Una riflessione sulla complessità, sui gap culturali e sugli attacchi informatici e... sulle colpe
di Michele Pinassi*
SIENA. “Stop trying to fix the user” dice Bruce Schneier sul suo blog in risposta alla nuova campagna di cybersecurity awareness Take9: “Take a 9-second pause and think before you click, download, share. A short pause goes a long way.“
Una campagna che ancora una volta cerca di sensibilizzare gli utenti, che secondo le statistiche sono parte attiva – a loro insaputa – di oltre il 70% degli attacchi informatici, ai rischi del mondo digitale. La pausa di qualche secondo sarebbe propedeutica a stimolare maggiore riflessione e senso critico, soprattutto in quegli attacchi di ingegneria sociale che fanno leva proprio sul senso di urgenza e di pericolo immediato.
Ma siamo così sicuri, sottolinea Bruce Schneier, che la responsabilità della sicurezza dei sistemi informatici debba ricadere sugli utenti? “Stop trying to fix the user. It’s not the user’s fault if they click on a link and it infects their system. It’s not their fault if they plug in a strange USB drive or ignore a warning message that they can’t understand. It’s not even their fault if they get fooled by a look-alike bank website and lose their money. The problem is that we’ve designed these systems to be so insecure that regular, nontechnical people can’t use them with confidence. We’re using security awareness campaigns to cover up bad system design”. (Why Take9 Won’t Improve Cybersecurity, Bruce Schneier)
Alla riflessione di Schneier fa eco “Rogue Repairman manifesto”, che esordisce con “Too many good people are being held back by bad software. Very likely, you are one of them.”, proseguendo con una serie di assunzioni di responsabilità chiare di chi progetta sistemi informatici destinati all’utenza generale (ho tradotto io dall’inglese, perdonate eventuali errori):
- È nostra responsabilità fare il lavoro sporco per capire gli obiettivi, i desideri e i problemi dei nostri clienti, non dei nostri clienti che devono imparare un mucchio di gergo tecnico per spiegarli a noi;
- È nostra responsabilità progettare un software il cui funzionamento sia comprensibile senza sforzo per l’utente, non dei nostri clienti che devono districarsi tra manuali, siti Web e corsi di formazione per imparare a vedere il mondo come lo vediamo noi;
- È nostra responsabilità pensare in modo proattivo, vedere i problemi che potrebbero sorgere in futuro e affrontarli prima che si verifichino, non dei nostri clienti che devono affrontare la micro-gestione dello sviluppo del loro software;
- È nostra responsabilità creare cose che diano potere ai nostri clienti, non dei clienti che si abituino a non avere potere;
Difficile non essere d’accordo con questi principi, che peraltro non sono una novità per chi si occupa di progettazione e sviluppo di UX. Principi descritti anche in alcuni saggi ormai più che ventennali, come il classico “Don’t Make Me Think” di Steve Kruger.
È curioso, peraltro, come alcune aziende diventate poi multinazionali di successo abbiano investito tantissimo nell’usabilità dei loro prodotti. Penso ad Amazon, che della semplicità e immediatezza d’uso della sua piattaforma di e-commerce ha fatto un obiettivo imprescindibile per delinearne il successo. Così come ad esempio Google, il cui successo fu dettato dalla semplicità con cui l’utente banalmente scriveva cosa voleva cercare nell’unico posto dove poteva farlo, senza impazzire tra mille pulsanti, e ancora oggi è così. Anche il mercato degli smartphone ha puntato molto sull’usabilità, come Apple e il suo iPhone, o come molti altri prodotti del brand della mela, progettati proprio per essere semplici dal punto di vista utente.
Noi tecnici purtroppo spesso dimentichiamo che a usare i nostri strumenti non sono sempre altri tecnici. Gli utenti non tecnici spesso non hanno tempo, voglia, curiosità di capire il mondo che sta dietro a una tastiera e un monitor. Un mondo che, con l’avvento della Rete e l’iperconnettività ormai costante di qualunque oggetto tecnologico del nostro quotidiano, è diventato luogo privilegiato per crimini e truffe di ogni genere. Solo che, banalmente, molti di noi non erano pronti a tutto questo.
Un gap informativo tra tecnici e utenti della strada che è andato crescendo con la complessità degli strumenti informatici, ormai componenti essenziali del quotidiano.
Possiamo stupirci se lo stesso dottor Scorza, componente del Garante della Privacy, proprio qualche giorno fa, ha avvertito che l’Analfabetismo digitale sta portando l’Italia verso il disastro sociale:
Emergenza nazionale: oltre metà degli italiani senza competenze digitali di base
Recita letteralmente così il Rapporto annuale ISTAT 2025.
Dati tanto preziosi quanto impietosi sullo stato di alfabetizzazione digitale della popolazione italiana.
Non ce la facciamo.
Siamo indietro.
Più della metà della popolazione manca delle competenze digitali di base.
Stiamo parlando di oltre 30 milioni di persone.
In termini di alfabetizzazione digitale restiamo il fanalino di coda europeo: siamo ventiduesimi.
(Scorza: “Analfabetismo digitale, Italia verso il disastro sociale”, Agenzia Digitale)
Forse anche la piramide demografica del Paese non aiuta, ma un dato è certo: tentare di colmare un gap culturale più che decennale (ricordare le famose tre “I” del Cavaliere?) senza fondi e senza investimenti strutturali efficaci, partendo proprio dalla scuola, è impossibile.
Sandro Sana, dalle pagine di Cybersecurity 360, rilancia: “La cyber sicurezza non è una moda, non è una checklist da barrare una volta l’anno. È una condizione essenziale per la sopravvivenza economica di un Paese moderno” suggerendo un cambio di lessico “Dobbiamo smettere di parlare di patch, vulnerabilità, NAT, sandbox e segmentazione. Dobbiamo iniziare a parlare di soldi, rischi, interruzione dei servizi, perdita dei clienti, reputazione distrutta, responsabilità penale” ma onestamente mi chiedo se possa essere questa la strada per uscire da quella preoccupante classifica che vede l’Italia come uno dei Paesi maggiormente flagellati dagli attacchi informatici.
Forse una chiave è ripartire anche dalla semplicità, dal KISS –Keep It Simple, Stupid-, privilegiando l’efficienza, la semplicità, l’eleganza del minimalismo. Anche perché il tema delle vulnerabilità indotte dalla supply chain, che nei software ormai pieni zeppi di dipendenze è davvero difficile anche solo controllare, è ben presente nel dibattito. Abbiamo software bulimici pieni zeppi di librerie di cui non gestiamo il ciclo di vita, come ha ben insegnato la catastrofe di Log4j.
Che belli i tempi in cui il software entrava in un floppy disk da 1,44MByte. I tempi in cui limare ogni singolo byte era lavoro certosino necessario a garantire la funzionalità su CPU limitate e costosissime RAM. C’erano errori, certo, ma era anche semplice gestirli. Oggi, con migliaia di dipendenze incrociate e a più livelli, la sfida è davvero ardua.
E poi, per concludere, ci sono loro. Gli utenti. Quelli che quando chiedi loro “sai dirmi l’IP del PC che stai usando?” ti guardano con aria spaesata. Del resto, come biasimarli. Chi ha insegnato loro cos’è un IP, a cosa serve e come verificarlo? Chi ha investito tempo a spiegarli come funziona una rete TCP/IP, cos’è un server, cos’è il 3-way handshake e così una porta TCP? Chi ha raccontato loro quale è la differenza tra un server POP3 e un IMAP, o con l’SMTP? Oppure perché una connessione HTTPS, quella con “il lucchettino verde”, garantisce solo la riservatezza dei dati e l’attendibilità del sito web, non il fatto che “sia sicuro” (ovvero, non una truffa, non un phishing).
Ma forse, come dice Schneier e RMM, il problema è nostro, dei tecnici, incapaci di realizzare sistemi semplici, intuitivi, alla portata di chi non ha le nostre competenze. O forse, per spezzare una lancia a nostro favore, una buona parte della responsabilità è di tutti quei decisori che hanno rovesciato nel mondo tecnologico una quantità inutile di sovrastrutture burocratiche, guidati dall’illusione di poterlo dominare. Illusione, appunto, che oggi ci si sta ritorcendo contro.
