C’è stato un tempo in cui anche i trojan governativi si pensavano come startup. Un nome suggestivo, Borg, che evocava assimilazione e controllo totale. Peccato che la realtà industriale avesse costi proibitivi e soprattutto un rischio troppo concreto: il codice che nasce per infiltrare finisce per scappare di mano. Non è fantascienza, è cyber forense spicciola. Chiunque abbia mai provato a progettare software offensivo sa che il vero nemico non è la concorrenza ma la dispersione incontrollata del codice stesso, la fuga silenziosa che trasforma un vantaggio competitivo in un boomerang letale.
Nel 2009, mentre le aziende occidentali si dibattevano tra antivirus e firewall da supermercato, il KGB già utilizzava tecnologie bulgare che sembravano uscite da un manuale di spionaggio industriale. Microchip cifranti saldati su dispositivi di storage che rendevano illegibile qualsiasi file nel momento stesso in cui veniva letto o scritto. Non importava se si trattava di floppy, di DVD o delle prime pendrive USB. Ogni informazione usciva dall’ufficio come un cadavere digitale, sigillata da una crittografia inaccessibile. Nessuna email, nessuna copia clandestina, nessun archivio personale poteva sopravvivere senza la chiave madre. Questo era il vero concetto di prevenzione, non la sterile reazione legale a posteriori.
Eppure nel mondo corporate la miopia rimane un marchio indelebile. Le aziende che investono milioni in ricerca e sviluppo non esitano a costruire laboratori scintillanti, a riempire i server di GPU da mezzo milione di dollari e a firmare contratti milionari con consulenti di grido. Ma quando si tratta di proteggere il loro asset più fragile e prezioso, il codice sorgente aziendale, l’atteggiamento cambia. Non un euro speso in sistemi di data leakage prevention avanzati, come se il valore intellettuale fosse un sottoprodotto da proteggere con la buona fede dei dipendenti. È il paradosso perfetto: spendere fortune per generare innovazione e lasciare che scivoli via da una porta laterale aperta.
Chiunque abbia visto il vecchio ONIGMA in azione sa che la prevenzione non è fantascienza. Lazy Tagging, brevetti militari, tracciamento dei file sensibili anche dopo cifratura, rinomina, spostamento nel cloud personale. Era tecnologia cruda, ma funzionava. Bastava un tagging intelligente per inseguire il file ovunque andasse, trasformando l’idea di controllo in una sorveglianza costante. Oggi invece ci si affida ancora a policy cartacee, corsi di formazione che nessuno ascolta e cause legali che arrivano quando i buoi sono già usciti dalla stalla. Ironico, considerando che l’asset più importante di un’azienda è la conoscenza, non il ferro dei server.
La storia recente di xAI vs Xuechen Li mostra quanto sia illusorio affidarsi solo al diritto. Il codice di intelligenza artificiale rubato e rivenduto non torna indietro con una sentenza. Il tribunale può bloccare l’ingegnere, può impedirgli di lavorare in certi settori, ma il codice non si autodistrugge né si ricompone magicamente nelle mani del legittimo proprietario. È già stato copiato, distribuito, monetizzato da chi sapeva cogliere l’occasione. Pensare che la legalità sia un sostituto della cybersecurity forense equivale a credere che un lucchetto fermasse davvero i ladri del secolo scorso.
Il problema è che la cultura aziendale continua a confondere compliance con sicurezza. Si crede che basti un regolamento, un audit ISO, qualche badge RFID e il rischio di fuga dei dati sia sotto controllo. Niente di più falso. La vera questione è che l’innovazione nasce fragile e deve essere blindata fin dalla culla. Se proteggi un laboratorio chimico con badge biometrici e telecamere ma lasci che il codice sorgente dei tuoi algoritmi rivoluzionari possa essere copiato su una chiavetta USB senza alcuna etichettatura digitale, hai semplicemente spostato il problema dal fisico al logico.
C’è poi un aspetto psicologico che viene sistematicamente ignorato. I dipendenti sanno benissimo che il codice che scrivono è oro puro. Alcuni lo percepiscono come parte di sé e lo trattano come un ricordo personale da portarsi via nel curriculum. Altri lo vedono come una polizza assicurativa per il futuro, il biglietto da visita da presentare alla concorrenza. In ogni caso, senza sistemi di prevenzione integrati, l’azienda rimane alla mercé della fiducia, una moneta che nel mondo della cybersecurity vale meno del nulla.
La verità è che la fuga di codice sorgente non è un’eventualità remota ma una certezza statistica. Ogni R&D che investe milioni senza una strategia di data leakage prevention integrata è già condannata a veder parte del proprio know how finire altrove. Non servono sofisticazioni da spionaggio sovietico, basta un dipendente frustrato, una connessione WiFi domestica e un cloud personale gratuito. In assenza di etichettatura digitale e monitoraggio costante, la perdita è garantita.
Perché allora la maggior parte delle aziende continua a ignorare la prevenzione? Forse perché la prevenzione non genera ROI immediato, non si traduce in slide scintillanti per gli investitori e non appare nei comunicati stampa. È l’arte invisibile di costruire fondamenta solide, quelle stesse fondamenta che oggi mancano ovunque. Più si avanza verso intelligenze artificiali sofisticate, più si dimenticano i principi basilari della protezione. Non è un caso che le tecnologie di sorveglianza dei file nate nel 2009 sembrino ancora oggi avveniristiche rispetto a quello che la maggior parte delle aziende implementa.
Il paradosso è che le soluzioni esistono, mature, pronte all’uso. Algoritmi di tagging, cifratura automatica, sistemi di tracciamento comportamentale che segnalano in tempo reale anomalie negli accessi ai repository di codice. È tutto lì, disponibile, ma viene trattato come optional. Ci si concentra sulle feature del prodotto, sul time to market, sugli investimenti in marketing digitale, e si sacrifica la sicurezza del cuore pulsante dell’azienda. La cybersecurity forense rimane confinata ai manuali, mentre nella realtà quotidiana regna l’improvvisazione.
Il risultato è un ecosistema fragile dove i segreti industriali scivolano silenziosi verso i concorrenti più aggressivi, spesso offshore, che non hanno scrupoli nel monetizzare l’altrui ingenuità. Ed è proprio qui che la provocazione diventa inevitabile: non è più questione di se i dati fuggiranno, ma di quanto valore riuscirai a perdere prima di accorgerti che la tua azienda è stata svuotata dall’interno. Chi non integra la prevenzione nel DNA dell’R&D sta semplicemente finanziando, a proprie spese, la crescita dei concorrenti.