Carlo Simonelli

Note biografiche

Cominciai a lavorare con i computer nel 1989, come disegnatore su sistemi CAD, per Bonifica, una società del gruppo IRI Italstat. All’epoca, nessuno degli architetti della vecchia guardia voleva lavorare con i computer, perché li ritenevano apparecchi da segretaria, ma a me piacevano e pensavo che potesse essere un buon investimento per il futuro. Quando scoprii che, programmandoli adeguatamente, i computer potevano lavorare al posto mio, cominciai a interessarmi al linguaggio C e alla gestione delle basi di dati. Era il momento in cui tutti si stavano buttando sulla neonata grafica 3D, ma anche se questa sarebbe stata un’attività più affine ai miei studi, pensai che fosse più prudente imparare qualcosa di complicato che nessuno vuole fare (le basi di dati, appunto), piuttosto che qualcosa di divertente che vogliono fare tutti. Avevo ragione, ma non me ne accorsi subito, perché di lì a breve, Tangentopoli e la crisi dei primi anni ’90 misero fine all’epoca d’oro delle Partecipazioni Statali e al mio lavoro.

Disoccupato, decisi di applicare a me stesso un principio della gestione industriale: quando non c’è lavoro, investire nello sviluppo; cominciai perciò a studiare il C++ e me ne innamorai al punto che, nel 1995 pubblicai un manuale di programmazione in C++ e tenni dei corsi di programmazione per la Regione Lazio. Sempre in quel periodo, iniziai la mia collaborazione con il reparto Ricerca e Sviluppo della Sistemi Informativi. Si cominciava già a parlare di Internet, ma, inizialmente, io feci lo stesso errore di valutazione degli architetti di Bonifica e la snobbai, ritenendola una cosa un po’ effeminata (sembrava che l’unica cosa importante, in un sito Web, fossero le immagini e il colore dei caratteri..), ma quando, nel 1997, realizzai il mio primo sistema gestionale Web-based, mi accorsi di essere in errore e che, anzi, Internet era la logica conclusione del mio percorso formativo: un sito Web è composto di tre elementi: dati, codice e grafica e io avevo una buona esperienza in ciascuno di questi àmbiti.

Lasciai la Sistemi Informativi alla fine del 1999 e, nei primi giorni del nuovo anno, mi trasferii sull’isola di Ventotene. Fu indubbiamente una scelta romantica, ma anche pratica, perché, all’epoca, vivere a Ventotene era molto più economico che vivere a Roma. Comunque, lavorare su un’isola, lontano dai miei committenti mi ha insegnato a formalizzare il processo di lavoro e, soprattutto, mi ha insegnato che formalizzare il processo di lavoro conviene; sia a te che al cliente.

Nell’estate del 2000 tornai a Roma in piena New-Economy e fui ingaggiato come responsabile dei sistemi informativi di Agorà Sistemi, la società che gestiva i sistemi IT di Agorà Telematica. I dieci mesi del mio incarico in Agorà sono stati estremamente proficui da un punto di vista professionale: insieme a un gruppo di personaggi decisamente peculiari, ma dalle ottime competenze professionali, collaborammo alla transizione dell’azienda dalla dimensione semi-amatoriale che aveva caratterizzato i suoi primi anni di vita a quella industriale che ha tutt’ora.

Esplosa la bolla della New-Economy, nell’estate del 2001 tornai sull’Isola di Ventotene dove cominciai a studiare il sistema operativo Linux (Debian, inizialmente, poi Slackware) e Mac OS. Rientrai a Roma l’11 settembre 2001; sapemmo dell’attacco mentre eravamo sul traghetto che ci riportava a Formia. Nel dicembre del 2001 realizzai il mio primo sistema di commercio elettronico e poco tempo dopo realizzai un sito Web per la vendita di DVD. La (relativa) notorietà del sito e il tipo di prodotto commercializzato lo rendevano un bersaglio appetibile per diversi tipi di attacco: dal DoS all’inserimento di link a siti malevoli nei commenti ai prodotti; fu da questa necessità, che nacque il mio interesse per le problematiche relative alla sicurezza applicativa.

Nel 2003, insieme a due amici, fondai la SDC (acronimo di: “Sistemi Di Computer”), una società specializzata nell’integrazione di sistemi, ma nel 2005 ci trovammo in disaccordo sulla gestione del lavoro e preferimmo preservare la nostra amicizia separandoci professionalmente. Il 2006 fu un altro anno negativo e, come avvenne nel ’93, “ebbi modo” di dedicare molto del mio tempo alla ricerca. Per assecondare la stessa innata pigrizia che, anni addietro, mi aveva fatto muovere i primi passi nel mondo della programmazione, sviluppai Modella! un sistema di prototipizzazione che, a partire da uno schema dati SQL, permette di generare il codice PHP sicuro necessario alla sua gestione all’interno di un sistema Web. Con questo sistema di prototipizzazione, che consente di produrre codice con alti standard di sicurezza riducendo i tempi di realizzazione del software, ho realizzato alcuni siti Web di commercio elettronico, un sistema di gestione documentale, un sistema di gestione del magazzino per il Consiglio Regionale del Lazio e il sistema di gestione delle istanze per il CORECOM del Lazio. Lo stesso sistema di prototipizzazione è stato utilizzato anche per realizzare Seguro!, un sistema Web per la gestione delle verifiche di sicurezza applicativa. Opportunamente modificato per adattarsi alla gerarchia dell’Istituto, Seguro! è utilizzato dal gruppo di Sicurezza Applicativa di INAIL per gestire l’intero processo di verifica e correzione delle applicazioni.

Nei primi mesi del 2008 entrai a far parte del gruppo di Sicurezza Applicativa dell’INPS e, dal Maggio 2008 al Maggio 2013, sono stato il coordinatore del gruppo di Sicurezza Applicativa dell’INAIL. Con il mio gruppo abbiamo eseguito penetration-testsulle applicazioni dell’Istituto, abbiamo collaborato con il CERT all’analisi degli allarmi e abbiamo svolto un’attività di formazione sul personale INAIL e sui gruppi di sviluppo delle ditte esterne per sensibilizzarli e aggiornarli sulle problematiche relative alla sicurezza dei sistemi Web. Abbiamo redatto le linee-guida per la programmazione di sistemi Web sicuri, le linee-guida per la sicurezza dei Web-service e abbiamo collaborato con i gruppi di sviluppo sia nella fase di analisi dei sistemi – per far sì che fossero previste le misure minime di sicurezza -, sia nella fase dello sviluppo del codice, eseguendo delle sessione di code-review.

Nella prima metà del 2016 ho realizzato la nuova versione del quotidiano on-line Globalist.it; all’inizio del 2017 abbiamo espanso il sistema per consentire la pubblicazione parallela di più testate giornalistiche. Al momento, la syndication Globalist comprende quattordici testate, fra il sito di divulgazione dell’Agenzia Spaziale Italiana. Nel mese di Maggio 2019 abbiamo avuto 1.172.122 utenti singoli per un totale di 2.372.473 visualizzazioni di pagina.

Dalla fine di Luglio 2019, collaboro come Security Architect con il gruppo di sicurezza di Consip.