La cybersecurity in Vaticano è un problema serio. La Chiesa cattolica ha duemila anni, il world wide web poco più di trenta, ma entrambi sono innegabilmente stati in grado di cambiare il mondo. Che, a dispetto delle buone intenzioni, resta un posto pericoloso.
Quello virtuale non fa eccezione. Diversi gruppi di attivisti e ricercatori sollecitano da anni il papa affinché si prenda cura degli affari digitali. Perché lo Stato più piccolo del mondo – grande come un paio di quartieri di Roma – è anche agli ultimi posti della classifica del Global cybersecurity index. “Nelle ultime tre posizioni, per la precisione, a fianco dello Yemen e di Timor Est”. A parlare con Wired collegato da Amsterdam è Joe Shenouda, ingegnere informatico dei Paesi Bassi. Shenouda riflette da anni sulla situazione. Soprattutto da quando, nel 2020, all’inizio della pandemia, gli asset digitali della Santa Sede furono attaccati con una perdita di dati senza precedenti. Ai tempi si sospettò della Cina. Da allora, racconta, dice, le minacce sono aumentate.
Così nel 2022 il professionista, che oggi lavora come ciso (chief information security officer) indipendente dopo un passato in alcune società di consulenza, ha messo in piedi, partendo da un post su Linkedin, una rete di volontari che si sono fatti carico di un aspetto poco considerato Oltretevere: la sicurezza informatica. Perché il Vaticano, a dispetto delle dimensioni, è un gigante nella diplomazia. Un colosso delle relazioni internazionali che dispone di una rete capillare di informatori e, soprattutto, di informazioni di prima mano su questioni complesse a livello globale. Per non parlare degli asset economici, inclusi i conti correnti, su cui transitano fiumi di denaro provenienti da donazioni e affitti. Per quanto sia lecito presumere che l’informatizzazione di una realtà estremamente legata alla tradizionale e lenta nei mutamenti non sia così pronunciata come altrove, la strada – per tutti – è inevitabilmente segnata.
Cosa fanno i Vatican Cybervolunteers
Se infilarsi nei sistemi informatici papali sarebbe un colpo da maestri, in grado di procurare dati, denari e indubbia reputazione, il problema è che, incredibilmente, in Vaticano manca un’autorità per la cybersicurezza. Nel 2019 il Vaticano ha messo Gianluca Gauzzi Broccoletti a capo dei servizi di sicurezza. “E’ un esperto di sicurezza informatica – riprende Shenouda – ; il punto è che si occupa anche di quella personale dei prelati, di quella dei viaggi e di una quantità di altri aspetti. Manca una struttura che si concentri esclusivamente sul digitale, nonostante quello che vediamo: attacchi quotidiani. E non è qualcosa di cui siamo gli unici ad accorgerci: è alla portata di chiunque sia del mestiere”. Soprattutto se mosso da cattive intenzioni.
Mese dopo mese, il gruppo messo in piedi da Shenouda è arrivato a contare una novantina di volontari provenienti da tutto il mondo (Usa, Spagna, Italia, Olanda). Personale che supplisce al vuoto di un’agenzia ad hoc dedicando una parte del proprio tempo – circa l’equivalente di un pomeriggio a settimana – a proteggere il Vaticano. Queste guardie svizzere digitali e trasnazionali si occupano di valutare siti web, infrastrutture (wifi, router) e email della Santa Sede con criteri aziendali: una scansione simile a quella di un antivirus, portata avanti quotidianamente.“Ci consideriamo hacker etici”. Shenouda, di religione copta ma che si è avvicinato al cattolicesimo da bambino, quando – mancando chiese della sua confessione – ne frequentava le funzioni. L’ingegnere fa un paragone con le grandi multinazionali o gli Stati: “Se proviamo a effettuare dei test – riprende -, è evidente a chi lavora nel settore che questi soggetti hanno messo in campo una serie di barriere per proteggersi. Questo non accade con la Santa Sede”.
L’attività di questo gruppo di volontari – i Vatican Cybervolunteers – che comunica su Signal per passarsi le informazioni e cancella tutte le comunicazioni per evitare rischi – non è ufficialmente legata allo Stato pontificio: non ci sono contratti, né contatti ad alto livello con le gerarchie Oltretevere. “Quello che facciamo è condurre regolarmente un esame approfondito delle vulnerabilità e poi stilare dei rapporti, che condividiamo con i nostri contatti in Vaticano. Non parliamo di figure di alto livello, ma di personale che sta qualche gradino sotto. Il quale, però, può veicolare il messaggio sulle scrivanie giuste”. Di solito, rivela Shenouda, le segnalazioni verrebbero prese in considerazione. “Nove volte su dieci nel giro di qualche giorno la vulnerabilità viene risolta. Quando non accade, cominciamo un’opera di pressione piuttosto insistente per assicurarci che vengano presi provvedimenti”. Normalmente funziona, dice. E aggiunge che nel gruppo c’è anche un italiano, Pawel Zorzan, esperto di sicurezza informatica di Casale Monferrato.
Quali sono gli attacchi più comuni alla cybersecurity del Vaticano
Ma quali sono gli attacchi più frequenti? E chi li conduce? “Gli attacchi più basilari sono quelli ddos, che sovraccaricano un sito di richieste per bloccarlo. In questo caso parliamo di semplici amatori, dotati di una capacità limitata di fare danni”. Non sono, chiaramente, gli unici. “Poi ci sono quelli portati da gruppi legati a potenze straniere. Si prova a infilarsi nei sistemi per rubare dati, ma anche di truffare cardinali spingengoli a cliccare su link malevoli che installano software dannoso. Si cerca l’accesso a comunicazioni riservate, impiegando anche tecniche di social engineering”, dice Shenouda. “Abbiamo registrato minacce soprattutto da Cina, Russia, che aumentano in concomitanza con i grandi eventi come il conclave e fanno spesso seguito a prese di posizione del papa. Chiaramente, questi governi negano se gli si chiede conto di quello che hanno fatto”.
Come ha preso il Vaticano questa sorta di attivismo? Shenouda dichiara di aver ricevuto “solo apprezzamento e ringraziamenti”, da parte dei propri contatti. “Ma non basta. Devono dotarsi di un’autorità per la sicurezza informatica. Intendo un’autorità dedicata, interamente focalizzata sulla questione”.
Che cosa dovrebbe fare la security vaticana
Chuck Brooks, Alessio Pecorario, Andreas Iacovou and Yuriy Tykhovlis in un paper hanno provato a immaginare di che cosa dovrebbe occuparsi questo ente, che chiamano Vca (Vatican cybersecurity authority): sviluppare policy e regolamenti (i prelati sono poco formati sui rischi della Rete), monitorare le minacce, assicurare la compliance, facilitare la cooperazione con altre organizzazioni, occuparsi di risposta agli incidenti e disaster recovery e fare formazione.
Il paper propone anche alcuni modelli cui ispirarsi: da quello americano (Dhs Cisa) a quello britannico (National Cyber Security Centre, Ncsc), a quella dell’Estonia (Agency for Cybersecurity, Csirt), passando per le agenzie di Israele, Cipro e Arabia Saudita. Shenouda ritiene che sia necessario rompere gli indugi, prima che sia troppo tardi: “Avanti di questo passo, un giorno o l’altro rischiano di perdere tutto”.
