«Sono un hacker, ma con un forte senso etico ...». Roberto Bonetti ha la faccia pulita, non la nasconde nel cappuccio di un’ingombrante felpa scura. Ha un aspetto discordante dallo stereotipo di chi fa un lavoro come il suo. «A differenza dei criminali informatici faccio questa professione su mandato delle aziende, con tanto di partita Iva e con l’obiettivo di proteggerle», puntualizza con pragmatismo.
Roberto ha quarantaquattro anni, vive a Lumezzane, ha una laurea alla Statale di Milano e ha trasformato quello che per lui era un gioco («Ero uno smanettone», confessa) in un’attività d’impresa: «Diciamo che simulo di introdurmi nelle reti digitali delle aziende prima che lo facciano i cattivi».
Roberto sostiene di non essere avvezzo a parlare in pubblico, tuttavia in poco meno di due ore si guadagna la massima considerazione da una folta platea di piccoli imprenditori invitati da Confartigianato Brescia. «Nel 2010 ho cominciato come libero professionista, ma nel 2023 per ho fondato la Ethical Security Srl perché con questa forma giuridica che garantisce una struttura aziendale, anche per avvicinarmi a grandi gruppi industriali e multinazionali, che sono i miei clienti ideali».
Abbiamo chiarito che non lavora illecitamente nel mondo del web, ora però mi spieghi in poche parole come la Ethical Security può essere utile a una multinazionale.
Noi (con altri due collaboratori, ndr) siamo specialisti nell’attaccare i sistemi e le reti digitali delle aziende. Iniziamo facendo una fotografia dell’infrastruttura aziendale; mappiamo la superficie d’attacco: provate a immaginare un grafico con tutti i percorsi (una sorta di labirinto, ndr) che un soggetto possa percorrere per arrivare ai dati aziendali più sensibili...
E poi?
Poi simuliamo un vero attacco alla rete aziendale, un «penetration test» così come lo farebbe un aggressore male intenzionato. Oggi è tutto inglobato nel termine «cybersecurity», alcuni preferiscono definirla «offensive security», ma a me piace utilizzare l’espressione originale, probabilmente desueta, «ethical hacking».
Perdoni la franchezza, tutto qui?
Analizziamo anche i software, i programmi prodotti dai nostri clienti o da loro fornitori per verificare se possono essere «bucati» e sfruttati per accedere alla rete aziendale. Le faccio un esempio. L’It manager vuole comprare un nuovo software gestionale: si fa dare una demo o un Poc (Proof of concept, un test tecnico, ndr) dal fornitore e ce lo mette a disposizione. Noi lo «smontiamo», facciamo il cosiddetto «reverse engineering» del software e verifichiamo se possa essere «bucato» da terzi. A quel punto diamo un responso al nostro cliente: questo software è sicuro, puoi procedere all’acquisto oppure questo software ha una «backdoor» (un accesso non autorizzato che aggira le procedure di sicurezza), non comprarlo.
Le capita spesso di «bucare» una rete aziendale?
Sempre. Faccio questo lavoro dal 2010 e fin qui non mi è mai capitato di tornare da un cliente a mani vuote. Di questi tempi non è un aspetto da minimizzare, soprattutto da parte delle piccole aziende che comprando l’antivirus di ultima generazione e compilando il Gdpr (General data protection regulation, ndr) con il loro avvocato pensano di essersi messi in sicurezza. Non è così. O meglio, sulla carta hai fatto tutto quel che dovevi fare, ma nella realtà non puoi dormire sonni tranquilli, anzi.
Che interesse ha un hacker ad attaccare una Pmi anziché una multinazionale?
I criminali, che fatico a definire hacker, hanno un unico obiettivo: monetizzare la propria attività. Ci sono diversi modi con cui possono guadagnare soldi con un loro attacco. Ad esempio utilizzando un «ransomware», un programma che cifra tutti i dati che trova nella rete aziendale, bloccandoli o crittografandoli. A quel punto sul computer della vittima appare una messaggino con scritto «se vuoi accedere ai tuoi dati ci devi dare una determinata cifra (spesso in criptovaluta)». Mi creda, normalmente vengono utilizzati algoritmi seri ed è quasi impossibile recuperare i dati originali senza «chiave». In questo caso, se l’azienda non ha fatto i compiti a casa con una buona gestione dei backup, rimane bloccata.
Un’azienda può comunque contare sul suo aiuto anche in quei casi?
No, noi non facciamo «incident response». Possiamo aiutare l’azienda a capire com’è successo, ma si tratta per lo più di attività sistemistiche che affidiamo a dei partner. Se l’azienda non ha un backup (una copia di sicurezza, ndr) o se è stato cifrato anche quello, nei casi più gravi si arriva dover ricreare buona parte dell’infrastruttura IT…
In quest’ultimo caso che succede?
Senza un backup disponibile ho visto aziende, anche con un centinaio di dipendenti, costrette a fermare l’attività per mesi. A tutti i miei clienti do un semplice consiglio: fate bene i compiti a casa.
È un messaggio in codice?
No, banalmente chiedo di verificare che il backup sia inaccessibile dalla normale rete (spesso è collegato al dominio aziendale o peggio ancora alla stessa origine dei dati); nel caso più banale ho visto aziende salvarsi con un backup su nastro o disco esterno ben custodito in un cassetto della scrivania, ma il tema è complesso. Tuttavia da qualche anno i criminali sono passati dal ransomware che blocca l’accesso ai dati al ricatto della pubblicazione degli stessi. Dopodiché, in questi casi c’è molta differenza tra un piccolo falegname di provincia sotto estorsione e un produttore di missili a cui sono stati rubati i brevetti industriali, come spesso vediamo nei film di spionaggio.
A proposito di cinema, è vero che la formulazione della password resta una delle principali debolezze di una rete aziendale?
Sì, tanto che è diventato ormai un cliché. In ogni sistema si trovano password tipo «NomeAzienda2026!», «Primavera2026!» o simili, tutti schemi prevedibili. Ora siamo nel mese di maggio e scommetto che ci sarà qualche lettore con «Maggio2026!», che per i sistemi di Microsoft è considerata «robusta», ma che a fronte di un attacco banale, che può lanciare anche un ragazzino, consente di accedere ai servizi aziendali. La questione delle password comunque non è l’unico problema...
Piccola consolazione...
Il tema della cybersicurezza è una questione molto più ampia rispetto al nodo delle password, anche se riscontro con sempre più frequenza che la aziende non sciolgono nemmeno quello. Si deve partire da password «complicate» per passare agli aggiornamenti del software al monitoraggio della superficie di attacco. Mi creda, ci sono imprenditori che non conoscono neppure la rete che hanno a disposizione e mostrano assenza di controllo oltre che superficialità di gestione dei dati di accesso. Questo fenomeno colpisce allo stesso modo i giganti e le microimprese: il problema peraltro si aggraverà con l’Intelligenza artificiale, sempre più capace di aggirare i «muri» di difesa.
L’Ai potrebbe però diventare nostro alleato per difenderci degli attacchi, no?
Temo di no, le AI aiutano enormemente nella ricerca di vulnerabilità durante la fase di attacco e la loro natura le rende in qualche modo inaffidabili per la difesa autonoma. Mi spiego meglio: ipotizziamo che gli attuali modelli falliscano il 10% delle volte; se sono un attaccante non è un grosso problema se il mio modello sbaglia, mi basta che funzioni una volta e sono dentro. Contestualmente, se lasciassi tutti i miei sistemi di sicurezza in gestione all’AI, devo mettere in conto che il giorno che un modello sbaglia, può crearmi seri problemi ai sistemi. E questo senza citare gli attacchi rivolti agli stessi agenti AI. Mai come in questo periodo c’è stato un gap così ampio tra attacco e difesa, le AI stanno trovando vulnerabilità a ritmi insostenibili.
Insomma, non abbiamo speranze. Nemmeno il piccolo falegname di provincia
Da questo punto di vista andiamo incontro a un problema enorme. Per questo motivo bisogna fare prevenzione, come ho detto prima bisogna fare i compiti a casa, le aziende devono capire qual è il loro grado di rischio. Chiaramente un falegname non ha bisogno di sistemi di controllo esagerati, di gente che sta 24 ore su 24 a monitorare i «log dei server» (registrazioni cronologiche, ndr), ma ha comunque bisogno di un piano di «disaster recovery» (una strategia di ripristino dei sistemi informatici, ndr), che garantisca la sua continuità operativa.
Eseguito il penetration test rilasciate al cliente una sorta di ricetta per la cura o la salvaguardia della sua rete?
Per ogni problema che troviamo, raccogliamo le evidenze per dimostraglielo: diamo una reportistica esecutiva spiegata in termini non tecnici, e un’analisi dettagliata che consente all’azienda di replicare quello che abbiamo fatto noi. Tecnicamente gli consegniamo i cosiddetti «proof of concept» con delle indicazioni di massima per risolvere eventuali problemi riscontrati. Sarò più preciso: se riscontro che a un’azienda manca una segmentazione di rete i non le prescrivo nel dettaglio come strutturarla. A quel punto bisogna sedersi a un tavolo, definire quali sono le aree di isolamento e sporcarsi un po’ le mani insieme. Bisogna lavorare sui processi, non c’è una soluzione magica.
Lavorare sui processi vuol dir avere anche un’organizzazione adeguata?
Beh, sì. Avere personale che comprenda il tema e sappia dove intervenire è fondamentale. In Italia (e pure in Europa) si tende a rispettare i requisiti di legge (nella migliore delle ipotesi), producendo tonnellate di carta, ma trascurando i controlli periodici sulla infrastruttura di rete.
Mi pare che oltre a un’organizzazione funzionale per parlare di cybersicurezza sia indispensabile anche una buona dose di competenza, sbaglio?
Difendersi preventivamente dagli attacchi hacker non ha un costo indifferente e spesso il management di un’azienda (soprattutto in quelle di più piccole dimensioni) la considera una spesa improduttiva o comunque secondaria rispetto a quelle messe a budget per le attività di marketing o per quelle commerciali. Per strada vedo aziende con ringhiere e cancelli altissimi, per lo più addobbati con filo spinato e telecamere. Poi mi chiedono un penetration test e scopro che la loro rete ha dei buchi clamorosi. Paradossale, no? È come se quei cancelli fossero sempre aperti e le telecamere girate verso il muro. A tal proposito, spesso mi sento dire dagli amministratori delle Pmi: «Chi vuoi che mi attacchi? Siamo talmente piccoli...». In seguito, però, diventano fornitori di gruppi galattici e di conseguenza parte della loro superficie di attacco; quindi potenziali vittime di criminali, che si servono della debolezza dei «piccoli» per arrivare al cuore dei «grandi».
A Brescia, in effetti, si è più propensi ad acquistare un capannone che non un sistema di difesa dai cyberattacchi, lo dice anche un recente studio di Confindustria.
Per molti la cybersicurezza è ancora un costo da rimandare. Eppure conosco imprenditori che ne hanno fatto un elemento distintivo, un vero fattore di competitività. Il ragionamento è semplice: un'azienda bloccata non produce. E un fornitore fermo è inaffidabile.
