IrpiMedia sotto attacco: essere pesci piccoli nel web senza regole 

Per quasi due settimane, dal 5 al 18 luglio, IrpiMedia non è stata raggiungibile ai suoi lettori a causa di un attacco informatico. In gergo si parla di DDoS, distributed denial of service, ovvero di quella tecnica che prevede l’impiego di una complessa rete composta da migliaia di computer o server, impegnati a collegarsi contemporaneamente a un unico sito Internet in modo da mandarlo in crash e renderlo inaccessibile a chiunque.

È quanto accaduto proprio a noi, che siamo stati bersaglio di una quantità sproporzionata di connessioni per settimane, arrivata a picchi di 26 milioni di tentativi di accesso in 24 ore, rispetto alle decine di migliaia alle quali siamo abituati.

In parole povere, qualcuno ha deciso di spendere tempo e soldi per impedirci di restare online e, conseguentemente, per impedire a voi di leggerci. 

Un filo sottile collega questo attacco con #StoryKillers, la serie pubblicata da IrpiMedia nel 2023 che ha acceso un faro sul mercato della gestione della reputazione, dove chi può permetterselo paga per ottenere la cancellazione o la deindicizzazione delle storie che lo riguardano dai motori di ricerca. Proprio quell’inchiesta, ironia della sorte, ha subito la deindicizzazione di Google, su richiesta verosimilmente di uno dei protagonisti della nostra storia, che non vuole comparire associato ad essa sul web.

Eppure al tempo dell’informazione digitalizzata, vien da chiedersi quale sia il senso di produrre tanti articoli se poi questi non vengono mostrati a chi naviga nel momento in cui avrebbero più senso.

Ancora una volta, qualcuno vuole far sparire i nostri contenuti. Al di là dei gravi problemi tecnici a cui abbiamo dovuto far fronte, crediamo che i ripetuti tentativi di agire contro la nostra testata offrano l’opportunità di trarre qualche riflessione e formulare delle domande per capire meglio alla nostra comunità di lettori cosa minaccia la visibilità e l’efficacia dei nostri contenuti. 

Una prima riflessione parte dall’importanza di essere rilevanti, visibili e connessi che, lungi dall’essere un diritto concretamente garantito, è sempre più una prerogativa di chi dispone delle risorse e del potere per far valere le proprie ragioni sopra quelle degli altri. 

Ma chi può aver voluto che IrpiMedia fosse irraggiungibile? A quanti altri accade lo stesso senza che se ne parli? Di quali tutele o diritti godiamo in quanto cittadini della rete? Verso chi dovremmo rivolgere le nostre istanze e legittime pretese?

Cerchiamo di farci strada con ordine. 

I pesci piccoli del far west digitale

Un tempo un attacco DDoS sarebbe stato impegnativo e costoso, data la quantità di energia e di tempo richiesti per realizzarlo.

Oggi non è più così; con una decina di euro al giorno chiunque può “comprare un attacco”, tanta è l’offerta di servizi erogati da informatici che risiedono in Paesi privi di ogni controllo e che, coperti da anonimato, sfuggirebbero anche alla più minuziosa indagine. A farne le spese è il bersaglio – vale per il nostro giornale come per chiunque dipenda dalla rete per svolgere la propria attività professionale – che potrebbe finire nel mirino di uno di questi attacchi senza mai conoscerne né l’esecutore né il mandante. 

«Questo tipo di servizi ha spesso sede in Paesi con pochi o nessun controllo, nell’Europa dell’Est o in Asia, e risalire all’attaccante è pressoché impossibile» spiega a IrpiMedia Stefano Fratepietro, esperto di sicurezza informatica, divulgatore e imprenditore. «Le tecniche più sofisticate per difendersi sono appannaggio di aziende considerate strategiche o di grandi attori con importanti disponibilità economiche – prosegue l’esperto – mentre agli altri non resta che ricorrere a strumenti di mitigazione non sempre pienamente efficienti e tempestivi».

Nel selvaggio west senza regole che è diventata la rete – per quanto possa sembrare decotta questa metafora – chi dispone di risorse può assicurarsi un qualche tipo di protezione.

Chiunque altro deve sperare di non finire nel mirino di simili sabotaggi.  

Si potrebbe dire che a fronte di un torto subito, un cittadino può rivolgersi alla legge o fare affidamento alla copertura della propria assicurazione. Nessuna di queste soluzioni è valida però nel mondo digitalizzato in caso di attacchi massivi come quello subito da IrpiMedia ma che potrebbe riguardare anche qualsiasi attività commerciale o industria che dovesse far fronte alle prevaricazioni di un concorrente.

Ed è questo un tema sul quale le istituzioni dovrebbero aprire un dibattito, a maggior tutela dei diritti dei cittadini e delle loro attività. Non esistono, infatti, tutele internazionali, capaci di valicare i confini di quei Paesi nei quali gli attaccanti informatici sono tollerati, se non direttamente finanziati dagli stessi governi. 

I pesci grandi

Nei dodici giorni di inaccessibilità di IrpiMedia abbiamo dovuto posticipare e riprogrammare la pubblicazione della serie #MinacciaNucleare (cinque articoli), un’inchiesta su Acea e un approfondimento su come funziona il sistema di accoglienza dei migranti.

Nel frattempo cercavamo di parlare con il fornitore dei server che ospitano il nostro sito, il quale ha tardato a riconoscere l’attacco informatico per poi intervenire fornendo soluzioni inefficaci e inutilmente costose.

«I singoli utenti o le piccole imprese valgono pochissimo agli occhi dei provider, rispetto a colossi che da soli valgono centinaia di migliaia di euro in servizi di hosting – riflette Fratepietro – e per quanto i primi siano complessivamente molti di più, non valgono quanto un unico cliente di grossa stazza».

Per far valere le nostre ragioni abbiamo dovuto rivolgerci al nostro pubblico tramite i social network. Solo grazie al loro sostegno abbiamo potuto far valere il “peso” di una testata che gode di un affezionato seguito che ci ha permesso di ottenere l’attenzione del provider e risolvere tutti i nostri guai in appena mezza giornata lavorativa. 

Ed è qui che si chiude un cerchio con il problema delle deindicizzazioni sopracitato. Quando nel 2023 abbiamo ricevuto la notifica della deindicizzazione di un nostro articolo, grazie a contatti privati e diretti con Google, privilegio dell’essere giornalisti, in poche ore siamo stati rassicurati del fatto che il problema sarebbe stato presto risolto.

È così che va il mondo, eppure non dovrebbe.

Perché se è vero che la rete tende ad assomigliare a un far west privo di norme, è vero pure che l’intera struttura è in mano a pochi grandi attori, la cui discrezionalità è pressoché incontrastabile.

Google può decidere di deindicizzare la notizia data da una testata e poi cambiare idea nel giro di qualche ora? I provider di un servizio possono decidere di ignorare o abbandonare un piccolo cliente solo perché contano sulla moltitudine di altri piccoli clienti? 

E per questo denunciamo non solo i disservizi e la mancanza di misure efficaci per tutelare la presenza dei cittadini sulla rete, ma soprattutto il clientelismo, che apre le porte a chi dispone di più capitali o maggiore visibilità.

Per la prima volta in uno Stato occidentale, nel 2015 il Parlamento italiano ha adottato la Dichiarazione dei diritti di Internet, che al secondo articolo prescrive come ogni persona abbia «eguale diritto di accedere a Internet in condizioni di parità, con modalità tecnologicamente adeguate e aggiornate che rimuovano ogni ostacolo di ordine economico e sociale».

Ed è un preciso dovere anche del mondo dell’informazione di continuare a indagare e denunciare l’assetto iniquo del mondo digitale, dove saltano la fila solamente le auto più costose, mentre le altre annegano nel traffico.