Riassunto
Il caso della portaerei francese individuata tramite Strava evidenzia una criticità sempre più centrale: la sicurezza digitale non dipende solo dalla tecnologia, ma dai comportamenti umani. Un’analisi tra governance, normative europee (NIS2, DORA) e ruolo del tecnico forense.
Da Strava alla portaerei: quando il fattore umano mette a rischio la sicurezza digitale
Il caso della Charles de Gaulle dimostra che la cybersecurity non fallisce solo per colpa del malware: spesso cede per una scelta banale, quotidiana, apparentemente innocua. Ecco perché governance, compliance e cultura organizzativa devono partire dalle persone.
di Domenico Moretta – Criminalista, Esperto in Digital Forensics e Diritto Digitale
La vicenda della portaerei francese Charles de Gaulle, la cui posizione è stata ricostruita a partire dall’attività sportiva pubblicata su Strava da un militare imbarcato, merita di essere letta per ciò che realmente rappresenta: non una semplice curiosità giornalistica, ma una manifestazione paradigmatica delle nuove vulnerabilità della sicurezza digitale. Secondo quanto riportato dalla stampa internazionale, la condivisione pubblica di un tracciato GPS ha consentito di inferire la posizione dell’unità navale in un’area operativa sensibile del Mediterraneo orientale.
Il dato, sotto il profilo tecnico, è tanto semplice quanto disarmante: non vi è stata alcuna intrusione, nessuna compromissione di sistema, nessuna attività ostile in senso tradizionale. Ci troviamo piuttosto dinanzi a una forma di esposizione informativa indiretta, generata da un comportamento perfettamente lecito nel quotidiano, ma incompatibile con il contesto in cui si colloca. È, in altri termini, la dimostrazione più efficace di come la sicurezza non venga compromessa esclusivamente quando qualcuno “entra” in un sistema, ma anche – e sempre più spesso – quando un’organizzazione si espone autonomamente, attraverso i propri dati, i propri metadati e le proprie abitudini digitali.
Questo episodio consente di affrontare il tema in una prospettiva più ampia, che riguarda anzitutto la governance della sicurezza nelle infrastrutture critiche e nei settori strategici.
La Direttiva europea NIS 2 (Network and Information Security 2), formalmente Direttiva (UE) 2022/2555, ha segnato un passaggio decisivo in questa direzione: essa non si limita a richiedere misure tecniche di protezione, ma impone un vero e proprio sistema di gestione del rischio, che comprende la sicurezza della supply chain, la gestione degli incidenti, la continuità operativa e, soprattutto, la responsabilizzazione degli organi di vertice.
In parallelo, la Direttiva CER (Critical Entities Resilience Directive) amplia ulteriormente la prospettiva, estendendo il concetto di resilienza alla capacità degli operatori essenziali di garantire la continuità delle proprie funzioni, anche in presenza di eventi avversi di natura non strettamente informatica.
Nel settore finanziario, tale impostazione trova una declinazione ancora più strutturata nel Regolamento DORA (Digital Operational Resilience Act), che introduce un quadro normativo organico volto a garantire la resilienza operativa digitale degli enti finanziari. DORA disciplina, tra l’altro, la gestione del rischio ICT, i test di resilienza, il controllo sui fornitori terzi critici e i meccanismi di segnalazione degli incidenti, evidenziando come la sicurezza non possa più essere considerata un ambito tecnico isolato, ma debba essere integrata nei processi decisionali e organizzativi.
Vuoi rimanere aggiornato sulle ultime tendenze e tecnologie nel campo della digital forensics ?
Iscriviti alla nostra newsletter e ricevi informazioni esclusive, aggiornamenti sui nostri servizi e contenuti utili per il tuo lavoro.
Non perdere l’opportunità di essere sempre al passo con le ultime novità nel settore. Iscriviti ora e non perdere neanche una notizia!
Se si osserva il caso della portaerei alla luce di questo impianto normativo, emerge con chiarezza un elemento fondamentale: la superficie d’attacco si è progressivamente spostata dal piano tecnologico a quello comportamentale. Non è più sufficiente proteggere infrastrutture, reti e sistemi; occorre governare l’uso che le persone fanno della tecnologia. La geolocalizzazione attiva su un’app di fitness, la condivisione pubblica di un’attività, l’utilizzo di dispositivi personali in contesti sensibili rappresentano oggi variabili di rischio a tutti gli effetti, che devono essere considerate nella mappatura complessiva della sicurezza.
Questa trasformazione incide in modo diretto anche sul mondo aziendale. Le principali criticità non derivano, nella maggior parte dei casi, da attacchi sofisticati, ma da comportamenti ordinari: l’utilizzo di applicazioni non autorizzate, la condivisione impropria di informazioni, l’assenza di autenticazione a più fattori (MFA, Multi-Factor Authentication), la gestione disinvolta delle credenziali, la commistione tra dispositivi personali e professionali (BYOD, Bring Your Own Device). In tale contesto, la compliance – che si tratti di NIS 2, DORA o standard internazionali come ISO/IEC 27001 – non può essere ridotta a un adempimento formale, ma deve tradursi in una architettura concreta di processi, controlli e comportamenti.
Lo stesso schema si riflette, su scala diversa ma con identica logica, nella vita quotidiana dei cittadini. Le tecnologie che tracciano attività fisica, spostamenti, preferenze e abitudini costituiscono una base informativa estremamente ricca, che può essere utilizzata – o abusata – per finalità di profilazione, manipolazione o frode. La Direttiva PSD2 (Payment Services Directive 2), introducendo la Strong Customer Authentication, ha rafforzato la sicurezza delle transazioni, ma ha anche evidenziato uno spostamento del rischio: non più attacchi puramente tecnici, bensì strategie di ingegneria sociale volte a indurre l’utente a compiere operazioni apparentemente legittime.
È proprio in questo scenario che assume rilievo, in chiave sempre più concreta, il ruolo del tecnico forense e del criminalista. In casi analoghi a quello descritto, l’attività non si esaurisce nella mera analisi tecnica del dato, ma si estende alla ricostruzione complessiva del contesto informativo. Il consulente forense è chiamato, anzitutto, ad acquisire e analizzare in modo rigoroso i dati provenienti dai dispositivi coinvolti – smartphone, applicazioni, database locali – esaminando i metadati di geolocalizzazione, le impostazioni di privacy, i log di utilizzo e le modalità di condivisione delle informazioni.
Ma il profilo più rilevante è probabilmente quello ricostruttivo: stabilire quando, come e in quale misura un’informazione sia stata resa accessibile, distinguendo tra condotta volontaria, errore operativo e carenza organizzativa. Questo tipo di analisi consente di affrontare anche il tema della responsabilità, che difficilmente può essere ricondotto esclusivamente alla singola persona. Spesso, infatti, tali episodi rivelano lacune più profonde: assenza di policy adeguate, formazione insufficiente, mancata previsione dei rischi connessi all’uso di tecnologie di largo consumo in contesti sensibili.
In questa prospettiva, il contributo del criminalista si estende anche alla fase preventiva, attraverso attività di forensic readiness, vale a dire la predisposizione di assetti organizzativi e tecnici idonei non solo a prevenire incidenti, ma anche a raccogliere e conservare evidenze digitali utilizzabili in sede giudiziaria. Ciò implica la definizione di procedure, sistemi di logging, controlli sull’esposizione dei dati e, soprattutto, una integrazione reale tra sicurezza informatica e cultura organizzativa.
La lezione che si ricava dal caso della Charles de Gaulle è, in definitiva, estremamente chiara. La sicurezza digitale non fallisce soltanto per l’azione di un attaccante esterno, ma anche – e talvolta soprattutto – per l’assenza di un governo consapevole dei comportamenti interni. Le norme europee più recenti, da NIS 2 a DORA, stanno progressivamente orientando il sistema verso questa consapevolezza: la resilienza non è un prodotto tecnologico, ma un risultato organizzativo.
In questo contesto, il fattore umano non può più essere considerato un elemento accessorio o residuale. È, piuttosto, il punto di intersezione tra tecnologia, diritto e organizzazione. Ed è proprio su questo terreno che si gioca, oggi, la sfida più rilevante della sicurezza: trasformare comportamenti ordinari in pratiche consapevoli, e rendere la cultura della sicurezza parte integrante dei processi decisionali e operativi.
Perché, come dimostra questo caso, non serve un attacco sofisticato per compromettere un sistema complesso.
È sufficiente, molto più semplicemente, un gesto normale nel contesto sbagliato.
✒️ Nota sull’autore
Domenico Moretta è criminalista forense, consulente tecnico specializzato in digital forensics, audio forense e trascrizioni giuridiche. Esperto in Diritto della Società Digitale. Autore di volumi divulgativi e professionali, affianca all’attività peritale un percorso di formazione universitaria in diritto della società digitale.
Con il progetto www.acquisizioneprovedigitali.it, promuove una cultura integrata tra scienze forensi e tutela dei diritti nell’ambiente digitale.
*Nota di trasparenza*: parte di questo contenuto è stato redatto con il supporto di strumenti di Intelligenza Artificiale, secondo quanto previsto dal Regolamento UE 2022/2065 (AI Act). Il contenuto è stato supervisionato e approvato da un professionista forense.
