Da qualche mese i crimini informatici sono sotto la stretta sorveglianza di una nuova task force nata in seno al Nucleo Speciale Investigativo della Guardia di Finanza. Si tratta del Gruppo Anticrimine Tecnologico (GAT), sceso in campo per vigilare sul Web e offrire protezione hi-tech alle imprese e alle istituzioni pubbliche.

Per conoscere più da vicino questo nucleo di agenti speciali e far luce sulle sue finalità, Network World Italia ha intervistato il tenente colonnello Umberto Rapetto, comandante del GAT.

In cosa consiste il GAT? Quali sono le sue finalità?

La costituzione del GAT, istituito formalmente nel luglio 2000 e operativo dal gennaio scorso, è stata una mera constatazione di essere già pronti a cogliere la sfida. Alla fine degli anni ‘70 la Guardia di Finanza era riuscita a traghettare delle strutture investigative tradizionali dal mondo della carta a quello degli elaboratori e, quindi, a passare dalle verifiche fiscali gestite con l’impiego di registri a quelle realizzate attraverso computer. Nel corso del tempo è perciò maturato un processo evolutivo dalla carta al bit e successivamente dal bit "statico" su computer a quello dinamico in Rete, peculiare della civiltà telematica.

Si è trattato quindi di fare l’appello e di riunire in un gruppo gli elementi che erano già pronti per essere operativi.

Gli obiettivi del GAT consistono nel contrastare ad ampio spettro la criminalità tecnologica, non soltanto quindi quella prettamente informatica. Questo perché vediamo tutti quale pervasione ci sia stata degli strumenti high tech nel nostro vivere quotidiano da parte degli strumenti sia informatici che telematici e di tutto ciò che ha una componente tecnologica. Il campo d’azione del Gruppo Anticrimine Tecnologico, pertanto, abbraccia tutto quello che è l’impiego di tecnologie per commettere reati: da Internet al telefonino, fino ad arrivare ai sistemi di pay TV.

Insomma: tutto quel che possa avere al posto del cuore un microprocessore.

Come è strutturato il gruppo?

Il GAT nasce con 30 persone, di cui quattro ufficiali. La sua struttura è articolata in due sezioni: una fa ricerca e sviluppo, mentre l’altra è la sezione di Polizia Tributaria Telematica. La prima svolge attività di sperimentazione e di sviluppo di procedure, valutando l’applicazione dei sistemi tecnologici all’attività investigativa e di intelligence. Inoltre fa formazione, quindi specializza le risorse interne e collabora con i reparti di istruzione della Guardia di Finanza, quali la scuola di Polizia Tributaria, al fine di specializzare il personale sul territorio e tenerlo aggiornato.

Il Gruppo Anticrimine Tecnologico nasce in realtà con l’obiettivo di occuparsi solo dei servizi di maggiore importanza. Come accade nella realtà normale, in cui per i casi di intervento speciale operano per esempio i NOCS (Nucleo Operativo Centrale di Sicurezza) della polizia o il GIS (Gruppo Intervento Speciale) dei carabinieri, così accade per il GAT sul fronte della Rete. Noi interveniamo per i servizi più impegnativi e complessi. In pratica però, in questa prima fase, il GAT è operativo un po’ su tutto, mentre è previsto che in futuro darà supporto ai reparti e si occuperà direttamente delle investigazioni più rilevanti. Per operare diversamente dovrebbe diventare un reparto gigantesco, ma non è questa la natura del gruppo. Nell’attuale fase di start-up l’obiettivo è specializzare le persone che sono sul territorio, in maniera tale da avere degli interlocutori locali, almeno a livello regionale, se non addirittura provinciale. La seconda sezione del gruppo è la Polizia Tributaria in Rete. Di sua competenza sono tutte le attività economico/finanziarie svolte on line: dal commercio elettronico ai pagamenti con carta di credito via Web, alla firma digitale. La Polizia Tributaria Telematica si occupa dei crimini informatici "tradizionali", ossia di tutto ciò che il codice prevede in materia di violazione ai sensi della legge 547: dalla violazione, all’intrusione, al danneggiamento informatico alle attività di hackeraggio vere e proprie.

Che competenze hanno gli agenti del GAT?

Le competenze sono di carattere tecnologico, giuridico ed economico. Si tratta di persone che, oltre ad avere familiarità con la tecnologia, hanno anche studi economici o giuridici alle spalle; che sanno quindi immaginare come applicare il diritto "convenzionale", del mondo reale, alla realtà della Rete. In questo momento ci troviamo in una fase di "omogeneizzazione culturale". Dopo aver reclutato persone particolarmente capaci in specifiche aree e con doti "normali" in altre, dobbiamo ora cercare di portare tutti a un livello omogeneo. L’obiettivo è che le risorse del gruppo risultino interscambiabili sul piano operativo, pur mantenendo magari specifiche professionalità.

Inoltre le nostre persone devono parlare la medesima lingua: cioè devono essere capaci di non rimanere vittime dello slang, tipico di chi opera nei settori tecnologici. Infine un requisito importante è la capacità di chiacchierare con la gente, di essere quindi allo stesso tempo dei buoni interlocutori e ascoltatori. La nostra capacità di raggiungere risultati dipenderà moltissimo da quanto la gente si aprirà con noi, dalla fiducia che sapremo conquistarci.

Se le persone sono abituate a chiamare il 113 o il 112 quando assistono a uno scippo o un altro reato, stavolta dovranno avere la prontezza di aprire la posta elettronica e mandarci un messaggio quando avranno notato qualcosa di strano in Rete.

Nel panorama dei crimini tecnologici, quali sono i fenomeni emergenti e quali i reati più preoccupanti?

Sicuramente tra i fenomeni di maggiore interesse c’è il riciclaggio di denaro sporco attraverso la Rete. Inoltre, si sta assistendo a una migrazione in Internet di comportamenti del mondo del racket "normale". Tutto ciò è cominciato in Sud America: da qui si sono scatenati gruppi di hacker che attaccano i negozi virtuali, cancellando contenuti e lasciando un avvertimento scritto che più o meno suona così: "probabilmente la tua sicurezza non è adeguata, forse è il caso che tu ti rivolga a me per trovare una soluzione".

Non viene richiesta esplicitamente una somma di denaro, ma viene sottolineato che come sono riusciti a entrare nel sito, così potrebbero ritornare e che forse allora conviene tenerseli buoni.

L’azienda a questo punto dovrebbe segnalare che ha ricevuto un messaggio di posta elettronica, così come nel mondo del racket e dell’usura ci si rivolge alle forze dell’ordine per dire che qualcuno ha telefonato e si è recato nel negozio, oppure ha chiesto di pagare la sua protezione. Il crimine tecnologico che mi preoccupa di più è quello che chiamano cyber terrorismo, ossia il terrorismo cibernetico. Tale fenomeno di delinquenza si concretizza nella creazione di situazioni di disagio, quali attacchi ai server dei siti di attività di trasporto o di chi eroga servizi pubblici, con l’obiettivo di generare disordini e arrivare addirittura a ricattare lo Stato.

Si tratta di situazioni che si sono già verificate in altri Paesi.

A preoccuparmi però non è solo l’Italia: il problema, infatti, è che dobbiamo maturare la consapevolezza che Internet è sopra la testa di tutti. Il Web è forse come il cielo, quindi non ha confini o linee di demarcazione, ed è lo stesso cielo che si vede dalle altre parti. Ciò preoccupa un po’ tutti gli operatori che, come la mia squadra, si dedicano a questo specifico settore. Non esiste più, infatti, una competenza territoriale, non c’è più la giurisdizione e quindi i concetti base del diritto. Soprattutto è scomparso il luogo del delitto: è questa la cosa più preoccupante, perché può essere successo tutto ovunque e da dovunque.

Quindi l’attacco può essere partito da qualunque parte e, persino in presenza di leggi, diventa difficile capire quali possano essere applicate.

In questi giorni stiamo facendo una sorta di "pellegrinaggio" presso le varie procure per spiegare quante cose si possono fare in questo settore, quindi quando ci chiama qualche magistrato noi siamo pronti a correre.

Vogliamo far vedere che al di là di quel computer ci sarà gente in carne e ossa, con tantissima voglia di fare ed entusiasmo.

Esistono collegamenti con forze di Polizia di altri Paesi?

Abbiamo contatti con articolazioni analoghe alla nostra in giro per il mondo, però normalmente questo capita anche ad altri reparti, quali per esempio l’anti-droga. Il coordinamento di queste attività internazionali è affidato al Comando Generale. Siamo interconnessi con tutte le realtà del mondo che fanno il nostro lavoro e con esse abbiamo uno scambio sia di tipo informativo che metodologico.

In pratica siamo in costante interazione: quando qualcuno di noi o di loro scopre qualcosa di nuovo sotto il profilo procedurale, viene comunicato e diffuso a tutti. Consentiamo quindi anche agli altri di acquisire il medesimo livello di competitività sulla Rete.

Che tipo di supporto il GAT fornisce alle aziende?

Occorre tenere conto di una cosa: nel caso di attacco a un sito, non è possibile procedere d’ufficio perché è un reato che è a querela di parte. La sezione della Polizia Tributaria Telematica svolge attività di monitoraggio operativo in Rete: vale a dire che nel caso una realtà venga colpita dagli hacker, la sezione provvede a mandare una e-mail al responsabile del sito e tenta contemporaneamente di rintracciarlo telefonicamente, in maniera tale da evitargli un danno maggiore di quanto non abbia già subito.

A esempio di intervento pratico può essere citato l’episodio in cui abbiamo collaborato col GICO (Gruppo Investigazioni Criminalità Organizzata) della Polizia Tributaria di Catanzaro e rilevato che c’era stato un attacco a un provider di Soverato (in provincia di Catanzaro). In quell’occasione, abbiamo avvertito l’azienda che gli hacker stavano entrando nel suo sistema. In seguito alla nostra segnalazione il provider è riuscito nel giro di pochissimi minuti a ripristinare tutto quello che c’era sul suo sito e soprattutto a rendere nuovamente disponibili i suoi servizi.

Diversamente i suoi utenti non sarebbero stati in condizione di potersi collegare a Internet, perché era stato colpito il provider di cui loro si servivano. Stessa cosa è successa con realtà imprenditoriali di altra natura a cui abbiamo fatto presente la condizione di pericolo. A queste aziende abbiamo peraltro segnalato dove si stava concentrando l’attacco e con quali modalità, in maniera tale che potessero adottare tutte le cautele possibili.

Quindi, in sostanza, monitoriamo la Rete e diamo avviso alle aziende quando ci accorgiamo che c’è qualcosa di strano. Il nostro tempo di reazione, dall’inizio di un attacco alla sua "esecuzione", è al massimo di un’ora. Riusciamo a mettere la persona in condizione di far ripartire il suo sito e ad avere tutti gli elementi che possono essere utili per poter svolgere l’investigazione. Tuttavia è necessario che sia poi il titolare del sito attaccato a rivolgersi all’autorità giudiziaria per fare querela. Esiste infatti una non procedibilità d’ufficio da parte nostra, nel senso che noi constatiamo il reato, ma non possiamo procedere automaticamente, bensì lo deve fare la parte lesa. Quello che stiamo cercando di fare è alzare la soglia di attenzione e dare garanzia alle persone che possono rivolgersi alla Guardia di Finanza per questo tipo di problemi. In caso di denuncia noi siamo in grado di andare a prendere, o almeno proviamo a farlo, le persone che si sono rese responsabili del reato tecnologico.

Se l’impresa sporge denuncia presso di voi cosa succede?

A quel punto viene informata l’autorità giudiziaria che presso di noi è stato presentato un esposto querela e da quel punto inizia l’attività. Però noi non possiamo andare dal magistrato da soli e dichiarare che è stato attaccato il sito di una particolare società. Ma deve essere quest’ultima a lamentare la cosa.

La nostra è un’attività di prevenzione. Quindi tentiamo di evitare che si verifichino gli incidenti. Nel caso in cui vengano effettuati attacchi cerchiamo di essere presenti per capire cosa sta succedendo e informiamo subito l’interessato. Diciamo che le risorse del GAT sono gli "angeli custodi" della Rete.

Quali sono stati i primi risultati ottenuti dal Gruppo Anticrimine Tecnologico?

Nonostante il reparto sia ancora in condizioni embrionali, l’episodio più interessante è stato un attacco relativo al sito di Radio Vaticana, che fa Webcasting, quindi trasmette anche via Internet. In questo caso c’è stata un’ottima sinergia tra il mio personale e i tecnici di Radio Vaticana, tant’è che siamo riusciti a bloccare l’assalto e a consentire all’emittente radiofonica di ripartire con grande tempestività e di prendere delle contromisure che daranno maggiori garanzie per il futuro. In questo caso abbiamo chiamato noi la Radio che era sotto attacco. Loro se ne stavano accorgendo: per fortuna, infatti, cominciano ad esserci realtà molto attente a questo pericolo.

Ci ha fatto piacere riuscire a lavorare assieme e risolvere il problema nell’arco di pochi minuti. Quando li abbiamo avvisati che erano sotto attacco abbiamo spiegato loro che cosa stava succedendo, fornendo spiegazioni tecniche su come rimediare. In pratica nel giro di pochi minuti siamo riusciti a ripristinare la normalità e, quindi, la cosa ha evitato che ci fossero in seguito danni effettivi. Una delle cose cui noi teniamo maggiormente è l’attività di prevenzione.

In questi pochi mesi di attività, si è verificata una serie di nostri interventi anche a livello aziendale, che hanno riguardato realtà a livello imprenditoriale e multinazionale, sia nel mondo industriale sia in quello economico-finanziario. Si è trattato di attacchi al sistema di commercio elettronico e di erogazione di prodotti finanziari. Una delle vittime è stata Unipol Banca a Bologna: individuato l’attacco, li abbiamo avvisati, e in seguito, visto che c’è sempre il discorso della querela di parte, è intervenuta la polizia telematica.

"Non abbiamo ancora un numero verde", spiega Umberto Rapetto. "Le aziende possono però utilizzare lo 0622938, che è il numero di centralino del Nucleo Speciale Investigativo della Guardia di Finanza, all’interno del quale c’è il GAT. Il numero dell’ufficio operazioni del Nucleo Speciale Investigativo è invece 0622938702. Esiste inoltre un fax perennemente attaccato il cui numero è 0622938729.

In questo momento siamo ancora in fase provvisoria per quanto riguarda l’ubicazione del GAT: per il momento è operativa la sede di Roma. Ci stiamo attrezzando anche con la posta elettronica e l’indirizzo di e-mail che può essere utilizzato è gat@gdf.it.