Tradire lo Stato non è un semplice crimine, riflessioni su un furto di segreti

Secondo me ci vogliono pene più severe per chi ruba segreti industriali e, soprattutto, segreti di Stato. Non è solo una questione di giustizia penale: è una questione di sicurezza nazionale e resilienza strategica. Ed è arrivato il momento di iniziare a trattare certi reati per quello che sono: atti di guerra asimmetrica.

Il caso è quello di Yihao Pu, ingegnere 39enne, ex dipendente di una società appaltatrice della difesa statunitense. Ha appena ammesso di aver copiato illegalmente file sensibili contenenti informazioni tecniche riservate su sistemi d’arma americani, tra cui componenti elettronici per il sistema missilistico Patriot (PAC-3). Questi dati sono stati poi trasferiti a un’entità legata al governo cinese, usando dispositivi di archiviazione rimovibili e account personali.

Non parliamo di una semplice fuga di dati. Parliamo di un furto controllato di proprietà intellettuale strategica che coinvolge non solo brevetti e schede tecniche, ma anche algoritmi, layout di circuiti, specifiche radar, e componenti embedded sensibili. Dati che permettono a una potenza straniera non solo di replicare la tecnologia, ma anche di progettare contromisure e indebolire l’efficacia di difese NATO in uno scenario di guerra.

Questo tipo di attacco rientra nella categoria insider threat, una delle minacce più difficili da contrastare in ambienti ad alta sicurezza. Le tecnologie di sicurezza perimetrale (firewall, DLP, SIEM, NAC) poco possono se l’accesso è legittimo e viene sfruttato da chi è già dentro. Ed è qui che si apre un tema: quanto è robusto oggi il modello Zero Trust nei settori strategici?

La risposta è: ancora troppo poco. Troppe aziende fornitrici del settore difesa non hanno ancora implementato un modello Zero Trust basato su continui controlli contestuali, privilegi minimi e verifica continua delle attività degli utenti privilegiati. E ancora meno hanno strumenti efficaci per l’analisi comportamentale interna (UEBA), che in casi come questo potrebbe fare la differenza tra un comportamento anomalo registrato... e uno realmente bloccato.

In più, c’è l’aspetto giudiziario. Yihao Pu rischia fino a 10 anni di carcere, ma io lo dico chiaramente: non basta. Per un crimine del genere, con impatto militare e geopolitico, dovremmo avere pene più severe, proporzionate non all'atto singolo, ma al danno potenziale sistemico. Anche perché la Cina, come già emerso in centinaia di report del settore threat intelligence, continua a sponsorizzare attivamente campagne di spionaggio industriale, soprattutto in settori chiave: aerospazio, difesa, semiconduttori, bioingegneria.

Spesso si concentra sul malware, sulla CVE di turno, sull’attacco DDoS. Ma il punto è che la guerra tecnologica non si gioca solo nei log o nei pacchetti. Si gioca anche nelle sale riunioni, negli uffici tecnici, nei badge d’accesso. Quando un dipendente porta fuori dati riservati per conto di una nazione rivale, non sta solo violando una policy aziendale. Sta minando la fiducia nell'intero sistema di protezione di un Paese.

Una volta che un segreto è stato sottratto, non esiste patch.

Non c’è rollback.

Ecco perché ci vogliono pene esemplari, audit interni reali, e policy Zero Trust implementate davvero, non solo nei white paper. Perché l’ingegneria sociale, la corruzione e la disaffezione ideologica continueranno ad essere sfruttate — e finché chi tradisce si prende 8 o 10 anni e poi sparisce, il gioco vale il rischio. Per molti, troppe volte.

La cybersecurity nazionale non è solo questione di skill tecnici. È anche cultura, etica e deterrenza.