Banca Sella ha subito un blocco delle sue operazioni insieme al circuito Hype per quattro giorni abbondanti nella scorsa settimana. Quello che resta di questa storia è il clamore di un fail epico della migliore banca italiana nel campo dell’innovazione dell’Internet Banking proprio nei suoi sistemi informatici che l’anno resa da sempre un’eccellenza italiana.

I disagi sono stati enormi se consideriamo che tutte le carte di credito appoggiate a Banca Sella sono state escluse dai circuiti internazionali, così come i bancomat del Gruppo e le movimentazioni online sui conti correnti, impossibili attraverso Internet. La banca è stata costretta ad aprire per più ore nei giorni del blocco per ritornare al contante. Alla Redazione di Matrice Digitale sono arrivate diverse segnalazioni di preoccupazione anche dell’eventuale mancato accredito di rate che avrebbero esposto i clienti dell’Istituto alla centrale di rischio.

Ma cosa è successo?

Banca Sella e Hype hanno subito gravi disagi tecnologici che Matteo Flora descrive come una delle più serie catastrofi tecnologiche mai avvenute in una banca italiana. Questi problemi sono stati associati a un malfunzionamento dopo un aggiornamento dei sistemi gestiti da Oracle, precisamente riguardanti l’hardware Exadata. La piattaforma interna che gestisce i servizi bancari sembra essere stata al centro dell’interruzione, influenzando servizi cruciali come il Personal Finance Management (PFM), i gateway PSD2, il Corporate Banking, i Payment Hub per bonifici, , Fabrick Platform, i Virtual IBAN e le operazioni di E-commerce.

Nonostante le significative interruzioni, le informazioni rilasciate finora assicurano che l’integrità dei dati non è stata compromessa. Tuttavia, la portata completa dell’incidente e delle sue ripercussioni rimane sotto osservazione, con la comunità che attende ulteriori aggiornamenti su cosa sia avvenuto attraverso un Post Mortem del reparto informatico e sulle misure di mitigazione al problema. Data la gravità dell’incidente, è probabile che entità regolatorie come l’ABI, la CONSOB e il Garante per la Privacy possano intervenire o richiedere dettagli aggiuntivi riguardo alla gestione dell’evento e alle strategie adottate per prevenire futuri incidenti.

A queste osservazioni si aggiunge una di Matrice Digitale che ha notato una ricostruzione attendibile sia di Flora sia dello stesso Istituto di Credito sulla base del famoso collo di bottiglia che generavano gli aggiornamenti. Negli ultimi giorni del guasto, l’applicativo di internet banking di banca Sella funzionava bene, ma con l’aumentare del picco di utilizzo, ancor di più maggiore perchè veniva da giorni di inutilizzo forzato, faceva ritornare l’app ai suoi messaggi di errore.

Analsi a freddo di Roberto Beneduci

Roberto Beneduci, CEO di CoreTech s.r.l, Milano, attraverso il suo profilo LinkedIn ha avviato una riflessione sull’incidente che ha interessato Banca Sella, sottolineando un punto fondamentale: “i sistemi informatici, per quanto robusti, non sono immuni da rischi e le loro conseguenze non possono essere completamente annullate”.

Analisi dell’incidente

L’incidente in questione è stato causato da operazioni sul database Oracle, specificatamente aggiornamenti software. Questo esemplifica una realtà comune nel settore IT, dove anche routine di manutenzione programmata possono portare a disfunzioni impreviste, sottolineando la vulnerabilità intrinseca dei sistemi informatici.

Reazione e Resilienza

Secondo Beneduci “Post incidente, è probabile che Banca Sella elabori nuove procedure per gestire meglio simili situazioni in futuro. Questo solleva una riflessione critica: spesso si pensa a misure preventive solo dopo aver sperimentato una crisi“. Beneduci fa un parallelo ironico con i controlli di sicurezza aeroportuali, notando come, nonostante le misure severe, ci sono ancora limiti a ciò che si può prevenire.

Gestione delle aspettative e comunicazione

Durante un’interruzione, la domanda più frequente da parte degli utenti e dei clienti è: “Quando torneremo operativi?” Beneduci sottolinea che, in situazioni di crisi, anche le stime più informate possono diventare obsolete in un istante a causa di nuovi problemi imprevisti, rendendo la comunicazione durante gli incidenti una sfida delicata.

Critiche e considerazioni sulla Ridondanza

La frustrazione degli utenti impossibilitati a effettuare operazioni bancarie durante l’interruzione solleva un punto valido: l’importanza di avere sistemi di backup. Beneduci critica la tendenza comune di affidarsi a un unico sistema o soluzione, suggerendo che mantenere un approccio più diversificato e resiliente potrebbe mitigare i danni in situazioni critiche.

Verità scomoda per i puristi della moneta virtuale e per i detrattori di Privacy Shield

Chissà cosa hanno pensato i puristi della moneta virtuale quando i clienti di Banca Sella sono dovuti correre nelle banche per prelevare denaro per fare la spesa senza che ci fosse la possibilità di fare la spesa perché le carte digitali erano fuori uso. Una considerazione che la comunità informatica non ha discusso, concentrandosi sull’aspetto tecnico, ma resta singolare il fatto che ci si preoccupa che Piracy Shield possa rompere Internet e non si è mai posto il problema che i sistemi di pagamento elettronici potessero saltare, compresi i sistemi bancari. Un caso impossibile? Da oggi, secondo un ragionamento empirico visto il precedente di Banca Sella possiamo dire che è possibile. Chissà perché nessuno, tecnico informatico o accademico, si sia mai accorto di questo rischio sponsorizzando indistintamente il contante e relegando al complottismo e all’antiscientifico ragionamenti sui rischi derivanti da eventuali blocchi. L’unica spiegazione è che produrre carta, seppur abbia un valore, non da lavoro ad informatici o accademici, come potrebbe invece fornire una Banca.

Il dibattito su Piracy Shield, la piattaforma antipirateria promossa dall’Agcom, si è arricchito di prospettive diverse, riflesse nell’editoriale di Massimiliano Capitanio dell’AGCOM su AgendaDigitale.eu poche ore dopo la pubblicazione della seconda inchiesta di Matrice Digitale. E’ opportuno fare un’analisi che intende evidenziare le differenze ed i punti di incontro tra le due narrazioni, considerando la sequenza temporale delle pubblicazioni e le divergenze nei toni, nei contenuti, ma anche principi comuni.

Piracy Shield secondo l’AGCOM: una misura efficace

Prospettiva tecnologica e risultati

Nell’articolo di Capitanio, Piracy Shield è descritta come un’innovazione tecnologica di rilievo, con un bilancio iniziale di successo dimostrato dalla chiusura di migliaia di indirizzi IP e FQDN illegali. Questo approccio sottolinea l’efficacia operativa della piattaforma e la sua importanza nella lotta contro la pirateria che Matrice Digitale ha accolto, paventando il rischio che più IP si bloccano per un periodo di 6 – 12 mesi e più c’è il rischio che si restringa il campo della disponibilità sull’intera rete Internet con il rischio che qualche criminale possa iniziare ad utilizzare indirizzi condivisi da servizi essenziali.

Difesa dalle critiche e integrità della Piattaforma

Capitanio respinge le accuse di vulnerabilità di Piracy Shield, negando qualsiasi compromissione dovuta a presunti attacchi hacker. Nell’editoriale enfatizza la robustezza della piattaforma, validata da processi di verifica tecnica condotti da enti competenti. Un fatto che Matrice Digitale non ha citato, ma che ha intuito ponendo al lettore la domanda finale sull’eventuale utilizzo da parte del perimetro cibernetico nazionale di indirizzi IP commerciali e che dovrebbe, il condizionale è sempre un obbligo in questi casi, scongiurare un’ecatombe come invece sostengono alcuni megafoni della comunità informatica. Il coinvolgimento di ACN, sbandierato da Capitanio, in questo caso può essere una garanzia che il rischio blocco incontrollato sia minimo.

Approccio legale e collaborazione istituzionale

L’enfasi è posta sulla legittimità dell’iniziativa di Piracy Shield, sottolineando il sostegno unanime del Parlamento e la stretta collaborazione con l’industria, calcistica per lo più, e le autorità per la cybersicurezza. Viene inoltre difesa l’azione di Agcom nella chiusura temporanea di siti legali condivisi con indirizzi IP che difatti diventano illegali, sottolineando la rapidità del ripristino e la necessità di una maggiore consapevolezza e collaborazione da parte dei fornitori di servizi a cui Capitanio e l’AGCom non vogliono togliere spazio commerciale, ma responsabilizzarli sull’eventuale hosting di attività illecite. Questo punto è stato anticipato da Matrice Digitale nella sua seconda inchiesta ed è stato posto come prossima discussione in Europa tanto da far temere gli operatori di servizi qualche provvedimento impossibile da sostenere per l’attuale mercato. Sul ripristino degli IP innocenti, Capitanio dovrebbe spendersi ancora di più di quanto fatto per rodare al meglio il sistema di riattivazione. 3-5 giorni per vedersi online il proprio servizio bloccato ingiustamente sono troppi nell’era di Internet che viaggia in nano secondi.

La visione di Matrice Digitale: non solo buoni propositi, ma critiche e preoccupazioni

Focalizzazione su controversie e percezioni negative

Matrice Digitale ha presentato Piracy Shield in una luce più critica, evidenziando la diffusione del codice su GitHub che secondo alcune fonti dell’underground insistono sul fatto che “sia quello e scritto anche male” ed ha evidenziato le preoccupazioni relative alla censura e alla libertà digitale dinanzi a questo provvedimento che si prefigge di curare la malattia della pirateria. Questa prospettiva pone maggiore attenzione sulle potenziali implicazioni negative della piattaforma per gli utenti e sulla percezione di un attacco alla privacy e all’anonimato online.

Questioni di trasparenza e responsabilità

L’inchiesta di Matrice Digitale solleva dubbi sulla trasparenza delle operazioni di Piracy Shield e sull’efficacia delle politiche di Agcom, mettendo in discussione allo stesso tempo le istanze effettuate da soggetti interessati nei confronti dell’Autorità in occasione dei ricorsi legali. Il caso di Assoprovider è stato lampante.

Diffuso come scandalo il fatto che all’associazione sia stata respinta un’istanza e che AGCom abbia comminato sanzione di mille euro, la realtà risulta comunque diversa, leggendo l’ordinanza d’ingiunzione, peraltro definita ed emessa da AGCOM prima del rigetto dell’istanza.

Secondo il provvedimento AGCom in questione, cioè la Delibera 79/24/CONS del 19 Marzo, che vi invitiamo a leggere, Assoprovider non ha soddisfatto i requisiti previsti per la legittimazione del suo coinvolgimento nelle attività correlate alla piattaforma Piracy Shield.

L’atto ufficiale di contestazione AGCOM risale a Novembre 2023 ed è dovuto proprio al fatto che AssoProvider avesse iniziato a partecipare ai tavoli tecnici, senza però che AGCOM disponesse di evidenze o documentazioni di legittimazione per la sua partecipazione.

Non solo perché AssoProvider non ha un elenco pubblico di suoi soci, a differenza di altre associazioni rappresentative degli operatori. Soprattutto perché, sin dalle prime richieste informali ad Ottobre 2023 di fornire privatamente alla Direzione Servizi Digitali AGCOM perlomeno i riferimenti degli operatori, che stesse rappresentando ai tavoli, AssoProvider ha sempre opposto un netto rifiuto.

Potrà far storcere il naso a qualcuno, magari pure interessato perché fornitore o cliente dell’associazione anche dal punto di vista editoriale, ma le richieste AGCOM in merito erano e sono comunque fondate.

Lo erano infatti nell’autunno del 2023 per consentire la corretta partecipazione ai tavoli tecnici. Lo sono anche nel 2024 per valutare la legittimazione attiva, imprescindibile per poter sottoporre istanze conto terzi di accesso documentale ex L.241/90 (NON civico semplice o generalizzato/FOIA) ad atti relativi alla piattaforma Piracy Shield.

Implicazioni per i servizi Internet e la Libertà Digitale

Si evidenziano quindi le potenziali ripercussioni di Piracy Shield sui servizi di navigazione anonima, come le VPN, suggerendo una possibile conflittualità con la libertà di espressione e l’anonimato online. Questo punto di vista suggerisce che la lotta alla pirateria potrebbe trasformarsi in un pretesto per limitare servizi legittimi e fondamentali per la privacy degli utenti. “Per il bene dei bambini” ne abbiamo viste di “scorrettezze” in tal senso anche da parte del Garante Privacy Italiano sempre generoso con Meta nonostante le ripetute violazioni della privacy ed esposizione dei minori a contenuti vietati, ma soprattutto dalla Commissione Europea per quel che concerne il Chat Control.

Dibattito aperto fino all’ecatombe

Le differenze tra gli articoli di Capitanio e Matrice Digitale sono minime rispetto alle critiche giunte in questi giorni. Ci sono punti di incontro e sul fatto che qualcosa vada fatto e soprattutto fatto bene. Lo sa anche chi critica che, dinanzi ad un indirizzo politico di prospettiva europea, è meglio che le cose si facciano bene e non male con uno scontro istituzionale. Da qui nasce il sospetto che chi si agita stimolando un gregge di persone competenti, ma con scarsa visione e che casca sulla notizia falsa ed interessata di Assoprovider ad esempio, lo faccia per manipolare la massa per poi sedersi all’interno di una commissione politica o di un tavolo tecnico. Non solo il digitale è pieno di conflitti d’interesse editoriali, ma anche politici ed accademici come spesso proviamo a sensibilizzare i lettori. Mentre l’editoriale dell’AGCOM, attraverso la voce di Capitanio, presenta la piattaforma come una soluzione efficace e necessaria, supportata da dati e collaborazioni istituzionali, Matrice Digitale nella sua inchiesta pone l’accento sulle potenziali, non certe, conseguenze negative, sollevando questioni di trasparenza, etica ed impatto sui diritti digitali degli utenti coerentemente con il suo manifesto di trasparenza editoriale pur non disdegnando l’attività del Garante, il fine politico e sociale con tanto di proposta formulata nella prima inchiesta sul caso allo stesso Capitanio e all’Autorità su un eventuale accordo ufficiale tra AGCOM e multinazionali sui proventi delle tanto discusse multe agli utenti da destinare a bonus cultura finalizzati ad hoc e con l’impegno di abbassare le tariffe degli abbonamenti man mano che gli utenti legittimi aumentano.

Piracy Shield non fa più scalpore dopo la seconda partita di campionato nonostante l’ecatombe annunciata da alcuni professionisti IT e vari ricorsi persi contro AGCom da parte di associazioni di rappresentanza e persone ingiustamente oscurate ed estranee al commercio ed alla diffusione di contenuti illegali.

Eventi e problematiche già affrontate nell’inchiesta di Matrice Digitale sul tema

Il codice del software diffuso su GitHub

Ha destato molto scalpore nell’ambiente informatico la presunta diffusione del codice dello strumento antipirateria messo appunto dalla società SP TEC all’interno della piattaforma Microsoft Github da parte di un utente anonimo. La verità su questo evento potrebbe stare nel mezzo o potrebbe essere diversa da come è stata raccontata. O quanto pubblicato dal profilo anonimo era il codice reale oppure, secondo quanto sostiene la Lega Calcio, è una porzione di codice oramai in disuso. Statisticamente parlando, la dichiarazione della Lega è simile a quella di molti attacchi informatici subiti da alcune piattaforme che hanno spesso bollato i dati trafugati come database oramai in disuso.

Ha sorpreso in molti il trovarsi dinanzi a dichiarazioni in rete entusiaste per un attacco informatico subito da un’azienda, aprendo una seria riflessione su come i dipendenti possano recare danni di immagine, di reputazione e soprattutto diffondere i segreti industriali verso l’esterno. Nemmeno passa inosservato che chi quotidianamente si spende nel sensibilizzare le aziende dalle fughe di dati e dagli attacchi ransomware, applichi una partigianeria borderline, sintomo che potrebbe far sospettare un’interesse particolare nell’erigere crociate di iniziativa politica.

Lotta alla pirateria o ai servizi VPN?

Entrando nel merito del Piracy Shield, la posizione del Governo sembra quella di eseguire un repulisti contro le società intermediarie della navigazione come le VPN ed i servizi simili o uguali a CloudFlare: questo potrebbe essere un indizio che dovrebbe far preoccupare gli operatori a livello europeo tanto da non farli stare tranquilli.

E’ vero che ci sono stati disagi, ma è anche vero che sono sorti all’alba della prima partita fomentati da un sensazionalismo basato su reclami, pochi rispetto alle azioni intraprese dal software antipirateria, che recriminavano a buone ragioni di essere stati bloccati.

I lettori non hanno però contezza del fatto che sono vi stati pochi indirizzi IP bloccati per errore sui 60.000 dichiarati dalla Lega Calcio, che sembrerebbe essere il deus ex machina che agita l’AGCom intenzionata a risolvere nello stesso momento altre tematiche complesse come quella della verifica dell’età sui siti per adulti.

AGCom muro di gomma

Anche chi ha effettuato una richiesta di accesso agli atti all’Agcom ha rimbalzato su un muro di gomma simile a quello che una multinazionale come Google ha quotidianamente nei confronti delle vittime innocenti delle sue Policy.

Questo respingere tutto al mittente ha un sapore poco delicato di una strategia dove si posiziona il cliente contro il fornitore, colpevole quest’ultimo di accomunarlo a servizi illegali nell’utilizzo dello stesso indirizzo IP.

La risposta alle carte bollata è stata picche in alcuni casi noti, se non tutti, in virtù anche del fatto che la normativa sia stata sviluppata nell’interesse non solo degli utenti, ma soprattutto del Mercato e non si può che riscontrare, come nel caso del ricorso di Assoprovider, un interessamento diretto che poi viene rigettato e per legge multato, nonostante sia discutibile la sanzione comminata.

Tutelando i grandi gruppi di streaming allo stesso tempo si salvano migliaia di posti di lavoro secondo quanto sostenuto da Massimiliano Capitanio di AGCom, ma è pur vero che Matrice Digitale ha fatto una proposta in tal senso dando per buono e scontato tutto l’impianto analitico su cui si è costituito e costruito il dispositivo di legge. Permane il dubbio sul fatto che le piattaforme possano abbassare i prezzi gradualmente e congiuntamente ad un drastico calo della pirateria.

Dal punto di vista storico è difficile che ciò avvenga e quindi i servizi di Streaming opteranno sempre più per una clientela che potrà permettersi di spendere cumulativamente 50 euro al mese di abbonamenti. Con il pretesto della pirateria, che è un fenomeno reale quanto tangibile in negativo sul mercato, alcune piattaforme hanno già sospeso la condivisione degli abbonamenti moltiprofilo che consentono a più utenti, dislocati in parti diverse, di usufruire dei servizi dello stesso abbonamento.

Per quanto riguarda invece la tutela dell’ecosistema che compone Internet, la riflessione ed il fine ambito dal Piracy Shield, c’è un forte sospetto che prima o poi sarà oggetto di una discussione a livello europeo e la domanda da soddisfare è:

Possono piattaforme VPN o Cloudflare e simili ospitare contenuti illegali che favoriscono potenzialmente anche la criminalità organizzata?

La risposta di primo livello è quella che fa intendere il perseguimento dei principi di legalità, ma dietro i servizi Internet di anonimato si nasconde il diritto universale alla libertà di espressione e questo fa intendere che la partita è aperta ed è anche il motivo per il quale il Piracy Shield sia descritto come uno strumento censorio.

Politici e tecnici Immuni alla causa

Nonostante il legittimo motivo di contrarietà di una parte della comunità informatica ai danni di un provvedimento del Governo che tende a favorire il Mercato ed allo stesso tempo mette in crisi eventuali capisaldi dell’attivismo digitale, purtroppo sempre meno credibile, c’è la sensazione che debba accadere qualcosa di grosso e grave per far ritornare il Governo di destra sui suoi passi. Non è bastato tirare per la giacca la deputata Giulia Pastorella di Azione che ha fatto intendere di essere contraria all’applicazione del dispositivo AGCom intimandone la sospensione al Garante delle Comunicazioni italiano.

L’onorevole, incaricatasi di rappresentare l’attuale comunità, si è già ritirata dalla polemica politica alla seconda di campionato dopo che si sono sgonfiate le critiche anche sui social e non sembrerebbe a causa delle vacanze pasquali trascorse.

Avrà ricordato i tempi di Immuni dove tecnici politicizzati ed attivisti liberisti e liberali, sostenevano tutto ed il contrario di tutto pur di guadagnare visibilità e farsi infilare nelle commissioni tecniche di valutazione nominate dalla politica per poi smentire le proprie parole sulla scia dell’entusiasmo di un pubblico che sociologicamente dimostra di gradire nel farsi portare a spasso.

Non ci resta che attendere l’ecatombe prevista dall’uso di Piracy Shield, che potrebbe arrivare magari con un blocco ad IT-Alert o ai siti Istituzionali di Governo e forze di Polizia, ma…

Siamo sicuri che il perimetro cibernetico del paese usi VPN commerciali e servizi come Cloudflare in condivisione con attività illegali?