Uber, gli hacker e l’elefante sotto al tappeto


Davide MONTANARO

uber-via-infobarC’è voluto un anno ma, alla fine, Uber ha trovato le “giuste parole” per dichiarare di essere stata oggetto di un attacco hacker che ha sottratto dati personali riguardanti 57 milioni di utenti, tra passeggeri e autisti.

Ieri la notizia è balzata su tutte le pagine di giornale, “Uber” è stata la parola più pronunciata, in queste ore, da chi segue il mondo del digital e della trasformazione delle nuove tecnologie nei settori tradizionali e, spesso, stagnanti come quello dei trasporti su gomma e interurbani; altri la scoprono per la prima volta ed altri ancora, ribadendo la propria diffidenza in tutto ciò che è nuovo e diverso: “All’UberBlack, preferiamo il buon vecchio taxi bianco”.

Ma cosa è accaduto ad Uber? Diffusasi la notizia di un riscatto pagato dalla società, il pensiero si era lasciato accompagnare verso l’ipotesi di uno dei tanti ransomware diffusi nel mondo (+4000 al giorno, su scala globale, secondo i dati della Commissione europea).
La tecnica dei ransomware è caratterizzata dal rendere inaccessibili i dati da parte del titolare e/o gestore se non attraverso il pagamento di un riscatto, ma qui pare che l’intento fosse un altro: comprare il silenzio degli hacker e lo status quo con 100mila dollari e relativo impegno di eliminare, in modo definitivo, i dati trafugati. Parola di hacker.

Tralasciando la vicenda in sé, una tra le tante già accadute e ancora tra le poche rispetto a quelle che dovremmo aspettarci in futuro, importante è comprendere il confine tra libertà nella determinazione delle politiche aziendali e l’interesse pubblico alla sicurezza e alla corretta informazione. Quanto può spingersi una società a nascondere informazioni che riguardano interessi e diritti di terzi, al fine di proteggere la propria credibilità e il proprio appeal sul mercato? Non oltre il consentito e, quindi, non oltre i confini normativi.

E se di norme dobbiamo parlare, il riferimento va alle tre colonne portanti della sicurezza informatica europea: la Direttiva NIS, il GDPR e il Cybersecurity Act presentato lo scorso 13 settembre dalla Commissione europea, durante lo Stato dell’Unione.

La direttiva NIS, già in vigore, obbliga gli operatori dei servizi essenziali – settori individuati nella stessa direttiva, tra cui quello dei trasporti – a comunicare tempestivamente alle autorità preposte ogni singola violazione e attacco subito ai danni di dati personali e delle infrastrutture. Il GDPR, invece, rende sì obbligatoria la comunicazione della violazione non soltanto alle autorità dirette al controllo, ma anche ai soggetti a cui quei dati fanno riferimento. Siamo in presenza di un contrasto normativo su chi comunicare cosa – la direttiva NIS prevede l’esclusivo canale informativo con le autorità al fine di salvaguardare l’integrità delle infrastrutture stesse, mentre il GDPR pone al vertice l’interesse dei soggetti ad essere informati sulle sorti di propri dati sensibili – ma al netto di questo, il messaggio che l’Europa vuole far passare è chiaro: comunicare le violazioni. Senza esitazioni. Nell’interesse di tutti.

La necessità di comunicare tempestivamente tali informazioni non è sinonimo di eccesso di controllo e morbosa gestione delle dinamiche sociali ed economiche degli Stati e delle relative infrastrutture e servizi, ma è il modo con il quale impedire il propagarsi di isterismi dettati all’insicurezza che si percepisce in Rete. Comunicare significa condividere i propri punti di debolezza con chi può contribuire alla costruzione di una rete e/o un sistema globale più resiliente agli attacchi.

Nascondere il problema, come nel caso di Uber, non fa che rendere evidente la paura generata dal sempre più diffuso pericolo degli attacchi informatici. La risposta contro tale timore è rinvenibile tra le righe del Cybersecurity Act e del discorso del Presidente Juncker: l’unione fa la forza e, aggiungo io, celare la propria vulnerabilità è come nascondere un elefante sotto al tappeto del salotto: prima o poi qualcuno se ne accorgerà.