La steganografia nasconde messaggi in immagini e file comuni, lecito se usato per proteggere dati, illecito se diventa lo strumento per commettere reati.
Qualche tempo fa erano i “pizzini” a custodire segreti, piccoli fogli di carta passati di mano in mano per eludere intercettazioni e controlli. Oggi, quei bigliettini si sono trasformati in file apparentemente innocui, una foto di vacanze, un brano musicale, persino un documento PDF che in realtà nascondono, pixel dopo pixel, messaggi invisibili agli occhi umani. Questa è la steganografia.
Steganografia, significato e definizione
Il termine steganografia deriva dal greco, “steganos” significa “coperto” e “graphein” vuol dire “scrivere”. L’espressione, oggi impiegata nel linguaggio della cybersecurity, mantiene la sua funzione originaria: si tratta di scrivere un messaggio in modo che la sua stessa esistenza rimanga invisibile.
“È una forma di occultamento dei dati che, a differenza della crittografia, non si limita a renderli illeggibili a chi non possiede la chiave, ma li nasconde in modo tale da non destare sospetti.”
Come funziona la steganografia digitale?
In sostanza, la steganografia consiste nel nascondere dati all’interno di altri file in apparenza innocui: immagini, video, tracce audio, documenti PDF, fino ad arrivare a pacchetti di rete. Il file ospite viene modificato in modo minimo, ma sufficiente a veicolare il messaggio segreto. È questa la logica sottostante al cosiddetto “stealth data hiding” :
“Un’informazione sensibile viene mascherata tra i bit meno significativi di un’immagine o di un altro contenitore multimediale, rendendo il dato irrintracciabile all’occhio umano o a un’analisi superficiale.”
Uno dei metodi più diffusi è la tecnica LSB (Least Significant Bit), che si basa sulla sostituzione del bit meno significativo di ciascun byte in un file immagine o audio. La modifica è così lieve che non altera visivamente l’immagine, né modifica la qualità percepita del suono.
“In un’immagine bitmap a 24 bit ogni pixel è costituito da tre byte, uno per ciascun canale di colore. Alterando solo il bit meno significativo di ogni canale si possono trasmettere dati nascosti senza alterare l’immagine in modo percepibile.”
Per comprendere l’efficacia della tecnica, basti pensare che una frase di 14 caratteri (come «Alea iacta est») occupa 112 bit in codice ASCII. Per occultarla in un’immagine sono sufficienti 37 pixel a colori (ognuno con 3 canali RGB), utilizzando un solo bit per canale. Una piccola immagine di 100×150 pixel è già in grado di contenere centinaia di caratteri nascosti, senza che l’occhio umano possa percepire differenze visive rispetto all’originale.
Un caso insidioso è quello dello Stegosploit, una tecnica che consente di nascondere codice JavaScript all’interno di immagini JPEG o PNG. All’apertura della pagina web, il codice iniettato può attivarsi, esponendo il sistema a vulnerabilità. L’immagine funge così da trojan, eludendo controlli antivirus tradizionali. Tali usi evidenziano come la steganografia possa essere impiegata in maniera attiva e dannosa, oltre che passiva e difensiva. Infatti, se associata a reati informatici, l’uso della steganografia può costituire un elemento che aggrava il dolo dell’autore e dimostra la volontà di agire con consapevolezza preordinata.
Steganografia, crittografia e sicurezza informatica
“La crittografia trasforma il contenuto in un formato illeggibile per chi non possiede la chiave di decodifica, rendendo evidente l’esistenza del messaggio ma non il suo contenuto.”
Al contrario, la steganografia occulta l’esistenza stessa della comunicazione in un file che appare innocuo. La crittografia è oggi regolamentata da standard normativi e tecnici ben consolidati (come AES-256, RSA, ECC), mentre la steganografia opera ancora in una zona più opaca, spesso assente dalle linee guida ufficiali di sicurezza. In molti casi, la loro combinazione può produrre un livello di protezione elevato, perché alla cifratura del contenuto si aggiunge l’occultamento del contenitore stesso. In ambito aziendale, ad esempio, combinare steganografia e crittografia consente di proteggere comunicazioni riservate in modo che non risultino nemmeno individuabili da un’analisi automatizzata.
Il principio di Kerckhoffs, secondo cui “un sistema deve essere sicuro anche se tutto ciò che lo riguarda, tranne la chiave, è pubblico”, si applica con adattamenti anche alla steganografia. Infatti, in ambito steganografico la sicurezza spesso dipende dalla segretezza del metodo più che dalla robustezza matematica del sistema. Ciò rende la tecnica più fragile rispetto alla crittografia, e dunque da affiancare - non sostituire in contesti che richiedano sicurezza dei dati di livello elevato.
La crittografia è indispensabile se il contenuto deve essere protetto anche in caso di intercettazione. Invece, la steganografia è utile quando si desidera evitare l’intercettazione stessa. In casi particolarmente sensibili come comunicazioni tra professionisti soggette a obblighi di riservatezza o la trasmissione di documenti protetti da segreto industriale l’uso congiunto delle due tecniche può essere una barriera multilivello di sicurezza.
Tuttavia, la vera differenza, tuttavia, è nella percezione giuridica e nella gestione delle responsabilità. Mentre la crittografia è un presidio previsto anche dal GDPR e dalla normativa europea sulla protezione dei dati, la steganografia non è menzionata espressamente, e il suo uso può sollevare sospetti in caso di indagine.
Steganografia e legge: è legale nascondere dati nei file?
In Italia non esiste, ad oggi, una norma che vieti in modo espresso l’uso della steganografia. La tecnica in sé che consiste nel nascondere dati all’interno di altri file non è considerata illecita, ma la sua liceità dipende dalla finalità per cui viene usata.
Il riferimento normativo principale è il Codice Penale, che sanziona condotte in cui la steganografia potrebbe diventare mezzo per eludere controlli o per commettere reati informatici. Si pensi, ad esempio, alla diffusione di malware occultati in file immagine tramite tecnica LSB: se questi strumenti servono a compromettere un sistema informatico, si applicano gli artt. 615 ter e 640 ter c.p., relativi all’accesso abusivo e alla frode informatica. Anche la l. n. 547/1993, che ha introdotto nel codice le fattispecie penali informatiche, si applica nei casi in cui la steganografia diventa veicolo di condotta illecita.
Nel campo della protezione dei dati personali, il Regolamento UE 2016/679 (GDPR) non menziona esplicitamente la steganografia, ma il suo uso in azienda potrebbe interferire con i principi di trasparenza e accountability. La lacunosa tracciabilità dell’informazione nascosta può infatti porsi in contrasto con il principio di “privacy by design” e con l’obbligo di garantire la sicurezza dei trattamenti previsti dall’art. 32 del GDPR. L’uso aziendale di tool steganografici senza una finalità documentata e proporzionata potrebbe esporre il titolare del trattamento a rilievi da parte dell’Autorità Garante.
Quando la tecnica viene impiegata per scopi illeciti, ad esempio per evitare un controllo giudiziario, trasmettere contenuti protetti da copyright o occultare prove digitali, si entra in una zona giuridicamente rilevante.
Non si può ignorare l’aspetto etico. La possibilità di celare contenuti senza lasciare tracce percepibili solleva interrogativi sul diritto all’informazione, sulla tutela della prova digitale e sul rischio di abuso in contesti repressivi o aziendali.
leggi anche
Cos’è il copyright e le regole da seguire
I software di steganografia più usati: quali strumenti usano gli esperti?
Tra i migliori programmi di steganografia, vi è Hide’N’Send, una soluzione basata sull’algoritmo F5 che consente di criptare e nascondere dati all’interno di immagini JPEG. È noto per la sua semplicità d’uso, ma anche per la limitata varietà di formati supportati. Le sue funzionalità sono efficaci per chi ha bisogno di un’applicazione veloce e diretta, ma non adatta a operazioni più sofisticate.
Invece, OpenStego è una scelta più versatile. Sviluppato in Java e distribuito come open source, permette non solo l’occultamento di file, ma anche l’aggiunta di watermark , utile in caso di tutela della proprietà intellettuale. Produce file di output in formato PNG. Tuttavia, il fatto che generi un solo tipo di file può essere un limite per chi necessiti di maggiore flessibilità.
Un altro strumento molto citato nelle analisi di settore è Steghide, compatibile con formati immagine come BMP e JPEG, e con file audio WAV e AU. Integra compressione automatica e crittografia a 128 bit, ed è resistente a tecniche statistiche di steganalisi di primo livello.
SSuite Piscel, invece, si distingue per la sua portabilità e per essere un’applicazione standalone. Funziona senza installazione, ed è capace di criptare dati direttamente in immagini. Manca però di funzioni avanzate o algoritmi aggiornati, il che lo rende più adatto a chi ha bisogno di uno strumento immediato e poco impegnativo.
I consigli dell’avvocato: cosa rischio se uso la steganografia in azienda?
L’uso della steganografia in ambito aziendale non è di per sé illecito, ma deve essere oggetto di un’attenta valutazione ex ante.
Il rischio maggiore deriva dalla mancanza di tracciabilità. In un contenzioso, l’azienda che abbia usato la steganografia senza aver previsto una procedura formalizzata potrebbe trovarsi in seria difficoltà a dimostrare che quel dato, apparentemente assente, era stato gestito lecitamente. Pensiamo a un caso di ispezione dell’autorità giudiziaria o a un procedimento di responsabilità ex D.lgs. n. 231/2001: se venisse rinvenuto un file contenente dati sensibili nascosti in un’immagine o in un PDF, la mancata annotazione nei log o nella documentazione interna potrebbe essere interpretata come volontà di occultamento.
Un altro fronte è quello della difesa in giudizio in caso di attacco steganografico. Le aziende vittime di un attacco in cui il malware sia stato veicolato tramite file steganografati devono poter dimostrare di aver adottato misure di prevenzione adeguate. Se il malware riesce a infiltrarsi perché l’azienda non ha previsto sistemi di rilevamento per file manipolati, l’assicurazione cyber potrebbe opporsi alla copertura. Per questo motivo, la steganografia in azienda non va mai improvvisata. Serve un protocollo interno codificato, sottoposto a validazione legale e aggiornato. L’uso di strumenti steganografici deve essere previsto nelle policy IT, inserito nel registro dei trattamenti se coinvolge dati personali e tracciato con sistemi che ne consentano la dimostrazione.
Può essere utile associare ogni uso della steganografia a una valutazione d’impatto (DPIA) quando vi siano implicazioni sulla riservatezza dei dati. Anche se non sempre obbligatoria, una DPIA ben strutturata può essere una forma di “assicurazione preventiva” in sede di ispezione o contenzioso.
© RIPRODUZIONE RISERVATA
