La crittografia ha rappresentato un pilastro fondamentale nella protezione delle informazioni, evolvendosi nel corso dei secoli da strumenti rudimentali per la segretezza dei messaggi fino a diventare un elemento cardine delle moderne infrastrutture digitali.
In questo articolo esploreremo il ruolo della crittografia nella sicurezza delle informazioni, analizzandone l’evoluzione storica, il quadro normativo che ne prescrive l’utilizzo, e le sue interazioni con l’intelligenza artificiale, con un focus particolare sui requisiti dello standard ISO/IEC 27001:2022, della Direttiva NIS 2 e del Regolamento DORA.
La crittografia è nata come una necessità per proteggere la confidenzialità delle comunicazioni. Le prime tecniche, come la cifra di Cesare e altri metodi basati su sostituzione e trasposizione, erano manuali e facilmente decifrabili con strumenti oggi considerati rudimentali.
Con l’avvento della meccanizzazione, come nel caso della macchina Enigma durante la Seconda Guerra Mondiale, la crittografia è diventata più complessa e resistente agli attacchi.
L’introduzione dei computer ha segnato un salto epocale, consentendo l’adozione di algoritmi avanzati, come DES (Data Encryption Standard), RSA e AES (Advanced Encryption Standard), che rimangono fondamentali nella sicurezza moderna.
Parallelamente, gli algoritmi di hash hanno assunto un ruolo cruciale nella protezione delle informazioni. Diversamente dalla crittografia tradizionale, gli algoritmi di hash, come MD5, SHA-1 e le versioni più recenti come SHA-256, non mirano a proteggere la confidenzialità, bensì a garantire l’integrità dei dati.
Questi algoritmi trasformano i dati in stringhe di lunghezza fissa, creando un’impronta digitale univoca che consente di rilevare modifiche accidentali o intenzionali. L’uso degli algoritmi di hash è oggi fondamentale in applicazioni come la firma digitale, l’archiviazione sicura delle password e la verifica dell’integrità dei file.
Un altro ambito in cui la crittografia ha avuto un impatto significativo è l’investigazione digitale.
In questo contesto, le tecniche crittografiche sono utilizzate sia per proteggere le prove digitali che per decifrare dati cifrati trovati durante un’indagine. La crittografia consente di garantire la catena di custodia delle prove e di prevenire alterazioni durante il loro trasferimento o analisi.
Tuttavia, la presenza di dati crittografati rappresenta spesso una sfida per gli investigatori, che devono affrontare la necessità di decifrare informazioni protette utilizzando metodi legali e tecnicamente avanzati.
Gli sviluppi nel campo della criptoanalisi, inclusa l’applicazione di tecniche basate sull’intelligenza artificiale, stanno offrendo nuovi strumenti per superare queste barriere, pur sollevando questioni etiche e legali sull’uso di tali tecnologie.
Lo standard ISO/IEC 27001:2022, che definisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), prevede esplicitamente l’utilizzo della crittografia come misura di sicurezza nel controllo A.10.1 (“Uso della crittografia”).
Questo controllo richiede che le organizzazioni valutino i rischi connessi alla protezione delle informazioni e implementino soluzioni crittografiche adeguate per garantire:
- La confidenzialità delle informazioni sensibili.
- La protezione dei dati durante il loro trasferimento e archiviazione.
- L’autenticazione degli utenti e dei dispositivi.
Inoltre, lo standard richiede un approccio basato sul rischio nella scelta degli algoritmi crittografici e nella gestione delle chiavi, sottolineando la necessità di procedure sicure per la loro generazione, distribuzione e conservazione.
La Direttiva NIS 2, recentemente adottata per rafforzare la sicurezza informatica nell’Unione Europea, impone una serie di obblighi chiave per le entità essenziali e importanti, finalizzati a migliorare la resilienza e la protezione delle infrastrutture critiche e dei servizi essenziali.
Tra questi obblighi, l’utilizzo della crittografia assume un ruolo centrale.
La direttiva richiede specificamente che le organizzazioni implementino:
- Soluzioni di cifratura robuste per proteggere i dati sensibili durante il trasferimento e l’archiviazione.
- Meccanismi di crittografia end-to-end per garantire la confidenzialità delle comunicazioni, soprattutto in ambiti ad alto rischio come le infrastrutture energetiche, i trasporti, e i servizi sanitari.
- Procedure sicure per la gestione delle chiavi crittografiche, al fine di prevenire compromissioni e accessi non autorizzati.
La direttiva pone inoltre l’accento sulla necessità di aggiornare costantemente le soluzioni crittografiche per tener conto delle nuove minacce, includendo la resilienza a futuri attacchi di tipo quantistico.
Ciò implica un investimento continuo in ricerca e sviluppo per garantire la conformità ai requisiti di sicurezza emergenti.
Il Regolamento DORA (Digital Operational Resilience Act), adottato per garantire la resilienza operativa digitale nel settore finanziario, integra e rafforza gli obblighi relativi all’utilizzo della crittografia. Esso stabilisce che le istituzioni finanziarie devono:
- Adottare misure crittografiche adeguate per proteggere i dati finanziari sensibili da accessi non autorizzati e da perdite di integrità.
- Garantire l’utilizzo di standard crittografici riconosciuti a livello internazionale, come AES e RSA, e aggiornare regolarmente tali soluzioni per rispondere alle nuove vulnerabilità.
- Effettuare test periodici delle misure crittografiche per verificarne l’efficacia in scenari di rischio realistici, come gli attacchi mirati o le compromissioni delle chiavi di cifratura.
Il Regolamento enfatizza anche l’importanza di una gestione centralizzata e sicura delle chiavi crittografiche, prevedendo audit regolari e piani di risposta in caso di eventi di sicurezza significativi.
L’intelligenza artificiale (IA) sta trasformando il panorama della crittografia, sia come strumento per migliorare la sicurezza, sia come nuova sfida. Da un lato, gli algoritmi di IA possono essere utilizzati per ottimizzare la gestione delle chiavi, rilevare anomalie e prevenire attacchi crittografici. Dall’altro, gli stessi strumenti di IA possono essere sfruttati da attori malevoli per sviluppare tecniche di attacco più sofisticate, come il criptoanalisi avanzato o l’individuazione di vulnerabilità nei sistemi crittografici tradizionali.
L’evoluzione delle tecnologie di IA solleva anche interrogativi sulla sostenibilità degli algoritmi crittografici attuali.
Ad esempio, l’avvento del calcolo quantistico potrebbe rendere obsoleti molti degli schemi crittografici oggi in uso, richiedendo lo sviluppo di algoritmi resistenti ai computer quantistici (quantum-resistant cryptography).
La crittografia rimane una pietra angolare della sicurezza delle informazioni, ma il suo ruolo evolve costantemente per far fronte alle nuove minacce e opportunità. Standard come ISO/IEC 27001:2022 e normative come la Direttiva NIS 2 e il Regolamento DORA ne riconoscono l’importanza, richiedendo alle organizzazioni di adottare soluzioni crittografiche adeguate e di mantenerle aggiornate.
Con l’avvento dell’intelligenza artificiale e del calcolo quantistico, il futuro della crittografia dipenderà dalla capacità di innovare e di anticipare le sfide emergenti, garantendo una protezione efficace delle informazioni in un mondo sempre più interconnesso.
Avv. Giuseppe Serafini
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
