Blockchain, criptovalute e cybersecurity

La sicurezza informatica, o cybersecurity, è all'ordine del giorno nei direttivi di organizzazioni a livello mondiale. Negli ultimi anni l'impatto delle tecnologie digitali ha accelerato in maniera drastica i processi d'innovazione all'interno delle aziende. L'International Data Corporation (IDC), una delle principali organizzazioni di ricerche di mercato in ambito tecnologico, raccoglie queste tecnologie digitali in quattro categorie - Big Data, Cloud Computing, Social Media e dispositivi mobili - che insieme rappresentano la componente principale della cosiddetta "terza piattaforma". Altre caratteristiche fondamentali della "terza piattaforma" sono la presenza di milioni di applicazioni e miliardi di utenti interconnessi tra loro da network pubblici (Internet) e/o privati (intranet aziendali).

Da un lato queste nuove tecnologie aprono nuove opportunità di business e creano nuovi settori (un esempio su tutti è sicuramente il fintech). Dall'altro lato, il fatto che tutti questi sistemi che all'apparenza sembrano indipendenti ma che in realtà sono connessi (o connettibili) tra loro, espongono individui e organizzazioni a dei rischi notevoli dal punto di vista informatico e di protezione di informazioni sensibili. Statistiche dimostrano che il numero di incidenti informatici è cresciuto in maniera esponenziale negli ultimi anni. In molti ricorderanno ad esempio, il ransomware WannaCry che nel maggio dello scorso anno ha infettato i computer di migliaia di organizzazioni in tutto il mondo, alcune anche molto note come il Ministero dell'Interno Russo, FedEx e Telefónica. Altri esempi recenti sono Yahoo! con più di 3 miliardi di record compromessi, e Twitter, Netflix e Spotify caduti vittime del più grande attacco distribuito (Distributed Denail of Service - DDoS) nell'ottobre 2016. In questo contesto non sorprende il fatto che la sicurezza informatica sia uno dei settori a più alta crescita sotto la spinta di crescenti budget investiti da organizzazioni di ogni settore. 

La grande attenzione riservata alla sicurezza informatica in ambito aziendale è giustificata alla luce dei potenziali e ovviamente negativi impatti che una perdita di dati potrebbe avere. Prima di tutto le sanzioni dirette messe in atto dai regolatori. Il nuovo regolamento generale sulla protezione dei dati (General Data Protection Regulation - GDPR) a livello europeo prevedere che entrerà in vigore a partire da maggio di quest'anno prevede sanzioni fino a 20 milioni di Euro o fino al 4% dei ricavi a livello mondiale. La brutta notizia, come se questa non lo fosse già abbastanza, è che non finisce qui. Gli incidenti informatici possono anche causare un danno reputazionale sostanziale e una perdita di fiducia da partner clienti, fornitori e revisori. Per non parlare poi dei danni causati da eventuali furti di segreti industriali. Tutto questo potrebbe tradursi in potenziali perdite di opportunità di business o addirittura minacciare la sopravvivenza dell'azienda stessa.

Ma cosa c'entra la blockchain in tutto questo? È presto detto. Due caratteristiche fondamentali di una blockchain pubblica, come appunto quella del Bitcoin, sono l'incorruttibilità del dato e del network stesso. L'incorruttibilità del dato si riferisce al fatto che una volta che una transazione è stata validata e inserita in un "block" questa non può più essere cancellata o manomessa. L'incorruttibilità del network è invece legata al fatto che la maggioranza dei nodi nella blockchain devono riconoscere ogni transazione come valida. Con più di 9.000 nodi attivi al momento nella blockchain del Bitcoin, un hacker dovrebbe riuscire a compromettere più di 4.500 nodi contemporaneamente per poter falsificare una transazione. 

Dal punto di vista della sicurezza informatica queste caratteristiche sono indubbiamente attrattive. Nel corso degli anni i media hanno riportato furti di Bitcoin dovuti ad attacchi hacker ma la verità è che questi attacchi hanno compromesso i sistemi di organizzazioni che offrivano portafogli digitali e piattaforme di trading; la blockchain per sé non è mai stata compromessa (fino ad ora). È importante sottolineare che, sebbene l'adozione della blockchain in ambito aziendale rappresenterebbe un sostanziale salto in avanti a livello di sicurezza informatica, questa non rappresenta una panacea per tutti i mali. Ogni catena infatti è tanto forte quanto il suo anello più debole e un'efficace adozione della blockchain non può prescindere da un'adeguata due diligence e implementazione di sistemi per il controllo dell'infrastruttura aziendale. 

Tre sono i fattori principali da tenere in considerazione per valutare il livello di sicurezza informatica: confidenzialità, intregrità e disponibilità del dato (CIA Triad Model). Confidenzialità si riferisce all'impossibilità di accedere ad un dato sensibile da parte di personale o entità non autorizzate. Se un hacker avesse accesso alla blockchain, non potrebbe comunque visualizzare o estrarre informazioni. Tutte le informazioni relative ad ogni transazioni infatti sono criptate. Solo chi è in possesso della corrispondente chiave privata può accedervi. Ma dove viene conservata questa chiave privata? Nella maggior parte dei casi su sistemi di archiviazione tradizionali come dischi rigidi, laptop o chiavette USB. Queste prassi, se non adeguatamente implementate e/o controllate rischiano di compromettere l'intero sistema. L'acronimo PEBCAK è ben noto in ambito informatico e sta per "Problem Exists Between Keyboard And Chair". Nella maggior parte degli incidenti informatici infatti il problema principale è il legame tra la tastiera e la sedia, l'utente appunto. Nessuna blockchain potrà sopperire all'inconsapevolezza o all'imprudenza degli utenti che vi accedono. Considerando gli ingenti investimenti dietro l'adozione di sistemi basati sulla blockchain, è di cruciale importanza migliorare questi aspetti organizzativi per massimizzarne l'utilità e il ROI. 

Integrità si riferisce all'impossibilità di modificare o distruggere informazioni da parte di utenti non autorizzati. Come evidenziato in precedenza, la blockchain è una tecnologia alquanto affidabile sotto questo punto di vista. L'immutabilità dei dati però può non essere pienamente compatibile con il diritto all'oblio incluso nella GDPR. Tali complicazioni potrebbero impedire l'adozione della blockchain in tutte le organizzazioni che processano dati personali ma fortunatamente diverse potenziali soluzioni sono già state proposte. Sebbene siano ancora tutte ancora in stato sperimentale (come la maggior parte della applicazioni della blockchain del resto) non sembra irrealistico assumere che saranno pronte quando la blockchain sarà empiamente adottata. Dal punto di vista organizzativo gli (attraenti) aspetti tecnici ed economici legati alla blockchain ricevono grande attenzione ma è altrettanto importante non trascurare eventuali implicazioni regolamentari. 

Disponibilità si riferisce alla possibilità di poter accedere alle informazioni in maniera tempestiva e affidabile. Una blockchain non può essere compromessa a partire da un singolo nodo (no single point of failure). Ogni nodo contiene una copia della blockchain stessa pertanto il sistema continuerebbe a funzionare normalmente anche se uno dei suoi componenti andasse offline per un periodo di tempo. Tale meccanismo rende la blockchain resistente a cosiddetti Denial-of-Service Attacks - attacchi che hanno l'obbiettivo di sovraccaricare di richieste un server fino al punto da non renderlo più in grado di erogare il servizio per il quale era stato predisposto - e particolarmente affidabile dal punto di vista della disponibilità del dato. D'altra parte però la blockchain resta ancora esposta ed eventuali black-out della rete internet. È pertanto importante che le organizzazioni prevedano delle ridondanze nella loro infrastruttura tecnologica che permettano di continuare ad operare in queste situazioni di emergenza.

Gregory Benford nel suo libro Foundation's Year diceva "se una tecnologia non sembra magica non è abbastanza avanzata". Non possiamo negare che chiunque senta parlare della blockchain per la prima volta pensa che ci sia qualcosa di magico nel suo finanziamento; per cui la blockchain potrebbe essere davvero la tecnologia che rivoluzionerà il sistema finanziario e un numero considerevoli di altri settori. Resta però ancora una tecnologia immatura e in una fase di sviluppo, le cui possibili applicazioni non sono ancora del tutto evidenti. In tale contesto di incertezza è pertanto di cruciale importanza guardare al di là di quanto evidenziato dai media ed esperti del settore e valutare con attenzione tutte le possibili ricadute che la blockchain potrebbe avere sul proprio business.