SICUREZZA DIGITALE

A criminal mind: nei meandri delle menti che abusano dell’informatica

Un viaggio (semiserio?) tra tecnologia e cervelli schizzati

Abbiamo in mente un certo tipo di criminale informatico, quello del ransomware. Felpa con cappuccio d’ordinanza (se no che outlaw, o multimiliardario, sei ?) e motivazioni intuibili: denaro facile, subito, belle macchine, vivere nel nulla cosmico di Dubai. Sono le stesse motivazioni degli influencer, delle tiktoker, certo vi è la bazzecola della violazione delle leggi ma nell’odierno relativismo e nell’immaterialità dei reati questa sfuma in un crepuscolare nulla eterno e naufragar è dolce in quel mare. Un chissenefrega ci seppellirà. 

Il mondo del crimine informatico è però ben più ampio e variegato, specie quando scende di categoria e di peso della violazione. Diminuisce la rilevanza penale, aumentano gli aspetti sociali e psicologici. A un punto di rottura del modello, o piuttosto di snervamento meccanico, applicando i concetti del celebre saggio di Carlo Cipolla, entriamo nel magico mondo degli stupidi: io non traggo vantaggio ma a te arreco danno. Ci echeggia una canzone del lugubre Masini: perché lo fai? E subito dopo un’altra del succitato: vaffanculo. Scusate il French.

Avendo già espresso una connotazione negativa (stupidi) faremo esempi rigorosamente anonimi e vaghi. Inoltre, dovremo muoverci nel ristretto istmo di Corinto lasciato a sinistra dagli aspetti tecnologici di cui non sono luminare e a destra da quelli psico-neurologici, dei quali ancor meno.

Un crimine informatico è un fenomeno che si caratterizza nell’abuso della tecnologia informatica sia hardware che software, per la propria commissione. Una violazione informatica è invece una casistica più ampia che non necessariamente comporta un fatto criminoso: violare regole generiche anche se intuitive può non avere risvolti penali. Statuita la natura del fatto, rimane da classificarne l’impatto. Si può ottenere un vantaggio o illecito profitto, o si può non ottenerlo. Alcuni spendono anche del proprio, pur di fare casino.

In un mio incarico di anni fa, un tizio si ostinava a violare la policy aziendale che vietava le prerogative di amministratore ai singoli utenti dei desktop in rete. Non era un wizard ma, forse su suggerimento di qualche rancoroso smanettone, metteva in campo artifizi e per quanto cassato riproduceva sempre la medesima situazione con la quale si installava la qualsiasi. Il comportamento era così plateale che a molti sorgeva il sospetto che avesse alle spalle il Pontefice istesso e quindi ci si andava piano a reprimere. Cogliamo qui un primo punto: non sappiamo mai esattamente la struttura retrostante il criminale e lo stupido, il background. L’uomo, come il cane, agisce in base a un sistema di bisogni, di protezioni, di check and balances e di gerarchie; poi, rispetto al cane, ci ha messo l’Iliade, il Requiem K.626, la relatività generale, ma al sodo poco cambia. La violazione può basarsi sul meccanismo del bluff protetto: non sai se ho l’asso ma ti induco a comportarti come se lo avessi.

Il signore di cui narravo non otteneva particolari vantaggi dall’essere amministratore: le politiche di filtro e di firewalling non erano così rigide (io non sono mai stato un khomeinista, perdonai con sola ramanzina persino uno che sniffava i pacchetti con WireShark per testare in buona fede i programmi). Era, il signore pervicace, un acceleratore ideatorio: vedeva in ogni piccolo o grande divieto o diniego la mano genitoriale. In termini di analisi transazionale, si sentiva Adulto ma di fronte percepiva un Genitore che lo trattava da Bambino Non OK. E così violava le policy. Questo secondo aspetto potrebbe definirsi come teleologia anomala dei fini (attenzione, qui sto proprio inventando), o malo obietto dantesco: mi sfogo nella direzione sbagliata. Non potendo conoscere il vissuto embedded in lui, non ne potremo prevedere le mosse né la tenacia con cui continuerà a violare. E questo è il vero dilemma della sicurezza.

Di passaggio, abbiamo accennato ad annoiati smanettoni: terzo elemento rilevante è la connivenza sul campo: io non sono un violatore ma lo divento quando vedo un comportamento che ai miei occhi configura una ribellione in me nascosta da tempo. Tutti sappiamo che se Aldo Moro non fu mai ritrovato, benchè stesse in un appartamento qualsiasi, fu per complottismo, dabbenaggine ma soprattutto per l’area grigia (né con lo Stato né con le BR), un’area fatta di ideologia ma anche di spiccia paura. Avete le BR nell’appartamento sul pianerottolo, con tutta Italia che le cerca, e dite che non vi accorgevate di nulla? Se la coinquilina mette le corna al marito invece ve ne accorgete, eccome. Il violatore genera alleanze sul campo.

La legge non definisce né il concetto di informatica, né quello di telematica. Non sembra possano sussistere però equivoci: per informatica si intende quel ramo della tecnologia che studia e utilizza l’informazione e il suo trattamento automatico attraverso l’elaborazione elettronica dei dati; per telematica si intende un sistema di apparati interconnessi in grado di comunicare a distanza, scambiando dati tramite tecnologia informatica. Oltre alla personalità, all’onore, alla libertà di espressione, alla fede pubblica, alla segretezza, alla riservatezza, al patrimonio non ci sono altri valori che la legge reputa bersagliabili dal reato informatico e telematico. Ubi societas ibi crimen. Informaticum.

Da un lato, i reati informatici “propri”, vale a dire quelli aventi a bersaglio beni, strumenti e prodotti informatici o telematici; dall’altro, i reati informatici lato sensu, cioè quelli in cui lo strumento informatico/telematico è stato puro strumento per la commissione del reato, che avrebbe potuto essere consumato con i vecchi buoni sistemi di una volta. Si tratta in sintesi di generici reati di comunicazione legati all’utilizzo di internet: attribuire falsamente fatti, ricostruire in maniera distorta episodi, addossare a taluno attività contra legem etc. sono condotte che possono ricadere nell’area del comportamento ideologico: non potete impedirmi di violare se questa è la mia opinione. Un quarto punto è infatti l’opinabilità dei comportamenti. Quasi mai una persona, nella fattispecie di un comportamento anomalo, criminoso o no, dannoso o no, viene giudicata uniformemente dal pubblico. Intanto vige la sciagurata “finestra di Overton” per cui una cosa con il tempo passa da illecita a immorale a comprensibile a tollerabile a possibile a lecita a opportuna a obbligatoria. E sempre con una finestra di tre contemporanei atteggiamenti di giudizio da parte del pubblico. Chi sa fare spostare la finestra tramite i media ha fatto bingo. Non mi fate fare esempi, è materia scivolosa. Quindi il violatore sarà sempre giudicato con un metro “centrale” affiancato da una sfumatura più indulgente e una più severa, ma mai uniformemente. Come dire gaglioffo, con a destra poer fioeu e a sinistra brutto stronzo.

Melanie Klein, andando alle radici psicodinamiche della criminalità, dice che sono le fantasie persecutorie a scatenare l’azione criminale: possono entrare in gioco negli individui fattori che reprimono queste fantasie inconsce, che verranno quindi accelerate e attuate nella realtà in piena sicurezza del proprio Io: pensiamo all’onnipotenza del ransomware. La brama di “beni” (non solo materiali) che generano esclusione in chi non li possiede, verso cui si ha un bisogno quasi vitale: beni esclusivi investiti libidicamente, il cui bisogno viene frustrato e generano angoscia che normalmente verrebbe attutita dalla “funzione riflessiva”. Ma se questa è inibita insorge una predilezione per soluzioni aggressive, con un’errata lettura dei segnali sociali, sulla base di una dispercezione per cui il mondo è malevolo. Io lo punisco con la sua stessa fottuta tecnologia: bravi pirla, proprio a me siete venuti a insegnarla…

In un mondo interiore e relazionale vissuto nel “campo semantico” dell’odio, la sofferenza inflitta alla vittima diventa componente vitale dell’interazione, un ultimo parossistico modo di relazionarsi, di rivendicarsi socialmente, di esserci. Ricordate il tassista di De Niro? Oggi avrebbe fatto l’hacker. La vergogna e il senso di colpa che chi subisce reati può, per quanto paradossale, provare (sono stato un allocco, sono stato imprudente, per colpa mia ci hanno svuotato il conto…) finisce per accomunarlo al reo. La consapevolezza delle conseguenze delle proprie azioni porta anche il reo a uno stato dissociato, non elaborabile. Non certo al pentimento, che è una “derivata seconda” del senso di colpa, derivata prima della colpa. La vergogna viene considerata “primitiva”, il senso di colpa, invece, è più evoluto, porta al riconoscimento del proprio impatto sull’altro, ed è proprio questa consapevolezza che innesca tentativi di negoziare la riparazione, una tendenza ancorchè stravolta a restaurare, come nel caso del ransomware. Parlare di bisogni del reo può scandalizzare ma una recidiva del quasi 70%  tra chi ha scontato pene in carcere dovrebbe fare riflettere sull’efficacia della giustizia puramente “retributiva”. 

Parliamo di crimini informatici come intangibili, impalpabili: come se nel resto dei crimini fossimo infallibili orologi svizzeri. I delitti denunciati all’autorità giudiziaria nel 2017 erano quasi 2.5 milioni; di questi, meno di 500mila con identità dell’autore nota. Condannati con sentenza irrevocabile: 200mila. Verrebbe quasi da cantare: cento su mille non ce la fan (franca).

Back to top button