La proliferazione del fenomeno dello spamming e di quello dell’identity theft pone i legislatori di tutto il mondo di fronte a un obbligo: elaborare un codice legislativo capace di proteggere privati cittadini e aziende dagli attacchi informatici. Molte cose, a livello nazionale ed europeo, sono state già fatte, ma ciò non ha impedito ai cybercriminali di continuare ad esercitarsi nelle loro attività di pirateria. Proprio ieri Symantec ha reso noti i risultati di una sua indagine sul mercato del cybercrimine, dalla quale è emerso che la cifra di quest’ultimo, in un solo anno, corrisponde a circa 276 milioni di dollari. Un dato sconvolgente. Il problema, da un lato, è che i legislatori combattono contro un nemico apparentemente invisibile; e dall’altro, è che quando mettono a punto provvedimenti considerati efficaci dagli esperti, si trovano comunque di fronte a una carenza di cultura da parte dell’utente. Le soluzioni di strong authentication, da un punto di vista esclusivamente tecnico, sono quasi sempre in grado di fronteggiare gli attacchi. Ma a vanificare l’impatto positivo dei sistemi di security è l’errore umano e, nel caso specifico, un grosso deficit nei termini di una cultura della sicurezza da parte del grosso degli utenti. Per fare luce su questa pesante problematica abbiamo pensato di fare qualche domanda ad Alfredo Cusin, Country Manager di Aladdin Italia, la grande azienda che opera nel campo della security la quale, proprio ieri, ha presentato a Roma la sua nuova offerta integrata per la strong authentication. Ci spiega a cosa ci si riferisce quando si parla di strong authentication? La strong authentication è un metodo che si basa sull’utilizzo congiunto di due o più mezzi di autenticazione. Questi possono essere un security tocken, una smart card, o un lettore di impronta digitale abbinato a un Pin. Ce ne sono moltissimi. Molto efficaci, per esempio, sono i tocken Usb con smart card a bordo oppure gli Otp. Quali sono le realtà con cui lavorate? Aladdin abbraccia quasi tutte le fasce di mercato. Noi, infatti, abbiamo una concezione che ci spinge a modellare le nostre proposte sulla base delle necessità provenienti dai grossi ambiti, come può essere quello della telefonia, della difesa o della finance, per poi proporci, a cascata, anche all’utenza meno esigente. Questo ci permette di arrivare ovunque, ma, al tempo stesso, di presentare prodotti di alta qualità. In materia di legislazione è stato fatto molto per spingere aziende e Pa a non sottovalutare i processi di autenticazione. Come giudica questi provvedimenti? Si può parlare del decreto legislativo numero 196 per esempio, che io, in linea generale, giudico positivamente. In parte perché è frutto di diversi anni di studio e ha coinvolto gli esperti, in parte perché lascia abbastanza spazio a quelle che possono essere le evoluzioni nell’ambito della sicurezza. Attualmente le aziende devono fornirsi di strumenti di sicurezza, e devono firmare un documento programmatico in cui si specificano i loro piani di implementazione della sicurezza. Tuttavia non esiste un vero e proprio controllo, e questo porta non tanto all’elusione dell’acquisto di sistemi di sicurezza quanto alla mancanza del loro periodico aggiornamento. Il che, spesso, è anche peggio. Esiste in Italia una cultura della sicurezza, secondo lei? Se esiste, non è ancora abbastanza sviluppata. Scordarsi il proprio tocken attaccato al computer durante la pausa caffè, equivale a lasciare un bancomat inserito dopo aver fatto un prelievo. E’ proprio di fronte a comportamenti del genere che il nostro lavoro viene vanificato. La voglio lasciare con il risultato di un’indagine, un dato che spiega più di molti discorsi: l’84% degli utenti europei ha dichiarato di essere disposto a condividere il proprio sistema di autenticazione con amici o colleghi.
