L'Italia e l'Europa mettono Kaspersky fuori gioco
Per le agenzie di cybersecurity tedesca, francese e italiana le aziende russe sono potenziali pericoli per la sicurezza nazionale. L'azienda con sede a Mosca respinge le accuse e parla di decisione politica per l'invasione ucraina voluta da Putin
Prima la Germania, poi la Francia e infine l'Italia. Tanta Europa volta le spalle a Kaspersky e lancia l'allarme contro l'utilizzo del popolare antivirus russo, considerata una minaccia in grado di aprire porte che devono restare chiuse agli hacker russi. Versione smentita ripetutamente dall'azienda, che parla di decisione politica in mancanza di prove su rischi e abusi di condotte dannose non solo negli ultimi tempi ma in tutti e venticinque gli anni di storia di Kaspersky.
Nei giorni successivi all'invasione russa dell'Ucraina e alle sanzioni imposte dall'Unione Europea alla Russia sono iniziate le riflessioni sulle aziende russe attive nel Vecchio Continente e gli eventuali rischi insiti i relativi servizi. Kaspersky è una azienda leader di un settore strategico come la cybersicurezza, quindi ha attirato subito le preoccupazioni delle varie autorità, non solo politiche. Anche il Garante per la privacy, infatti, ha aperto una istruttoria "per valutare i potenziali rischi relativi al trattamento dei dati personali dei clienti italiani effettuato dalla società russa tramite il suo software antivirus". Proprio per approfondire gli allarmi lanciati da numerosi enti dediti alla sicurezza informatica circa potenziali "attacchi cibernetici contro utenti italiani", il Garante ha chiesto a Kaspersky Lab di "fornire il numero e la tipologia di clienti italiani, nonché informazioni dettagliate sul trattamento dei dati personali effettuato nell’ambito dei diversi prodotti o servizi di sicurezza, inclusi quelli di telemetria o diagnostici". Ma non solo, perché l'obiettivo dell'Autorità è capire se "i dati degli utenti italiani siano stati trasferiti al di fuori dell’Unione europea (ad esempio nella Federazione Russa) o comunque resi accessibili a Paesi terzi".
La mossa del Garante segue quanto delineato dal governo, che ha deciso di sospendere l'utilizzo dell'antivirus di Kaspersky, presente nei sistemi informatici sin dal 2003 e utilizzato in quasi tremila uffici tra ministeri, Comuni, Polizia (inclusi i ministeri di Interni, Estero e Difesa). Il pericolo riguarda la possibilità che l'azienda in russa non sia in grado di assicurare il funzionamento o gli aggiornamenti dei suoi programmi; e non poter aggiornare un antivirus significa stende un tappeto rosso a eventuali attacchi informatici. La parola d'ordine diffusa dal CSIRT, l'ufficio dell'Agenzia per la cybersicurezza nazionale che monitora i cyber rischi dell'Italia, è disinstallare subito Kaspersky e fare spazio a un diverso antivirus e antimalware, anche se nessuno al momento può stimare i costi da affrontare per uno stravolgimento urgente quanto costoso, con buona pace della Corte dei Conti e la benedizione dei fondi per la cybersicurezza prevista dal Pnrr (piano nazionale di ripresa e resilienza), che per il 2022 ammontano a 190,4 milioni di euro.
A lanciare la retromarcia contro Kaspersky è stata, tuttavia, la Germania, con l'autorità tedesca per la cybersecurity — Bundesamt für Sicherheit in der Informationstechnik (Bsi) — che per prima ha individuato nella società con sede a Mosca un pericolo per la sicurezza nazionale. In particolare per il rischio che software e prodotti delle aziende russe vengano sfruttarti dal Cremlino per agevolare eventuali attacchi informatici da parte dei criminali da tastiera russi (scenario ipotizzabile da tutti i paesi che la Federazione russa ritiene ostili, Italia inclusa). Avviso simile è arrivato a breve distanza dall'Agenzia per la sicurezza nazionale francese, che ha invitato tutti a dotarsi di software alternativi per evitare i possibili mancati aggiornamenti e patch di sicurezza di Kaspersky, dovuti alle sanzioni imposte alla Russia.
A nulla sono servite le precisazioni che Kaspersky sta fornendo da giorni nei vari paesi, evidenziando che "la priorità dell'azienda da sempre la privacy e la sicurezza dei nostri utenti", come dichiarato in vari frangenti anche da Cesare D'Angelo, direttore generale della filiale italiana. "Non abbiamo legami politici con nessun governo", ha ribadito su Twitter Jeff Esposito, responsabile globale dei social media di Kaspersky, che nel 2020 (chiuso con un fatturato non certificato di 703,9 milioni di dollari) ha trasferito i propri server in Svizzera e aperto un Centro per la trasparenza negli Stati Uniti.
Più diretto è stato Eugene Kaspersky, fondatore e guida dell'omonima azienda, che ha scritto una lettera di risposta all'allarme sollevato dall’ufficio federale tedesco per la sicurezza informatica. "L'avviso sui potenziali rischi informatici per chi utilizza i nostri prodotti senza portare alcuna prova oggettivi né dettagli tecnici è una speculazione". E ancora: "È tristemente ironico che l’organizzazione che sostiene l’obiettività, la trasparenza e la competenza tecnica, gli stessi valori che Kaspersky ha sostenuto per anni insieme al BSI e ad altri regolatori e organismi industriali europei, abbia deciso o sia stata costretta ad abbandonare i suoi principi letteralmente nel corso di una notte. Kaspersky, partner e collaboratore di lunga data del BSI e dell’industria tedesca della cybersicurezza, ha avuto solo poche ore per affrontare queste accuse fasulle e infondate. Questo non è un invito al dialogo, è un insulto". Con la chiosa finale relativa al presente e futuro: "Non disporre dei nostri prodotti e software non renderà la Germania o l’Europa più sicura".