INTELLIGENCE, MICHELE COLAJANNI AL MASTER DELL’UNIVERSITÀ DELLA CALABRIA: “LA CYBERSECURITY RICHIEDE UN’INTELLIGENCE INNOVATIVA, ORIENTATA AL FUTURO”
Rende (11.3.2025) – Profili di cyber intelligence: criticità e prospettive è il titolo della lezione tenuta da Michele Colajanni, docente di Ingegneria Informatica all’Università di Bologna, al Master in Intelligence dell’Università della Calabria, diretto da Mario Caligiuri.
“Sono 25 anni che noi difensori perdiamo e continuano a vincere gli attaccanti”: con questa riflessione il docente ha aperto la sua lezione, evidenziando come, nonostante gli enormi investimenti in risorse umane ed economiche, gli attaccanti nel cyberspazio continuino a prevalere, mentre i difensori restano costantemente un passo indietro.
La domanda è inevitabile: che cosa abbiamo sbagliato fino ad ora?
Secondo Colajanni, la risposta è univoca: bisogna ripensare la cybersecurity abbandonando la logica esclusivamente difensiva e adottando un approccio attivo e basato sull’Intelligence.
Il docente ha chiarito che la cybersecurity è Intelligence, ovvero la capacità di raccogliere, analizzare e utilizzare informazioni per anticipare le mosse degli avversari. Questo approccio rappresenta un cambiamento culturale significativo, soprattutto in un Paese come l’Italia dove storicamente l’Intelligence è stata vista con sospetto ideologico e politico. Eppure, la cybersecurity è forse l’ambito in cui l’Intelligence è più essenziale, perché si confronta con le minacce più insidiose, ovvero quelle poste dagli esseri umani.
“Non stiamo combattendo uragani, terremoti o vulcani in eruzione. I nostri avversari sono esseri umani. E gli esseri umani si adattano, sono creativi, cambiano continuamente strategia”, ha spiegato. Questo rende la sicurezza informatica una sfida senza precedenti, in cui le tradizionali dicotomie – bene e male, etico e non etico, giusto e sbagliato – diventano concetti inadeguati.
Nel mondo cyber, infatti, le stesse tecniche possono essere utilizzate sia per proteggere sia per attaccare, gli attori possono essere al tempo stesso difensori e aggressori, e molte operazioni si svolgono in un’area legale ambigua: non un mondo bianco o nero, ma fatto di infinite sfumature di grigio.
Per affrontare questa complessità, servono un nuovo alfabeto, nuovi concetti, nuove categorie interpretative, che ancora non abbiamo completamente sviluppato.
L’unico punto fermo è la competenza: la risorsa più preziosa, perché, senza un’Intelligence attiva, ogni tentativo di difesa è destinato a fallire.
“Quando rileviamo un attacco, è già troppo tardi” ha affermato Colajanni, sottolineando l’urgenza di agire in anticipo, sviluppando una cybersecurity che non si limiti a subire gli eventi, ma che studi il campo, intuisca le mosse degli avversari e predisponga contromisure adeguate.
Uno degli aspetti più rilevanti emersi nella lezione è che gli strumenti utilizzati da attaccanti e difensori sono gli stessi. Stati, criminali, aziende legali e non legali impiegano medesime tecnologie, strategie di hacking, metodi di disinformazione e persuasione. Il docente ha quindi identificato tre categorie di attaccanti:
1. Criminali informatici – mossi da motivazioni economiche, sfruttano il cyberspazio per estorcere denaro, rubare dati e condurre operazioni illecite;
2. Stati e i gruppi affiliati – operano ufficialmente per difendere i loro interessi, ma spesso attuano offensive cyber sotto copertura;
3. Aziende e professionisti – agiscono in un’area grigia, vendendo strumenti e servizi di cyber intelligence a governi, organizzazioni e privati.
Tutti gli Stati possiedono infrastrutture dedicate alla cyber security. Nel nostro Paese, dal 2021, l’Agenzia per la Cybersicurezza Nazionale (ACN) coordina la strategia italiana, occupandosi principalmente di protezione preventiva e resilienza dei sistemi. Le operazioni più affini all’Intelligence attiva – che includono monitoraggio delle minacce e attività di contrasto – sono invece affidate al Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) della Polizia Postale, alle strutture specializzate della Difesa e alle Agenzie di Intelligence (DIS, AISE, AISI).
Nel quadro nella cyber intelligence vengono condotte operazioni offensive e difensive, attività spesso dichiarate apertamente. Un esempio è quello di Zerodium, azienda leader nel mercato degli zero-day, vulnerabilità informatiche sconosciute che, non potendo essere rilevate, rimangono incontrastate. Colajanni ha messo in luce come il mercato delle cyber weapons sia un settore in cui operano attori pubblici e privati senza una chiara distinzione tra lecito e illecito.
Analizzando l’evoluzione delle strategie di attacco, il docente ha posto particolare enfasi sul ruolo del fattore umano: se un tempo il 40% delle violazioni sfruttava vulnerabilità tecnologiche, oggi questa percentuale è scesa al 10%, mentre il 90% degli attacchi si basa su errori umani. “È molto più facile convincere una persona a compiere un’azione dannosa piuttosto che forzare un sistema informatico ben protetto”, ha spiegato. Gli attaccanti, infatti, preferiscono colpire la mente delle persone, inducendole a comportarsi in modo inconsapevolmente dannoso attraverso tecniche di social engineering e manipolazione psicologica.
Tre gli approcci per una cybersecurity efficace:
1. Priorities – definire le priorità, individuando gli asset critici e concentrando le risorse su quelli;
2. Preventive methods – prevenire gli attacchi prima che si verifichino, attraverso un uso intelligente dell’Intelligence attiva, del monitoraggio delle minacce e della formazione continua;
3. Remediation after incidents – sviluppare strategie di risposta rapida e di mitigazione del danno, per limitare le conseguenze di eventuali attacchi.
“In un contesto di risorse sempre limitate rispetto alla vastità delle minacce, non possiamo proteggere tutto, ma dobbiamo definire chiaramente le nostre priorità“. Questo approccio, ha ribadito il docente, ci dice che “la cybersecurity deve evolversi da semplice funzione tecnica ad attività strategica. Il problema principale è che mancano le competenze adeguate. L’investimento deve essere sulle persone, sulle competenze, non solo sulle tecnologie“.
Gli elementi fondamentali per la cybersecurity del futuro saranno quindi l’educazione e la formazione, perché senza una classe di professionisti preparati il Paese continuerà a subire attacchi senza possibilità di difendersi in modo efficace.
Colajanni ha concluso con un appello alla consapevolezza e all’azione: “La cybersecurity non è solo una questione di tecnologia, ma di strategia, competenza e visione. È una sfida geopolitica, economica e sociale che richiede un’Intelligence innovativa, multidisciplinare e orientata al futuro. Dobbiamo abbandonare l’approccio reattivo per adottare una postura proattiva, anticipando le mosse degli avversari. Solo così potremo trasformare la sicurezza digitale da vulnerabilità a vantaggio competitivo per il Sistema Paese”.