\"¿Es el yihadismo una ciberamenaza?\", Revista de Occidente, nº 406, marzo 2015, pp. 20-34

Manuel R. Torres Soriano insegna Scienza della politica all’Università Pablo de Olavide di Siviglia

i limiti del cyberterrorismo Nonostante la percezione generalizzata sul pericolo costituito dal cyberterrorismo e la minacciosa propaganda jihadista, i gruppi terroristici non sembrano possedere le risorse – umane, economiche, tecnologiche – per condurre una cyberguerra. Né sembra che tale situazione possa evolvere nel tempo in favore di una maggiore capacità di attacco cibernetico da parte dei mujaheddin. Ciò non toglie però che azioni compiute sul web, soprattutto se ripetute e attuate contro obiettivi simbolici, possano avere un enorme impatto emotivo amplificando la reale portata del pericolo. Esiste una generalizzata percezione che sia relativamente facile utilizzare internet per arrecare danni catastrofici colpendo un qualunque obiettivo connesso in rete. Tra i molti attori a cui si attribuisce un chiaro interesse alla realizzazione di questi scenari apocalittici, si distinguono le organizzazioni terroristiche, a causa della loro inclinazione alla spettacolarità delle azioni e alla ricerca del panico tra le popolazioni attaccate. Tuttavia buona parte di queste previsioni sono basate su una visione distorta della natura del cyberspazio e dei requisiti necessari per operare al suo interno. Uno dei problemi principali per comprendere la reale dimensione di questo fenomeno è la confusione esistente circa ciò che il concetto di cyberterrorismo comprenda. Abitualmente vi si includono azioni che vanno dal cosiddetto “hacktivismo” (attivismo politico attraverso il sabotaggio o la divulgazione di contenuti digitali segreti), fino all’uso di internet per portare avanti le attività abituali del terrorismo come la propaganda, il finanziamento, la ricerca di informazioni o la comunicazione privata tra i membri dei gruppi terroristici stessi. Tuttavia il cyberterrorismo in senso stretto implica esclusivamente l’utilizzo del cyberspazio come strumento per provocare danni fisici a persone o cose, cioè un

1

FOCUS

Da al Qaeda all’IS, metamorfosi del terrorismo

qualcosa di infinitamente più complesso rispetto al resto delle attività che vengono, in maniera poco rigorosa, a esso ricondotte. È realmente fondato l’allarme sulla minaccia che proverrebbe dal cyberterrorismo? In questo articolo sostengo la tesi che i gruppi terroristici, e in modo più specifico quelli di ispirazione jihadista, nonostante il loro indubbio interesse, non solo siano attualmente molto carenti delle competenze necessarie a utilizzare il cyberspazio come strumento per portare a segno attentati, ma che sia anche piuttosto improbabile che in futuro siano capaci di invertire questa situazione.

Interesse versus capacità Gruppi come al Qaeda e il cosiddetto Stato Islamico hanno dimostrato in modo chiaro la propria destrezza quando si è posta l’esigenza di utilizzare le nuove tecnologie informatiche come strumentazione utile a potenziare le proprie attività terroristiche tradizionali. La produzione propagandistica del jihadismo ha cercato di spronare le iniziative individuali dei propri adepti anche in ambito cibernetico. Tuttavia questi appelli, lontani dal formare un vero e proprio progetto terroristico, sono sembrati perlopiù riflessioni ad alta voce fatte con la speranza di ispirare qualche altro adepto con le necessarie capacità. Un’analisi delle informazioni disponibili da fonti aperte evidenzia come il numero di eventi di questo tipo sia scarso e di bassa entità. La maggior parte sembra indicare che alcuni militanti starebbero cercando di formarsi o starebbero sperimentando la possibilità Il carattere di “università di compiere attentati attraverso internet. Negli ulti- aperta del jihad” che mi anni sono apparsi sulla scena pubblica presunti i gruppi radicali hanno gruppi di “hacker” di ispirazione jihadista, il cui preteso di assegnare a proposito dichiarato era quello di utilizzare le pro- internet possiede più una prie competenze informatiche per portare avanti il finalità propagandistica e motivazionale per “jihad elettronico”. Ciò nonostante, al di là dei loro i propri seguaci che di discorsi trionfalistici sulle capacità dei mujaheddin addestramento per futuri di umiliare l’economia occidentale, la realtà è che cyberterroristi il bagaglio operativo di questi “gruppi di esperti” si è limitato a cucire assieme manuali e tutorial facilmente reperibili in rete o per altre vie, con peraltro uno scarso valore pratico. Il carattere di “università aperta del jihad” che i gruppi radicali hanno preteso di assegnare a internet possiede più una finalità propagandistica e motiva-

2

Torres Soriano

i limiti del cyberterrorismo

zionale per i propri seguaci che di addestramento per futuri cyberterroristi. La diffusione indiscriminata delle informazioni tecniche è infatti in contraddizione con la chiusura ermetica e l’effetto sorpresa che dovrebbe contraddistinguere un attacco cyberterroristico di successo. Le “operazioni” di quei gruppi dai quali si ipotizzava un maggior livello di sofisticazione si sono limitate a semplici attacchi in forze contro alcune pagine web scarsamente protette. In alcuni casi, i loro sabotaggi verso quei contenuti virtuali ritenuti offensivi da un punto di vista islamico sono stati portati avanti con procedimenti assolutamente privi di particolari requisiti tecnici: ad esempio, ottenere le password delle pagine attaccate mediante un’opera di “ingegneria sociale”, oppure l’invio di messaggi contenenti minacce alle imprese che possiedono i server per forzarle a eliminare tali contenuti dal cyberspazio.

Le barriere del cyberconflitto Le proiezioni più allarmistiche sulla fattibilità del cyberterrorismo sono basate sui risultati di esercitazioni che alcune istituzioni governative statunitensi hanno svolto alla fine degli anni Novanta, con l’obiettivo di valutare la sicurezza dei loro sistemi informatici. Tuttavia questi risultati non sono direttamente trasferibili a ciò che potrebbe ottenere un’organizzazione terroristica se si proponesse di raggiungere il medesimo obiettivo. Difficilmente un’entità non statale, obbligata a muoversi nella clandestinità e che dedica gran parte dei suoi sforzi alla protezione dei suoi membri, potrebbe mobilitare una simile massa critica e offrirle un contesto sicuro nel quale poter cooperare. D’altro canto, l’uso offensivo del cyberspazio non è un’attività esente da costi economici. Una simulazione, portata a termine nel 2002 dallo US Naval War College e denominata “Digital Pearl Harbor”, arrivava alla conclusione che la realizzazione di un atto di cyberterrorismo complesso avrebbe richiesto un budget di 200 milioni di dollari, e ben cinque anni per poter essere implementato. Queste barriere in ingresso non hanno fatto altro che aumentare nel corso degli anni. Quando ad esempio si utilizza il caso del trojan Stuxnet come paradigma della capacità distruttiva di un “semplice” programma informatico, si sopravvaluta la reale entità di quel cyberattacco. Il caso di Stuxnet è opera di un’equipe multidisciplinare, che comprendeva esperti in campi molto diversi, dalla fisica nucleare all’ingegneria di uno spe-

3

FOCUS

Da al Qaeda all’IS, metamorfosi del terrorismo

cifico componente dei prodotti industriali commercializzati dalla Siemens, ma è anche frutto della mobilitazione di un’intelligenza operativa, del riconoscimento di obiettivi e della capacità di inserire fisicamente il programma all’interno di una rete di computer che per procedure di sicurezza non erano connessi a internet. La disponibilità di conoscenze così specializzate è tanto scarsa nei gruppi terroristici come lo è nel resto della società. A dispetto dei proclami della propaganda jihadista, che sostiene siano migliaia i membri che studiano l’informatica per mettere a disposizione della lotta queste competenze, la realtà è che solo un numero A dispetto dei proclami marginale di attivisti può contare su una avanzata della propaganda jihadista, la realtà è formazione informatica o in qualche altra discipliche solo un numero na potenzialmente utile. All’opposto, la National marginale di attivisti Security Agency statunitense (per citare solo uno può contare degli organismi occidentali incaricati di fare fronte su una avanzata a una cyberguerra) tiene a libro paga più di mille formazione informatica matematici, novecento dottori di ricerca in differenti discipline scientifiche e tecniche e quattromila informatici, il che delinea la maggior concentrazione mondiale di questo tipo di expertise in un’unica organizzazione. L’ostacolo più importante affinché un gruppo terroristico possa completare il processo di sviluppo di una cyberarma resta, comunque, quello della possibilità di sperimentare ripetutamente il software sviluppato e valutarne l’efficacia su obiettivi reali. Stuxnet prima di essere utilizzato era stato testato contro installazioni nucleari sperimentali situate negli Stati Uniti, le quali erano state dotate di un equipaggiamento identico a quello presente sul suolo iraniano e configurate esattamente come l’obiettivo sotto attacco. Le cyberarmi sono prodotti creati specificamente per operare contro un obiettivo concreto e sotto peculiari condizioni che difficilmente possono ripresentarsi in altre vittime. La “diffusione” di cyberarmi e la conoscenza dei loro codici da parte di altri attori non presuppongono necessariamente un pericolo di proliferazione. Sebbene sia certo che, attraverso un’azione di ingegneria inversa, sia possibile ottenere informazioni utili sull’architettura e la logica di funzionamento di questi programmi, si tratta di conoscenze che possono essere utili, per quei soggetti che possiedono le risorse umane e materiali necessarie, a ispirare unicamente le innovazioni future. Non vi è alcun argomento che supporti la tesi secondo la quale il mero passare del tempo giocherebbe

4

Torres Soriano

i limiti del cyberterrorismo

a favore delle aspirazioni cibernetiche del terrorismo. È quanto accaduto con l’ipotetica minaccia dell’uso di armi chimiche, batteriologiche e nucleari, minaccia che non si è mai materializzata a causa dell’incapacità dei terroristi di accedere alle risorse cruciali e a dominare la complessità di questo tipo di strumenti. Spesso si specula sulla possibilità che il terrorismo possa subappaltare queste competenze a gruppi di cyberdelinquenza, i quali hanno dimostrato una maggiore sofisticazione a livello tecnico, ma è certo che anche questi gruppi si scontrano con le stesse difficoltà logistiche e di preparazione. Di fatto, appare poco La “diffusione” probabile che questo tipo di organizzazioni siano di cyberarmi e la disposte ad aprire questa “linea di scambio”. Anche conoscenza dei loro codici da parte se le loro motivazioni sono di ordine economico, di altri attori non questi gruppi ottengono guadagni molto superiori presuppongono a quelli che potrebbe loro offrire il terrorismo, ope- necessariamente un rando in modo transfrontaliero attraverso le frodi pericolo di proliferazione bancarie contro singoli, l’estorsione, il furto e la vendita di dati mediante internet. Il crimine organizzato è cosciente che la pressione alla quale è sottoposto da parte delle diverse polizie è infinitamente inferiore a quella contro cui dovrebbe scontrarsi se decidesse di diventare collaboratore di un’organizzazione terroristica. Peraltro esistono pochi incentivi affinché un governo decida di perdere il controllo diretto su uno dei beni di maggior valore dei suoi arsenali e si assuma il rischio di trasferirlo a un gruppo che, in ultima istanza, potrebbe impiegarlo contro il suo benefattore. Il principale vantaggio, in teoria, potrebbe essere il suo impiego contro un nemico, in modo da permettere allo Stato di eludere le rappresaglie preservando la sua capacità di negazione. Sebbene l’ambito cibernetico e quello degli armamenti non convenzionali condividano una complessità tale da non lasciare dubbi su chi possa utilizzare tali risorse, l’attribuzione di una paternità a questi attentati non è impossibile, il che rende meno attrattiva tale collaborazione.

Attenzione a ciò che pensi Nonostante tutti questi elementi negativi, l’ossessione sul presunto rischio del cyberterrorismo può trasformarsi in una profezia che si autoavvera parzialmente. La ripetizione del discorso sulla facilità con la quale

5

FOCUS

Da al Qaeda all’IS, metamorfosi del terrorismo

si potrebbero provocare effetti catastrofici attraverso il cyberspazio non fa altro che incentivare l’interesse e la determinazione di questi gruppi a continuare con i tentativi. Una pratica maggiore può portarli a raggiungere una certa destrezza in altri tipi di azioni dall’elevato impatto mediatico. È il caso della distruzione di dati, del furto di informazioni private o della sostituzione di identità attraverso la rete. Questo tipo di azioni sono certamente alla loro portata e rispetto al loro basso livello di difficoltà tecnica, se venissero utilizzate ripetutamente contro obiettivi dal forte valore simbolico potrebbero proiettare sull’opinione pubblica la percezione che i terroristi dominino il cyberspazio e rendere reali le loro minacce più folli.1

1 Pubblichiamo qui una versione ridotta di M. R. Torres Soriano, ¿Es el yihadismo una ciber-amenaza?, in “Revista de Occidente”, 406/2015.

6