Nel dibattito, sociale, economico e soprattutto politico contemporaneo sulla sicurezza informatica, il paradigma dominante è fondato su un presupposto apparentemente indiscutibile: ridurre il rischio fino al minimo possibile. Tuttavia, questo approccio, se portato all’estremo, genera un paradosso strutturale, un paradosso che non viene visto perché, in una società attraversata da stimoli più emotivi che razionali, anche la gestione del rischio viene analizzata da parametri emotivi e quasi mai razionali. La sicurezza assoluta è una chimera distopica come il viaggio nel tempo. Essa lungi dall’essere una condizione di equilibrio, tende a generare entropia, ed a trasformarsi in una forma di rigidità sistemica che ostacola l’adattamento, l’innovazione e, in ultima analisi, la capacità di un sistema di gestire cambiamenti e crisi. E’ innegabile che il cyber crime rappresenti oggi uno degli ambiti più dinamici e adattivi dell’intero ecosistema digitale. Ma bisogna fare una precisazione: bucare un sistema è quanto mai complesso, infatti il cyber crime è spesso gestito da attacchi che non operano più esclusivamente attraverso vulnerabilità tecniche, ma sfruttano sempre più frequentemente la dimensione umana; questo avviene attraverso pratiche di ingegneria sociale che, operando direttamente sulla emotività umana, aggirano i sistemi di difesa più sofisticati. In questo contesto, la sicurezza informatica non può essere ridotta a una mera questione tecnologica, ma deve essere interpretata come un fenomeno socio-tecnico che investe anche settori legati alla vita stessa di ogni persona. Ovvero un soggetto più stressato, magari con problemi economici, sarà probabilmente più distratto e più facilmente attaccabile.
Le tecniche di ingegneria sociale dimostrano con chiarezza che il punto più vulnerabile di qualsiasi sistema non è il codice, non è la sorgente, ma l’essere umano. Attacchi di phishing, spear phishing, pretexting e baiting si fondano su leve psicologiche profonde: fiducia, urgenza, autorità, paura e soprattutto distrazione. Le agenzie di cyber crime posseggono profilazioni perfette dei soggetti da attaccare e, esattamente come avviene in natura, portano l’attacco sull’individuo più debole. Questo spostamento dal piano tecnico a quello cognitivo produce un effetto rilevante: ogni incremento di sicurezza tecnologica tende a essere compensato da un incremento della sofisticazione delle strategie di manipolazione umana. In altri termini, più i sistemi diventano sicuri sul piano infrastrutturale, più gli attacchi si spostano verso la dimensione relazionale e psicologica.
L’eccesso di sicurezza introduce un fenomeno meno discusso ma estremamente rilevante: la saturazione operativa e stagnazione dei processi di innovazione. Sistemi caratterizzati da livelli elevatissimi di autenticazione, controlli, whitelist rigide e restrizioni sull’accesso generano effetti collaterali significativi: rallentamento dei processi decisionali, riduzione dell’efficienza operativa, aumento della frustrazione degli utenti, oltre alla proliferazione di comportamenti elusivi (shadow IT, condivisione di credenziali, workaround informali). In questi contesti, l’utente non diventa più un alleato della sicurezza, ma un soggetto che cerca di aggirarla per poter lavorare. Si produce così una frattura tra sicurezza formale e sicurezza reale. Inoltre la frustrazione generata da sistemi con password complesse, lunghe e impossibili da sedimentare, genera proprio una di quelle faglie che rende i soggetti più attaccabili. Ed è proprio questo fenomeno che rappresenta la contraddizione ultima, oltre che essere il punto più critico da analizzare: quando la sicurezza supera una certa soglia, smette di proteggere e inizia a generare vulnerabilità indirette. Ne deriva che la sicurezza totale è un’illusione metodologica ed un paradigma paranoico che si muove sugli stessi schemi del complottismo.
Inoltre, dal punto di vista teorico, il problema può essere letto anche in termini banalmente evolutivi. I sistemi complessi, biologici, sociali o tecnologici. si sviluppano attraverso un equilibrio dinamico tra stabilità e perturbazione. Un sistema completamente stabile è, per definizione, un sistema non evolutivo. Applicato alla cybersecurity, questo implica che una quota di rischio non è solo inevitabile, ma necessaria. Il rischio rappresenta lo spazio entro cui il sistema apprende, si adatta e migliora. Un’infrastruttura completamente blindata tende invece a irrigidirsi, perdendo la capacità di reagire a minacce nuove e impreviste. Paradossalmente, ne deriva che i sistemi più chiusi sono spesso quelli più fragili nel lungo periodo.