Nel mese di Ottobre si può finalmente accedere alla spiaggia di Stintino senza dover fendere una folla chiassosa e unta, o calpestare centinaia di bagnanti stesi sulla battigia.

Il volo Milano-Alghero è durato poco più di cinquanta minuti, e a metà mattina sono già rilassato in riva al mare a godermi, in questa calda coda d’estate, l’azzurro della Sardegna.

Clelia sta leggendo Donna Moderna, mentre Stuxnet è sdraiato a pelle d’orso sotto il mio lettino. Sonnecchia, e ogni tanto si sveglia all’improvviso per correre nell’acqua trasparente all’inseguimento dei pesci che intravede. Io sono alle prese con Raymond Chandler e il suo Addio mia amatama. Ogni tanto appoggio il libro, chiudo gli occhi e mi assopisco.

Un vicino di ombrellone sta leggendo il Corriere della Sera. L’occhio mi cade su un titolo in basso a destra, proprio in prima pagina:

“Messico: arrestato il narcotrafficante El Gordo”.

Sento un brivido lungo la schiena. Mi alzo senza agitarmi, mi metto a sedere sul lettino e mi collego con l’iPad al sito web del quotidiano. Stuxnet percepisce i miei movimenti, si agita e spicca un balzo sul parasole, calcolando male i pesi e ribaltandosi nella sabbia. Non gli bado, anche se ora sembra una cotoletta impanata, e inizio a leggere.

Il più ricercato narcotrafficante al mondo è stato arrestato ieri mentre stava organizzando un incontro con uno sconosciuto europeo, forse un suo ammiratore, che, però, è riuscito a dileguarsi prima di essere identificato. Sembra che El Gordo sia stato tradito da un ricevitore GPS contenuto in una piccola macchina fotografica digitale.

Sono incredulo e, al contempo, mi viene da sorridere. Il Matto dell’Isola, quando tornerò a Milano, avrà sicuramente cose interessanti da raccontarmi.

Ormai sono sveglio e mi ritrovo a osservare i comportamenti di alcune persone in acqua che scattano fotografie e le caricano sui social network, o le taggano; lo stesso, ho notato, avviene la sera sui tavoli dei ristoranti, con gli stupendi piatti della cucina sarda: agliate su Facebook e aragoste su Twitter, o viceversa.

Il concetto di privacy, oggi, è diventato molto fluido. Non c’è più soltanto il problema della tutela dei propri dati, né la fondamentale protezione dei dati di terzi, ma anche una vera e propria esibizione delle informazioni personali. Molti non comprendono che c’è un diritto anche a non essere invasi dalla privacy altrui, a non essere fotografati involontariamente, a non essere taggati contro la propria volontà.

Mi rendo conto che l’idea di privacy come la interpretavano quelli della mia generazione sta morendo. Gran parte dei problemi odierni derivano dalla diffusione volontaria di dati personali, da una esposizione costante del lato più intimo – nostro e di chi ci circonda – che ha cambiato completamente le prospettive della sicurezza informatica.

L’unico modo per contrastare questa disseminazione selvaggia di dati è attenersi sempre al famoso brocardo “postremus dicas, primus taceas”. Sii sempre l’ultimo a parlare, e il primo a tacere o, reinterpretandolo in chiave più tecnologica, evita sempre di far circolare i tuoi dati e, se puoi, trattienili il più a lungo possibile nella tua sfera più intima.

Mi rilasso di nuovo, mi fingo addormentato e, in realtà, mi metto ad ascoltare le telefonate dei vicini di ombrellone.

Il primo, un avvocato, sta correggendo ad alta voce un atto al telefono, sembra una querela; un altro sta colloquiando con il suo medico per un problema digestivo, mentre il terzo ha in corso una conversazione particolarmente appassionata, evidentemente non con la moglie stesa al sole poco distante.

Mi annoto mentalmente le parole che sento pronunciare e che riesco a percepire, e creo all’istante dei collegamenti tra i dati, disegnando una vera e propria mappa delle informazioni. Nomi, soprannomi, città, problemi, dati di clienti, patologie, nome del querelante: sto sentendo tutto. In meno di venti minuti ho profilato almeno tre persone, individuando con un certo grado di certezza chi sono. Faccio una verifica sull’iPad, navigando un po’, e saluto ad alta voce uno dei tre vicini di ombrellone chiamandolo per nome e cognome: si gira stupito, e mi risponde con un sorriso dubbioso mentre continua a telefonare. Io ho indovinato. Lui si starà domandando chi sono io. Ma io, ora, so chi è lui.

Il segreto per ottenere nuove informazioni su persone o fatti, oltre al dato in sé, è la correlazione con altri dati che, apparentemente, non sono importanti ma che, nel quadro complessivo, contribuiscono a fornire tasselli essenziali per la cosiddetta “profilazione”.

Mentre Clelia si è assopita di nuovo e Stuxnet sta giocando con un granchio, riprendo l’iPad e inizio a controllare chi, nei dintorni del mio ombrellone, ha connessioni Bluetooth attive sul telefono. Ne individuo almeno cinque.

È inconcepibile che così tante persone lascino servizi aperti sui loro dispositivi, permettendo a chiunque quantomeno di stabilire un contatto ed, eventualmente, di provare a entrare. Tutti i servizi dei nostri dispositivi dovrebbero essere chiusi, e attivati soltanto per il periodo strettamente necessario. Così come sarebbe opportuno collegarsi sempre a reti Wi-Fi conosciute, e che ci riconoscano con un sistema di autenticazione certo, e non fidarsi troppo di reti aperte o sconosciute.

Alzo gli occhi, e vedo tre telecamere nei paraggi. Una tiene sotto controllo il mare, probabilmente è una webcam che permette di osservare in tempo reale le condizioni atmosferiche e delle onde, mentre le altre due sono pensate chiaramente con funzioni di controllo. Nessuna delle tre ha un’informativa che comunichi come avvengano le riprese e dove, e per quanto, i dati siano custoditi.

Mi interrogo sempre più spesso, senza trovare una risposta certa, se sia possibile oggi “uscire dal sistema”, evitare questo labirinto di telecamere e altri sistemi di controllo che ormai permea luoghi pubblici e luoghi privati.

Quando mi arriva la e-mail del Presidente della Commissione Informatica del Consiglio dell’Ordine, mi ricordo che avevo promesso loro, per dopodomani, un decalogo per gli studi legali in tema di sicurezza e di “prime basi” di protezione dei dati.

Vedo che Clelia e Stuxnet ora dormono della grossa, quindi prendo l’iPad, apro Word e inizio a stilare una bozza di lista, per punti, che sarà distribuita a tutti gli studi legali del distretto. I miei Dieci Comandamentiper la sicurezza quotidiana. Cerco di utilizzare termini semplici, per far sì che i concetti siano compresi da tutti, anche dai meno esperti.

1. Autenticazione. È indispensabile impostare un sistema di autenticazione serio e solido in ogni dispositivo personale e in studio: ciò significa prevedere codici PIN non banali, password lunghe e complesse, eventuali sistemi biometrici o passphrase e smartcard/token per rendere ostico l’accesso a tutti i sistemi. Ogni strumento di lavoro deve presentare un blocco all’accesso per impedire che estranei vi possano accedere e, al contempo, per monitorare e registrare tutte le attività.

2. Password. Occorre scegliere delle password complesse, lunghe e non riferibili in alcun modo né all’utilizzatore del computer né al contesto in cui opera. Sarebbe opportuno scegliere almeno tre password diverse, da cambiare ogni tre mesi: una per i servizi critici quali home banking e accesso al sistema sanitario, una per i servizi professionali quali PCT e poste certificate e, infine, una per i servizi personali e meno importanti. In tal modo, la rivelazione non voluta di una password può mettere a rischio solo una “parte” della vita dell’utente.

3. Antivirus. È indispensabile controllare ogni giorno le funzionalità e la validità dell’antivirus, compreso il fatto che non sia scaduto. Un antivirus non aggiornato è, notoriamente, inutile. Prevedere, poi, senza eccezioni, che ogni macchina di studio e personale abbia un antivirus attivo e aggiornato.

4. Backup. Verificare il sistema di backup di ogni macchina. Accertarsi che tutti i computer effettuino un backup giornaliero sia in locale, ad esempio su un disco esterno o una chiavetta, sia su un servizio di cloud.

5. Comportamenti. Non mettere mai a rischio l’intera rete, o un computer, tenendo comportamenti contrari alle più elementari regole di sicurezza informatica. Non rispondere a e-mail sospette, non cliccare su link dubbi, non aprire allegati non attesi anche se provenienti da mittenti conosciuti, non comunicare al telefono codici o informazioni sul sistema proprio o altrui, non inserire chiavette USB provenienti dall’esterno nei propri sistemi.

6. Comunicazioni con colleghi o clienti. Cercare, nelle comunicazioni con clienti o colleghi (soprattutto se si trasferiscono allegati con documenti importanti), di operare su canali sicuri, utilizzando la posta elettronica certificata o connessioni cifrate. Se l’indirizzo di posta elettronica è su grandi provider (Yahoo!, Hotmail, Gmail) che, di recente, hanno subito furti massicci di credenziali, cambiare subito la password.

7. Crittografia. Sarebbe opportuno che tutti i sistemi dello studio migrassero verso la cifratura dei dati, impostando i sistemi operativi affinché cifrino automaticamente i dati e oscurando, con appositi programmi, anche tutti i supporti esterni utilizzati.

8. Cancellazione sicura. Accertarsi che i dati che si vogliono eliminare siano realmente cancellati, applicando tecniche di formattazione sicura o di sovrascrittura a più strati dei dati. Particolare attenzione deve essere riservata nel caso il computer sia venduto o regalato. Obbligatorio è, in tal caso, il ripristino allo stato di fabbrica o la cancellazione sicura dei dati.

9. Computer di riserva. Avere, sempre, almeno un computer di riserva, funzionante e con i principali programmi anche per la gestione del processo telematico, pronto da poter essere utilizzato in caso di disastro o incidente informatico che colpisca il computer principale. Una macchina di riserva, anche obsoleta e di poco valore, si può rivelare preziosa, soprattutto in vista di scadenze urgenti.

10. Attenzione ai dispositivi mobili. Accertarsi che tutti i dispositivi “itineranti” abbiano il sistema operativo cifrato e l’accesso protetto da password (a tutela di eventuali furti o smarrimenti). Impostare la funzione “find my device”, se disponibile, che permette grazie alla geo-localizzazione di “vedere” su una mappa il dispositivo rubato e prestare attenzione ai nuovi virus per cellulare o tablet (trasmessi attraverso SMS di finto aggiornamento o chat di WhatsApp, e che domandano, di solito, di cliccare su un link).

Non appena termino di abbozzare il decimo punto del decalogo, Stuxnet, che evidentemente mi stava osservando da un po’, mi addenta l’iPad e inizia a correre verso il mare. Avevo promesso di non lavorare, nel weekend, e lui sembra essersi accorto della mia trasgressione.

Rinuncio a strappare l’Ipad dalle sue mandibole – i bulldog hanno una forza disumana – e attendo. Inizio a pregare, non tanto per il documento che ho appena redatto, che è stato creato direttamente in cloud, ma affinché sabbia e salsedine non mi rovinino il tablet. Per fortuna vedo che non lo porta in acqua, ma inizia a scavare a riva per sotterrarlo. Domando al gestore dello stabilimento un pezzetto di wurstel, distraggo il cane – non esiste cane che resista al lancio di un wurstel – e ne rientro in possesso. Lo pulisco un po’, e sembra tutto funzionare regolarmente.

Anche Clelia si è svegliata, e sorride perché capisce quello che è successo. Io riprendo il mio Chandler e mi rimetto a leggere. La lista la ritroverò lunedì mattina pronta per essere formattata e spedita all’avvocato.

Stuxnet, deluso, sembra aver capito di essere stato ingannato. Mi guarda per un po’, e torna a dormire sotto al lettino con un occhio aperto.

Continua a fissare la borsa da mare dove ho riposto il mio iPad. In attesa, chiaramente, di una mia distrazione, o della prima vulnerabilità disponibile.


Il presente racconto, nella sua versione embrionale e affiancato da un fumetto di Tommaso Milella (con il suo Avvocato Peppe Di Furia), è stato pubblicato, per la prima volta, nel 2017  in "Non credevo fosse un virus" di Giuffrè Editore: un opuscolo gratuito distribuito ai professionisti del diritto al fine di responsabilizzarli con riferimento all'uso quotidiano degli strumenti informatici.