Lo stato dell’arte della digitalizzazione e della sicurezza informatica

di Roberto Murenec

La digitalizzazione ha pervaso, ormai, la vita quotidiana di tutti, da casa al lavoro. Basti pensare che l’evoluzione dell’uso della Rete internet, amplificata ancor di più sia dall’avvento del 5G che dallo sviluppo dell’Intelligenza Artificiale (AI), ha fatto sì che gli oggetti (le “cose¹”) possono rendersi riconoscibili e acquisire intelligenza grazie al fatto di poter comunicare dati su sé stessi e accedere ad informazioni aggregate da parte di altri. Non ci sono più solo i computer e gli apparati Smartphone ad essere coinvolti in questo processo di digitalizzazione attiva, ma tutti quegli apparati che rientrano nell’Internet of Things (IoT): sono ormai connessi alla Rete automobili, telecamere per il controllo degli accessi nelle case, elettrodomestici, robot delle linee di montaggio, piattaforme che governano la micrologistica cittadina, le macchine per le analisi mediche e i mezzi di comunicazione in genere. La protezione di questi elementi genera uno spazio che costituisce un perimetro di sicurezza nazionale – così definito dal Decreto Legge 21 settembre 2019 n. 105 convertito e modificato dalla Legge 18 novembre 2019, n. 133–, che prende il nome di “cybersecurity” e che dovrebbe tendere a garantire l’integrità, la disponibilità e la riservatezza degli elementi che lo compongono.  
In pratica, viviamo nell’”Era dei dati”, autonomi e facilmente accessibili da qualunque dispositivo connesso, che favorisce lo sviluppo di servizi ai cittadini e suggerisce nuovi modelli di business per le imprese, creando contestualmente sempre più nuove opportunità lavorative. Ma accanto a questi aspetti positivi ve ne sono altri più critici: la facilità con cui scambiamo informazioni, memorizziamo indirizzi, navighiamo nei cloud o sul web² può farci dimenticare la vulnerabilità dei nostri comportamenti, mettendoci alla mercé degli hacker. Inoltre, a contribuire ad accrescere lo sviluppo di questo sistema digitale, va anche ricordata la continua evoluzione dei servizi bancari on line e degli strumenti di pagamento, la quale se da un lato ha rappresentato una notevole opportunità per gli operatori economici di tutto il mondo, dall’altro ha costituito un fattore di attrazione per gli interessi della criminalità con conseguenti ripercussioni anche sul versante della sicurezza.
Pariteticamente, in tutto il mondo, e quindi anche in Italia, negli ultimi anni si sta assistendo, sempre in modo più preponderante, ad una escalation di attacchi cyber e di crimini informatici a tutto campo, tanto da rendere “chiunque” il potenziale bersaglio, senza distinzione alcuna.
I danni derivanti dalle diverse “truffe” perpetrate nel mondo della Rete è stato oggetto di numerosi studi e approfondimenti ed una delle prime organizzazioni ad essersene occupata, in tal senso, è stata la Federal Bureau of Investigation (nota come FBI). L’attenzione, sempre più attenta, verso questa fenomenologia criminale digitale ha portato la predetta Agenzia governativa di intelligence e di sicurezza interna degli Stati Uniti d’America, se non la più importante, a creare, in data 8 maggio 2000, una banca dati affidabile e conveniente denominata Internet Crime Complaint Center (IC3³), inizialmente chiamata Internet Fraud Complaint Center o IFCC, con l’obiettivo di raccogliere i dati provenienti dalle denunce delle singole vittime e contestualmente analizzarli e condividerli per scopi investigativi e di intelligence per le forze dell’ordine, e per accrescere la consapevolezza pubblica, in modo da sviluppare alleanze efficaci con i partner del settore.
Analogamente a quanto avvenuto negli Stati Uniti il fenomeno dei cyber attacchi è stato oggetto di studi anche a livello europeo e tale resoconto viene pubblicato semestralmente in una relazione redatta da parte dell’Agenzia dell’Unione Europea per la Cybersicurezza (cd. ENISA⁴), istituzione deputata a creare le condizioni per un elevato livello comune di sicurezza informatica in tutta Europa.
Guardando al nostro Paese, le minacce informatiche, evidenziate anche nel recente rapporto Clusit 2021⁵ sulla ICT stilato dall’Associazione Italiana per la Sicurezza Informatica, nel fare una panoramica degli eventi di cyber-crime più significativi avvenuti a livello globale nel 2020, confrontandoli con i dati raccolti negli ultimi 4 anni precedenti, ha posto in evidenza che gli attacchi nel nostro Paese hanno registrato oltre 36 milioni di cyberattacchi su un panel di oltre 6,5 milioni di indirizzi IP pubblici. Trattasi di un incremento di attacchi diretti al patrimonio personale dei cittadini, al tessuto economico-produttivo del Paese – l’ultimo in ordine di tempo è l’attacco hacker al “re del piumino imbottito” Moncler – alla regolarità dei servizi pubblici essenziali, al mondo delle professioni, fino alla sicurezza e alla libertà personale di adulti e ragazzi con ingenti danni al Pil non solo nazionale ma addirittura mondiale e con potenziali riflessi profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica. In questo fenomeno globale, mi verrebbe da dire che il nostro bel Paese, più che preparato ad affrontarlo, negli ultimi tempi ha preso maggior coscienza sia dell’importanza che dell’elevato rischio del fenomeno. Pertanto, la nostra Nazione è in fase “work in progress”, ossia si sta preparando agendo sia sotto un profilo “macro” che “micro” organizzativo.
Che le istituzioni, tanto a livello europeo quanto a livello nazionale, abbiano capito la portata del pericolo è indubbio, basti pensare che, oltre allo spirito legislativo intrapreso, già all’indomani degli eventi che hanno colpito Madrid nel marzo del 2004 e Londra nel luglio dell’anno successivo, laddove una serie di attacchi terroristici, di matrice islamica, furono compiuti per colpire il sistema dei trasporti pubblici locali e gli utenti del servizio, è stata istituita proprio la predetta ENISA, acronimo di European Network Information Security Agency cui è stato affidato il compito di “assicurare un alto ed efficace livello di sicurezza delle reti e dell’informazione nell’ambito della Comunità e di sviluppare una cultura in materia di sicurezza delle reti e dell’informazione“.
A livello nazionale, bisogna risalire appena al 2012, quando la Presidenza del Consiglio dei Ministri aveva costituito il Gruppo di Studio per la sicurezza dell’utilizzo dello spazio cibernetico con il compito, tra l’altro, di formulare una proposta organizzativa per coordinare e integrare le strutture che in Italia si occupavano di difesa da minacce di natura informatica, in relazione anche alla protezione delle Infrastrutture Critiche Nazionali. A fianco ai provvedimenti emanati, a partire dal DPCM 24 gennaio 2013⁶, fino ad arrivare ad uno dei più importanti in ordine di tempo, ossia la Legge n. 109 del 04 agosto 2021⁷, tesi a recepire ed a regolamentare la materia “sicurezza”, sono costituiti organi specifici, a dimostrazione che tale problematica non viene più sottovalutata. Ne è riprova la recente istituzione dell’Agenzia per la Cybersicurezza Nazionale (ACN), ritenuta (ai più) una delle più snelle strutture organizzative e funzionali presenti nel panorama europeo; oppure la recente riorganizzazione del Viminale, anche in termini di personale, che ha portato al riassetto dell’intero Dipartimento per la Sicurezza Pubblica con l’istituzione della Direzione Centrale per la polizia scientifica e la sicurezza cibernetica senza dimenticare i vari Nuclei Specializzati o le Unità Computer Forensics delle diverse FF.OO. dislocate capillarmente sul territorio. In parte tali risorse sono già presenti ed in parte saranno necessarie nuove assunzioni, ovvero sarà opportuno ricercare nuove risorse preparate in materia, che siano in grado di avere quelle competenze tecnico-giuridiche da poter inserire nei “ranghi” istituzionali per garantire quell’approccio di “sicurezza” e di “resilienza” informatica che tutto il contesto globale richiede. Ma non basta!
Per rendere più sicura l’intera società digitale appare verosimile agire, partendo soprattutto dal basso, tenendo presenti due aspetti: quello degli “investimenti in sicurezza”, non solo in termini di prevenzione ma anche in termini di previsione di adeguati piani di risposta agli incidenti informatici da parte delle imprese di grandi, medie e piccole dimensioni, che debbono prevedere a loro volta interventi di adeguamento alle norme del GDPR⁸, e quello del “fattore umano”, agendo su due variabili imprescindibili: la “cyber-consapevolezza” e la “cyber-formazione”. La formazione di cui parlo “dovrà essere veloce, efficace ed efficiente nei contenuti, aggiornata periodicamente e differenziata a seconda dell’utente o del dipendente”. “Il fattore umano – esposto ad attacchi di social engineering – resta un punto di sicurezza molto importante nella filiera della sicurezza dei dati, delle informazioni e delle infrastrutture”. La formazione ed il rispetto delle metodologie preventive consentono di creare in ognuno di noi – comuni cittadini – una maggior consapevolezza dell’esistenza dei rischi derivanti da potenziali attacchi informatici che si traduce anche in una maggior attenzione nei comportamenti ed in una minor sottovalutazione dei rischi stessi.  
In questo scenario, ad aggravare ulteriormente la situazione è stata la pandemia da Covid-19, perché è stata l’occasione per riproporre vecchi raggiri in chiave digitale. Basti pensare che nel corso dell’anno 2020, proprio a partire dalla settimana dell’8 marzo, si è registrato il record negativo degli attacchi informatici generando un impatto sistemico in ogni aspetto della società, della politica, dell’economia e della geopolitica. Il motivo per il quale anche tali tipologie di truffe abbiano trovato terreno fertile è da ricercare nel fatto che l’evento pandemico è un evento eccezionale che porta con sé, e dietro di sé, tutto un suo carico emotivo, che è stato caratterizzato, e lo è ancora per certi versi, da un flusso continuo di nuove informazioni, da un susseguirsi di provvedimenti normativi, di cambiamenti delle modalità di lavoro e delle abitudini sociali. Le frodi basate sul social engineering, pur avendo messo sotto pressione le organizzazioni e gli operatori della sanità in tutto il mondo, tanto da evidenziare che la salute è diventata uno dei settori più critici da proteggere contro gli attacchi informatici, hanno avuto un costante incremento, perché basate su comunicazioni commerciali a distanza. Pertanto, i crimini informatici sono risultati fortemente influenzati dall’epidemia del Covid-19 sia a causa dell’abbassamento delle difese aziendali, determinato dallo stato di difficoltà psicologica o “logistica” di lavoratori e amministratori, sia a causa dell’espansione della superficie di attacco derivante dall’aumento su larga scala di processi di smart-working (cd. lavoro agile), dallo sviluppo della didattica a distanza (cd. DaD) e dallo spostamento delle attività ordinarie online che hanno per certi versi assottigliato quella linea di demarcazione lavoro-privacy. Se per taluni casi alcune tipologie di frodi informatiche sono risultate strettamente collegate al tema Covid, perché relative direttamente a frodi commerciali nell’acquisto di mascherine e dispositivi sanitari; in altri casi i truffatori hanno approfittato dell’emergenza per chiedere fraudolentemente ai fornitori di pagare le fatture scadute ed hanno usato il coronavirus come pretesto per comunicare nuovi dettagli di pagamento alla vittima.
I metodi per condurre un attacco informatico possono essere svariati, in dipendenza delle particolari minacce, rischi e vulnerabilità dei sistemi che si intendono attaccare, così come diverse possono essere le armi o i “cyber weapon”, cioè gli strumenti utilizzati (azioni-minaccia), per porre in essere tali attacchi. Fra quelli che ormai sono entrati nella terminologia di uso comune sono proprio gli attacchi phishing, smishing e vishing, ossia la tipologia di truffa a base di ingegneria sociale (social engineering) più conosciuta e riconosciuta tra tutte le altre. Quest’ultima consiste nel fatto che solitamente un hacker invia un’e-mail – phishing –, un messaggio testuale (SMS) – smishing – o fa una chiamata – vishing – che “spinge/induce” la vittima a collegarsi ad un sito web fraudolento simile a quello originale del fornitore del servizio ed a fornire dati riservati. All’interno di questa pagina web viene posizionato un form o questionario compilabile che inevitabilmente tra i dati richiesti prevede l’inserimento del numero di carta di credito e/o di altre coordinate bancarie.
Altri fenomeni che hanno minato, per certi aspetti, il campo della sicurezza informatica sono le truffe operate con le criptovalute. La crescita di popolarità e le possibilità di guadagno rappresentate dalle monete virtuali negli ultimi tempi hanno attirato sempre più persone, esperti o meno del settore. Innanzitutto è importante sottolineare che la facilità nel tutelarsi dalle frodi varia molto a seconda della tipologia di mercato in cui si opera: direttamente sul criptoasset o utilizzando la piattaforma ETF o ETN in Europa. Nel secondo caso si è maggiormente protetti. Gli ETF (acronimo di Exchange Traded Funds, fondi d’investimento a gestione passiva), permettono agli investitori di comprare quote di fondi di criptovalute in borsa. Gli ETN (Exchange Traded Notes) di fatto si comportano esattamente allo stesso modo, seguendo fedelmente l’andamento degli asset sottostanti, con l’unica differenza che investendo in ETN gli investitori si espongono direttamente al rischio di controparte. Con gli ETF questo non accade, in quando il patrimonio gestito è separato da quello della società e quindi in caso di fallimento non può essere aggredito dai creditori.
Con l’aumento degli investimenti, per effetto della costituzione dei wallet ossia quei portafogli accessibili solo da chi possiede le chiavi pubbliche e private di crittografia, anche gli hacker stanno provando a sfruttare questa tendenza con truffe e malware creati appositamente per le cryptovalute, creando delle piattaforme non affidabili ove scambiare moneta virtuale; creando dei sistemi a cascata, tipo catena di Sant’Antonio, secondo cui chiunque porti un nuovo cliente nel sistema “guadagna” una percentuale sulle vendite di quella determinata persona; o ricorrendo a offerte fraudolente di monete virtuali che poi perdono il proprio potere di acquisto nel tempo; oppure ricorrendo alle truffe ICO, acronimo che sta per Initial Coin Offer, ovvero un’offerta iniziale di una nuova moneta fino a concludere con gli investimenti DAO che potrebbero rivelarsi altamente allettanti, ma altrettanto altamente rischiosi. In pratica, tutti sistemi che rendono difficile l’individuazione dei soggetti e che rendono le transazioni irreversibili, in quanto una volta eseguite non possono essere in alcun modo oggetto di contestazione.
Fermo restando che può succedere a chiunque di incappare in questi tentativi di truffe, se non si è attenti e consapevoli, bisogna evitare di pensare il solito ritornello “Figurati se una cosa del genere può succedere proprio a me”. Pertanto, più che di orrori frequenti, – mi sentirei di dire che – oltre al “pilastro di vita” sopra enunciato, ce ne sono degli altri da tener sempre ben presenti: non rispondere alle e-mail sospette né cliccare sui link presenti nelle mail sospette; non fornire i propri codici personali di accesso a servizi on line; diffidare delle e-mail che chiedono l’inserimento di dati riservati e verificare che l’indirizzo che compare nella barra degli indirizzi cominci con https:// e non con http://; verificare le e-mail provenienti dalla banca; verificare se le mail ricevute contengono errori di ortografia; “diffidare” se riportano istruzioni anomale cui non si era stati informati dal proprio superiore gerarchico; eliminare o impostare preventivamente le impostazioni dei browser affinché non vengano salvati i contenuti della navigazione o le password digitate.
In conclusione, la parola d’ordine che “chiunque” deve tener presente, sempre di più, sia nei rapporti inter-professionali che nei rapporti con l’esterno, è quella di “awareness” ovvero “consapevolezza” del rischio e, quel che è ancora più importante, del non sottovalutarlo. Il contenuto racchiuso all’interno della parola “consapevolezza” è il frutto della complementarietà di tre elementi: informazione – aggiornamento – prevenzione. Questo non significa non far uso dei servizi di home banking o di non fare acquisti/vendite in Rete, ma significa usare delle accortezze, andando dritti all’indirizzo web; verificando la sicurezza della pagina di login, verificando le mail provenienti dall’Istituto di Credito, utilizzando il sistema della doppia autenticazione (OTP) collegandola ad eventuali messaggi di alert, evitando di collegarsi con i propri dispositivi al wi-fi pubblico, se non necessario, controllando frequentemente il proprio account ed il proprio conto corrente bancario e, nel caso di anomalie, disconoscere le operazioni registrate e rivolgersi possibilmente di persona all’istituto di credito ed alle FF.OO. ove sia reputato necessario presentando quella denuncia/querela tesa ad avviare un’attività investigativa o, per lo meno, ad ottenere il risarcimento del danno.

1. Per “cosa” o “oggetto” si può intendere più precisamente categorie quali: dispositivi, apparecchiature, impianti e sistemi, materiali e prodotti tangibili, opere e beni, macchine e attrezzature. Questi oggetti connessi che sono alla base dell’Internet delle cose si definiscono più propriamente smart objects e si contraddistinguono per alcune proprietà o funzionalità. Le più importanti sono identificazione, connessione, localizzazione, capacità di elaborare dati e capacità di interagire con l’ambiente esterno.
   L’obiettivo dell’internet delle cose è far sì che il mondo elettronico tracci una mappa di quello reale, dando un’identità elettronica alle cose e ai luoghi dell’ambiente fisico. Gli oggetti e i luoghi muniti di etichette di identificazione a radio frequenza (Rfid) o Codici QR comunicano informazioni in rete o a dispositivi mobili come i telefoni cellulari.
   I campi di applicabilità sono molteplici: dalle applicazioni industriali (processi produttivi), alla logistica e all’infomobilità, fino all’efficienza energetica, all’assistenza remota e alla tutela ambientale.  ↩︎
2. Roberto Murenec, “Prove digitali a distanza”, in Digital Forensics – Aspetti tecnico-giuridici e operativi sul trattamento dei dati digitali, Egaf Edizioni S.r.l., Forlì, pp. 225 e ss., per approfondimenti sulla struttura della materia presente sul web e sul mondo del cloud. ↩︎
3. Tale Istituzione genera un Report che evidenzia la situazione dell’Internet Crime Report di cui l’ultimo in ordine di tempo è quello presente al link https://www.ic3.gov/Media/PDF/AnnualReport/2020_IC3Report.pdf. ↩︎
4. Istituita nel 2004, con sede a Heraklion (Grecia) ed ufficio ad Atene, e consolidata dal regolamento UE sulla cyber-sicurezza, l’Agenzia dell’Unione europea per la cyber-sicurezza contribuisce alla politica dell’UE in questo campo, aumenta l’affidabilità dei prodotti, dei servizi e dei processi TIC con sistemi di certificazione della cyber-sicurezza, coopera con gli Stati membri e gli organismi dell’UE e aiuta l’Europa a prepararsi per le sfide informatiche di domani. Attraverso lo scambio di conoscenze, lo sviluppo di capacità e la sensibilizzazione, l’Agenzia collabora con i suoi principali portatori di interessi per rafforzare la fiducia nell’economia connessa, aumentare la resilienza delle infrastrutture dell’Unione e, in ultima analisi, garantire la sicurezza digitale della società e dei cittadini europei. Fra le sue attività rientrano:
   – l’organizzazione di esercitazioni di crisi informatiche in tutta Europa;
   – l’assistenza per lo sviluppo di strategie nazionali di sicurezza informatica;
   – la promozione della cooperazione fra le squadre di pronto intervento informatico e lo sviluppo di capacità.
   Maggiori informazioni sull’ENISA e sulle sue attività sono disponibili al seguente indirizzo: http://www.enisa.europa.eu. ↩︎
5. https://clusit.it/rapporto-clusit ↩︎
6. DPCM 24 gennaio 2013 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” pubblicato in Gazzetta Ufficiale n. 66 del 19 marzo 2013. ↩︎
7. Pubblicata in Gazzetta Ufficiale n. 185 del 04 agosto 2021. ↩︎
8. DAMBRUOSO, Il Cyberterrorismo di matrice religiosa, in Cybercrime, a cura di Cadoppi, Canestrari, Manna, Papa, Milano, 2019, p. 201, nell’evidenziare le direttrici della riforma Europea per il futuro della Cybersecurity ha considerato che una di esse è rappresentata proprio dal GDPR, Regolamento Generale dell’Unione Europea sulla Protezione dei Dati n. 679/2016 (c.d. GDPR) che ha trovato applicazione in Italia a far data dal 25/05/2018 e che nelle sue novità ha riguardato, tra l’altro, la disciplina dei casi di violazioni di sicurezza (c.d. Data Breach) che comportano “accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4)”. Nello specifico, tale normativa, ha introdotto parametri di risposta e tracciamento (artt. 33 e 34) volti ad innalzare il livello di attenzione e responsabilizzazione del Titolare del trattamento dei dati, per prevenire e contrastare il verificarsi dei più gravi incidenti di sicurezza informatica e di violazione della privacy. Il nuovo quadro di obblighi e misure – oltre a garantire maggiore cooperazione e scambio di informazioni tra tutte le autorità nazionali ed europee che operano nell’ambito del trattamento dei dati personali in caso di incidenti di sicurezza – tende ad assicurare il coinvolgimento degli interessati nel processo di gestione dei dati personali, con procedure più chiare per la richiesta del consenso e meccanismi di comunicazione obbligatoria in caso di data breach. ↩︎