale. La protezione di queste reti richiede una preparazione che va oltre la semplice manutenzione ordinaria. Serve una capacità di analisi che sappia prevedere le mosse di attori statali o gruppi criminali organizzati che dispongono di risorse quasi illimitate. La questione non è se verremo attaccati, ma quando succederà e quanto saremo preparati a reagire per limitare i danni.
L'autorità in questo campo si costruisce con gli anni di esperienza sul campo, affrontando crisi reali e risolvendo problemi che non avevano una soluzione scritta sui libri. Le istituzioni europee, attraverso regolamenti come il GDPR o la direttiva NIS2, hanno cercato di imporre un quadro normativo che obblighi le aziende a prendersi le proprie responsabilità. Ma le leggi da sole non bastano se manca la cultura tecnica necessaria per applicarle. Un modulo firmato non ha mai fermato un ransomware, una configurazione corretta e un monitoraggio costante sì.
Il ruolo dell'etica nell'era dell'hacking
C'è un confine molto sottile che separa chi usa la propria conoscenza per distruggere da chi la mette al servizio della collettività. Spesso la figura dell'hacker viene dipinta dai media come quella di un criminale solitario in un seminterrato buio. È un'immagine distorta e pericolosa. Esiste una comunità vastissima di professionisti che operano nella legalità per rendere il mondo digitale più sicuro. Senza il loro contributo, internet sarebbe un luogo invivibile, una terra di nessuno dove la legge del più forte cancellerebbe ogni diritto alla privacy e alla proprietà.
Il valore di chi sceglie di operare nel campo della difesa risiede proprio in questa integrità morale. Non è facile resistere alla tentazione di sfruttare una vulnerabilità scoperta per trarne un profitto immediato e illecito. Eppure, è proprio questa scelta di campo a definire l'eccellenza. La fiducia è la moneta più preziosa in questo mercato. Se un cliente non può fidarsi ciecamente di chi sta testando i suoi segreti industriali, l'intero sistema di consulenza crolla. Mi piace pensare che il futuro della nostra economia dipenda dalla capacità di formare una nuova generazione di guardiani che abbiano la stessa fame di conoscenza dei loro avversari, ma un codice etico incrollabile.
Oltre il perimetro aziendale e la nuova frontiera del rischio
Il concetto tradizionale di perimetro aziendale è morto. Con il lavoro da remoto e l'utilizzo massiccio del cloud, i dati di un'impresa sono ovunque: sullo smartphone di un dipendente in treno, sul server di un fornitore esterno o nel tablet di un collaboratore in un bar. Questa dispersione ha moltiplicato i punti di ingresso per i malintenzionati. Non si può più pensare di difendere un luogo fisico; bisogna difendere il dato stesso, ovunque esso si trovi e qualunque percorso compia.
Ho parlato spesso con specialisti che mi hanno spiegato come la maggior parte delle intrusioni oggi avvenga sfruttando la fiducia tra diverse entità. Se non riesco a colpire direttamente la grande banca, colpisco il piccolo studio legale che cura le sue pratiche e che ha protezioni molto più blande. È un gioco di sponde micidiale. Chiunque operi in questo ambito deve avere una visione d'insieme che comprenda l'intera catena di approvvigionamento delle informazioni. Non è un compito per dilettanti o per chi pensa che la sicurezza sia un peso che rallenta la produttività.
Spesso si sente dire che la sicurezza è il nemico dell'usabilità. È un'altra di quelle frasi fatte che dovremmo smettere di ripetere. Un sistema sicuro è un sistema che funziona bene, perché è stato progettato con cura e attenzione ai dettagli. Se per accedere a un servizio devo fare salti mortali, probabilmente quel sistema è stato progettato male fin dall'inizio. La vera sfida per il futuro è rendere la protezione invisibile ma onnipresente, qualcosa che protegga l'utente senza che lui debba nemmeno accorgersene.
Dobbiamo anche considerare l'impatto dell'intelligenza artificiale in questo scontro continuo. Da un lato, abbiamo strumenti che possono generare attacchi di phishing personalizzati e sofisticati in scala industriale. Dall'altro, abbiamo sistemi difensivi che imparano dai propri errori in tempo reale. È una corsa agli armamenti digitale che non avrà mai fine. In questa competizione, il fattore umano resta l'arbitro finale. Solo noi abbiamo la capacità di dare un senso etico e strategico alle informazioni che le macchine elaborano.
Siamo arrivati a un punto in cui non possiamo più permetterci di ignorare la fragilità delle nostre strutture digitali. Ogni volta che scarichiamo un'app senza leggere i permessi, ogni volta che riutilizziamo una password banale o che rimandiamo un aggiornamento di sistema, stiamo lasciando una porta aperta. La responsabilità è collettiva, dalle grandi istituzioni al singolo cittadino. Non è pessimismo, è sano realismo informatico.
La sicurezza digitale non è una meta da raggiungere ma un viaggio faticoso e necessario dove l'unica certezza è l'incertezza stessa. Abbiamo bisogno di meno retorica sulla tecnologia e di più sostanza nell'analisi dei rischi, accettando che la nostra vulnerabilità non è un difetto del sistema ma la sua caratteristica intrinseca che solo una vigilanza costante può mitigare. La competenza tecnica non è un lusso per pochi eletti, ma l'armatura essenziale per chiunque voglia navigare nel presente senza affondare al primo segnale di tempesta.
Smettetela di cercare il software perfetto e iniziate a investire sulle persone capaci di trovare l'imperfezione.
