Il nostro Mister X ha appena cestinato le ultime e-mail e siti visitati "utili" per commettere il suo crimine, e subito dopo ha formattato il disco rigido del suo computer: adesso il suo hard disk è nuovo di zecca, nessuna traccia, niente di niente.
Poi ha pensato bene di spegnere il suo computer prima di recarsi in ufficio.
Sa bene, ne conosce le abitudini, che il suo collega, che chiameremo Mister Y, alle 10,00 in punto del mattino abbandona la sua postazione per una ventina di minuti, lasciando il suo computer acceso. Approfitta dunque di questo "vuoto" per svolgere l'ultima operazione, per rendere il suo crimine "perfetto", non dal computer di casa sua ma da quello di Mister Y: bontà sua, quest'ultimo, è un soggetto di quelli che potremmo definire "prevedibile" e dunque Mister X già da tempo ha individuato la password che gli permette di accedere a specifiche operazioni bancarie. Inoltre, malgrado un sistema biometrico da superare per potere entrare nella stanza di Mister Y, egli sa come eluderlo: il "sistema" chiede all'utente di pronunciare una determinata frase, e Mister X ha registrato la voce del suo collega qualche tempo prima proprio mentre la ripeteva per entrare nel suo ufficio.
La Biometria è la disciplina che studia metodi informatici per identificare una persona o verificare la sua identità basandosi su misure antropometriche, fisiologiche o comportamentali dell'individuo. La caratteristica biometrica da utilizzare deve possedere carattere universale (posseduta cioè da tutti gli individui), di unicità (unica cioè per ogni individuo), di permanenza (inalterata nel tempo), di collezionabilità (deve cioè poter essere misurata).
Tra le variabili più frequentemente prese in esame abbiamo le impronte digitali, la geometria della mano e del volto, la conformazione della retina o dell'iride, il timbro e la tonalità della voce.
Nel caso di Mister X, se il sistema avesse richiesto frasi random (text-indipendent) anziché un text-dipendent, non sarebbe stato così facile eluderlo.
Semplicemente, il nostro presuntuoso criminale ha commesso un furto di identità telematica, per cui eventualmente le tracce dell'operazione che sta per compiere, rimarrebbero nel computer dell'ignaro Mister Y.
La mente criminale, dunque, ha vinto. O almeno così pensa lui!
Grazie a Dio esistono persone altamente preparate e qualificate come ad esempio l'esperto informatico Umberto Rapetto, colonnello della Guardia di Finanza, capace di smascherare Mister X. Infatti, il nostro criminale ignora che esiste un'arte, quella di "computer forense", capace di recuperare e-mail e file di siti visitati, grazie anche all'utilizzo di uno specifico software (oltre naturalmente alla bravura), anche dopo 8 operazioni di formattazione del disco rigido, un'equipe capce di risalire anche ai file cestinati.
Inoltre, anche se lui ha appositamente lasciato spento il computer, l'equipe sa bene che accendendolo frettolosamente rischia di perdere utili informazioni, mentre il nostro criminale non sa che specialisti come Umberto Rapetto, sono capaci di "agganciare" il disco rigido di un computer a una speciale attrezzatura (macchina) capce di diagnosticare e soprattutto di "clonare" il contenuto del disco, prima che una qualche controindicazione distrugga i contenuti.
Casi come questo ci portano a riflettere. Che fine ha fatto la nostra privacy?
Davvero si può venire accusati di un reato che non abbiamo commesso?
Esistono delle "misure" di protezione nell'era dei computer tali da poterci fornire delle garanzie?
Ebbene ESISTONO!
Parlando di protezioni entriamo nel tema della confidenzialità, integrità, autenticazione e "non ripudio": la confidenzialità è la garanzia che un messaggio che abbiamo spedito può essere compreso solo dal suo destinatario; l'integrità è la prevenzione dell'alterazione o manipolazione indebita delle informazioni (da parte di soggetti cioè non autorizzati); l'autenticazione consiste nella verifica di una persona o di un'altra entità; il non ripudio serve per fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in rete.
Il "non ripudio dell'origine" prova chi è il mittente di una spedizione; il "non ripudio della consegna" prova che il destinatario non può negare di averlo ricevuto.
Al fine di garantire tutto ciò ci si può affidare alla "firma digitale", un'informazione aggiunta ad un documento informatico, ovverosia una firma elettronica. La firma digitale è molto più sicura rispetto alla firma autografa in quanto quest'ultima può essere riprodotta mentre la digitale è intrinsecamente legata al documento, e anche se venisse separata dal testo non può comunque essere "trasferita" a un altro documento.
Per approfondire la "confidenzialità" va detto, inoltre, che esistono due criteri, simmetrico e asimmetrico. Nel simmetrico, due utenti utilizzano la stessa "chiave" (privata) della quale soltanto due persone sono a conoscenza, mentre nell'asimmetrico esistono due chiavi, una privata e l'altra "pubblica"; chi possiede la chiave pubblica non potrà arrivare a decifrarne la privata.
Quando necessita attribuire a un documento la data e l'ora in cui è stato generato, si ricorre alla "marcatura temporale"; in questo modo avremo impedito, ad esempio, che il documento possa essere sostituito o contraffatto in un secondo momento.
Vi sono poi le "smart card": esse sono personali e protette da un codice PIN (numero di identificazione personale), capaci di memorizzare le operazioni prodotte oltre che i dati personali della persona titolare della carta; è come se il sistema chiedesse alla card "chi sei?" (richiesta di identificazione) e allora la carta (cioè noi) dovremo rispondere di "essere quelli che diciamo di essere" (processo di autenticazione, attraverso l'immissione di un ID utente e una password personale segreta che il sistema è in grado di riconoscere in quanto precedentemente memorizzata). Si tratta dunque di una carta magnetica utilizzata per realizzare il servizio di autenticazione e/o controllo d'accesso.
Nel nostro caso Mister X oltre a ignorare che persone come Umberto Rapetto sono capaci di riportare "in vita" i contenuti cestinati, oltre che quelli esistenti prima della formattazione, ha commesso un piccolo errore: mentre si stava recando in ufficio per approfittare del "vuoto" di Mister Y, si è fermato a un distributore di benzina pagando con la carta di credito. E questo per gli inquirenti costituisce una prova, poiché l'operazione effettuata "risulta", in quanto memorizzata, sia dal chip della card sia in banca.
E a proposito di password, ricordiamoci di crearle sempre "strane" ma facili da ricordare per noi, poiché le probabilità che siano "azzeccate" sono davvero alte come nel caso di Mister Y: pensava di averla creata ad hoc, invece era piuttosto prevedibile, era infatti la sua data di nascita e quindi per Mister X è stato piuttosto semplice. Ricordiamoci che la probabilità di indovinare una password diminuisce all'aumentare dello spazio corrispondente (che deve essere di almeno 8 caratteri), inoltre sarà bene cambiarla spesso, scegliendone sempre una che contenga sia lettere che numeri e caratteri di punteggiatura.
Come dichiara il nostro colonnello della Guardia di Finanza, il compito oggi è quello di garantire che una persona non sia vittima dell'informatica come è accaduto per Mister Y, poiché uno "bravo" facilmente può commettere un furto d'identità telematica, commettendo così un reato che potrebbe essere addossato a chiunque di noi, poveri ignari.
Infine, vorrei puntualizzare che senza dubbio la biometria aiuta, ma non per questo bisogna pensare che sia infallibile, per cui ai fini di accurate indagini investigative e criminologiche non deve assolutamente venir meno l'ingegno, la preparazione e la bravura di chi è preposto a tale compito. Voglio dire: la biometria non è servita a evitare la strage dell'11 settembre, giusto?
Vi è poi il problema della privacy, anche se qui, a dirla tutta, è vero che il sistema può addossarci un reato che non abbiamo commesso, ma allo stesso modo, lo stesso "sistema" può scagionarci: dal computer di Mister Y risulta che non era a prendere il caffé a quell'ora è vero, ma grazie a Dio Mister X ha commesso l'errore di pagare con la carta di credito (per cui non era a casa a quell'ora), e inoltre ci sarà sicuramente un "testimone oculare" che dichiarerà che come sempre a quell'ora Mister Y stava lì, al bar, a gustarsi il suo buon caffé magari in compagnia di una bella donna ...
Per ulteriori approfondimenti:
