Il campione europeo di cybersicurezza ci spiega perchè agli hacker etici non piace lavorare in Difesa

“Siamo dentro una guerra ibrida. Gli attacchi hacker dei russi ai siti italiani non fanno pensare diversamente. Ma la difesa militare non piace tanto agli esperti di cybersicurezza”. Lo spiega al Foglio senza giri di parole Gaspare Ferraro, docente universitario a Genova di Data protection and privacy e technical manager del Cybersecurity National Lab del Cini (Consorzio interuniversitario nazionale per l’informatica). Fuori l’ateneo è coordinatore del TeamItaly, la nazionale italiana di cyberdefender, da poco campione d’Europa all’European cybersecurity challenge. A tutti gli effetti è un hacker, anche se al termine si associa uno stigma poco edificante. “Spesso si parla di questa figura come di un criminale informatico. In realtà l'hacker è una persona curiosa che studia, analizza, capisce i sistemi e cerca di espanderli oltre i loro limiti – dice Ferraro – C’è chi ti mette mano alla serratura per entrare in casa e rapinarla, e chi invece lo fa per aggiustarla. Ladro e fabbro alla fine hanno le stesse competenze, ma i fini sono completamente opposti”. Da qui un’espressione più morbida per definire questi esperti: hacker etici.

Un tempo li chiamavano smanettoni. Ora li cercano in massa: “Tutti quelli che conosco iniziano a lavorare ben prima di laurearsi. Le aziende ne hanno bisogno”. E lo stato pure. Il ministro della Difesa Guido Crosetto quantifica in 10-15 mila le unità esperte in cyber e nuove tecnologie di cui il settore militare avrebbe bisogno. “Sono davvero tante. Per riuscire a sfornare tutti questi professionisti bisognerà investire molto in formazione, ma i risultati potremo vederli solo fra 5-10 anni”, spiega Ferraro. L’esercito, poi, non è che piaccia molto. “Un soldato e un hacker hanno mentalità diverse, e spesso i due mondi non si conciliano”. Il primo segue uno schema rigido, militare per l’appunto, “l’hacker invece è un curioso, che non si pone limiti e non sta nelle righe. Cosa che invece il settore militare ti chiede, giustamente”, dice l’esperto, menzionando un altro fattore respingente e riscontrabile in tutti gli impieghi pubblici: “Purtroppo c'è la questione dello stipendio troppo basso. Questo lavoro all'estero è ben valorizzato, mentre in Italia è visto al pari di qualsiasi altro impiego. Con uno stipendio qualsiasi”.

Eppure, le infrastrutture digitali pubbliche sono le meno attrezzate. “Sicuramente la sanità è il più a rischio. I suoi dati sono altamente sensibili. Ma già il settore soffre per la carenza di personale in corsia. Figuriamoci per quello informatico”, spiega Ferraro, che punta il dito su anni e anni di sottovalutazione di questi rischi: “Facciamo esercitazioni anti incendio, piani di evacuazione, regole sulla presenza degli estintori. Il mondo digitale invece si prende considerazione dopo che arrivano i problemi”.

Leggi anche:

difendersi dagli hacker

“Nella cybersicurezza l'Italia è indietro. Manca visione da parte delle istituzioni”, dicono le aziende

Francesco Gottardi

Mentre parliamo alcune piattaforme da milioni di utenti come LinkedIn e Canva vanno in down: il loro server, Cloudflare, ha avuto il secondo malfunzionamento grave nel giro di pochi giorni. Ferraro sorride, ma spiega che all’estero sono comunque più avanti in termini di prevenzione. “Le aziende internazionali mettono in piedi dei programmi di 'bug bounty': chiamano a raccolta gli hacker e li pagano se trovano delle vulnerabilità nei loro sistemi”. Questa caccia al tesoro è molto popolare in America, in Italia meno. “Qui non ci sono normative specifiche su questi programmi, e ciò crea problemi: chiunque trovi e denunci un bug rischia di passare per il criminale che l’ha creato”. Da qui l’esigenza di avere adeguato bagaglio di nozioni legali per capire fino a che punto spingersi: “Dal codice penale al regolamento sulla protezione dei dati. Per un informatico sono cose noiose ma necessarie – spiega l’esperto – E poi ci sono le regole d’ingaggio con i clienti. Se mi commissionano di testare i loro livelli di sicurezza devo stabilire cosa posso attaccare, quali dati analizzare e così via”. È così che un hacker etico scova (e corregge) i nervi scoperti di una infrastruttura digitale.

Nel mezzo di una guerra ibrida, competenze del genere fanno la differenza. “La lontananza tra settore militare e hacker si lega spesso a difficoltà di comunicazione fra i due. Ma negli ultimi tempi la rotta sta cambiando: ci sono molte più occasioni di incontro”. Settimana scorsa 160 giovani hacker si sono radunati a Roma per la Smd cyber challenge 2025, evento organizzato dallo Stato maggiore della Difesa e suddiviso in più sfide: dalle simulazioni di attacchi combinati alla decifrazione di messaggi segreti, fino all’analisi di programmi sconosciuti. Anche Ferraro era presente: “Momenti come questo servono a presentare il mondo della difesa agli hacker etici. E magari anche a renderlo più attrattivo”.