Nel decreto che all’art. 28 del Capo II parla di Rafforzamento della disciplina sulla cybersicurezza si può leggerne la motivazione: “Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF). Le stesse parole della raccomandazione dell’Agenzia nazionale per la Cybersicurezza che avevamo già riportato. Una motivazione “tecnica” quindi che però non riesce a nascondere il significato politico della scelta.
Nel comunicato della Presidenza del consiglio il decreto è mirato a rafforzare la disciplina del controllo degli investimenti stranieri in Italia e a riformulare l’esercizio dei poteri speciali spettanti al Governo (la così detta “golden power”), alla luce dell’accresciuto valore strategico di alcuni settori e della necessità di potenziare le strutture amministrative coinvolte e perciò riguarda sia il cloud che il 5G.
Una bella botta, non solo per Kaspersky che in Italia ha cinquanta dipendenti e una porzione rilevante del suo business, ma per la complessità di attuare un’azione del genere, sia per i lunghi tempi che implica, sia per il rischio di rendere l’Italia temporaneamente più vulnerabile agli attacchi nel lasso di tempo della sostituzione del suo software. Ne abbiamo parlato con i diretti interessati, intervistando Cesare D’Angelo, general manager di Kaspersky in Italia.
Dott. D’Angelo, le autorità italiane considerano le tecnologie russe e quindi anche i vostri sistemi di protezione informatica un pericolo. É d’accordo?
“Nessuno ha mai dimostrato nostre responsabilità specifiche in questo senso. Purtroppo lo scenario geopolitico ha interessato anche la nostra tecnologie ma vogliamo ribadire la nostra disponibilità a lavorare con le istituzioni e continuare a proteggere l’Italia dalla minacce attuali. Noi siamo quelli che hanno scoperto il maggior numero di APT (le ‘minacce avanzate persistenti’, nda) di origine russa e siamo un player fondamentale per la sicurezza nazionale e globale”.
Il decreto annunciato ieri mira però a sostituire i vostri prodotti nelle PA. Ritiene la mossa delle autorità italiane un gesto comprensibile?
“Questa notizia ci lascia in apprensione perché creerebbe un precedente anti concorrenziale in un mercato libero come quello italiano.
Non esiste un dato oggettivo che ci faccia ritenere i nostri prodotti meritevoli di tale attenzione. Ma queste vicende rischiamo di avere un impatto anche per i clienti e i fornitori. Non essendo operazioni pianificate, da questa sostituzione c’è da attendersi un periodo di vulnerabilità
I nostri clienti sono preoccupati per l’impatto economico e sociale di questa scelta. Il paese farebbe a meno di un attore importante. Striamo decidendo come reagire di fronte a questo danno economico e reputazionale”.
Potrebbe calcolare il danno economico della perdita del mercato italiano?
“Un danno ingente ma inferiore al danno reputazionale che è incalcolabile. Kaspersky indicata come un nemico quando esistiamo da venticinque anni sul mercato e in italia da 14, è veramente brutto”.
Ma quanto tempo ci vuole per eliminare Kaspersky dall’Italia?
Non breve. Con la migrazione delle amministrazioni su altre piattaforme di protezione, soprattutto senza test e verifiche, si lascerebbe l’Italia meno difesa. La pubblicità di questa iniziativa già sta attirando l’attenzione dei cybercriminali e potrebbe rendere la PA italiana più vulnerabile.
È possibile spiare un utente attraverso una soluzione di protezione come un antivirus?
“Le soluzioni antivirus, di per sé non hanno necessità di funzioni per spiare l’utente e anzi, sono pensate per fare il contrario. Se un prodotto le contenesse, sarebbe qualcosa di aggiuntivo non strettamente necessario alle funzioni di rilevamento.
Per quanto riguarda i nostri prodotti l’assenza di queste funzionalità è verificabile dal codice sorgente.
I software di protezione hanno accesso privilegiato ai vari oggetti presenti in un sistema, ma sfruttano questi privilegi per analizzare gli oggetti, categorizzarli ed in caso di rilevamenti notificano le informazioni sulla detection ai server (nel nostro caso solo se autorizzati dagli utenti).
I nostri servizi vengono protetti seguendo le migliori pratiche in campo di sicurezza informatica e le procedure sono verificate da entità di terze parti. Non siamo leader o monopolisti e i nostri prezzi sono fatti nelle gare, a volte vinciamo o perdiamo, ma non siamo l’unico player. Siamo sempre pronti a mostrare il nostro lavoro e i nostri prodotti.”
È possibile ingegnerizzare un antivirus per fare in modo che ignori alcuni malware?
“Nel nostro software ci sono meccanismi che identificano la minaccia in automatico, sia a livello client che cloud e ci sono algoritmi sviluppati e raffinati in anni di ricerca e migliorati da anni di attività col machine learning. Non è possibile modificarli senza bypassare i meccanismi di verifica e di integrità che ci sono a monte e su la cui protezione l’azienda ha investito molto, segregando i processi di sviluppo, test e compilazione del software, facendoli certificare da consulenti indipendenti e dislocando anche geograficamente in tutto il mondo. Inoltre, la consistenza dei meccanismi di verifica e di integrità è verificabile nei Transparency Center come quello di Zurigo.
Uno scenario più plausibile è che gli attaccanti cerchino di aggirare i meccanismi automatici, cosa che peraltro cercano di fare quotidianamente tutti i criminali, ma noi facciamo anche l’analisi manuale del codice e questo lavoro viene svolte da analisti dislocati in vari paesi intorno al mondo e non influenzabili dagli interessi di un unico paese”.
Spiate in altro modo i dati degli italiani e degli utenti europei? Il Garante privacy ha aperto un’istruttoria sui vostri prodotti.
“Assolutamente no. L’iniziativa del Garante è legittima ed è una buona opportunità per rispondere in maniera ufficiale ai dubbi sollevati”.
I dati degli utenti sono trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi?
“I dati italiani sono gestiti da Zurigo, in Svizzera, paese europeo non comunitario ma conformi al GDPR con i livelli più alti di privacy al mondo”.
Avete avuto richieste di acquisizione o di comunicazione di dati personali, riferiti a utenti italiani, da parte di autorità governative di Paesi terzi?
“Non mettiamo a disposizione di governi terzi informazioni relative ai nostri clienti”.
Come si esce da questa situazione? C’è una regia dietro alle vostre critiche?
“Da diversi anni Kaspersky è nominata da alcuni governi e concorrenti per mettere in discussione la validità e la credibilità dell’azienda in maniera strumentale. Sono però casi isolati. Oggi il momento storico è diverso e bisogna avere un occhio più attento a quello di prima. Non siamo un’azienda governativa e non abbiamo legami col governo russo. Non so se ci sia una regia contro di noi, di fatto so quello che abbiamo fatto e risposto ai clienti”.
I critici sostengono che per cercare di mitigare la perdita certa di importanti quote di mercato e la fuga dei cervelli dall’azienda dovreste attuare un trasferimento dell’azienda in territorio europeo comunitario, magari con una quotazione presso una borsa comunitaria. Ci avete pensato?
“No, non ci abbiamo pensato, la nostra è un’azienda globale con 30 uffici in 200 paesi e l’80% del business di Kaspersky è fuori dalla Russia. La sede della holding è a Londra e la maggior parte dei colleghi sono russi perché quel paese consente l’accesso a un mercato di esperti. A Mosca c’è il quartier generale col top management mentre il Great Team è suddiviso su 20 paesi con 40 persone e la maggior parte del team è in Europa”.
La delocalizzazione dalla Russia in modo professionale potrebbe influenzare il carattere concorrenziale della vostra offerta economica
“Non c’è questa ipotesi. C’è una business continuity che garantisce autonomia delle strutture locali come in Italia, dove paghiamo le tasse e siamo molto competitivi perché abbiamo dalla nostra parte un modello organizzativo che ci sottrae a logiche di Borsa e dividendi da pagare ad azionisti”.
Il vostro fondatore in una lettera aperta al governo tedesco ha detto che ‘la guerra è una tragedia che ha già portato sofferenza a persone innocenti e ripercussioni nel nostro mondo iperconnesso’. Il presidente russo Vladimir Putin vi ha chiesto di intervenire coi vostri asset nella guerra in corso?
“Eugene Kaspersky ha detto che la sua risposta sarebbe negativa”.