La cybersicurezza e i dati (in)sensibili

Se ne parla molto, anche tanto, ma vorrei ora partire semplicemente dal significato del termine, la digitalizzazione, ovvero il processo di conversione che, applicato alla misurazione di un fenomeno fisico, ne determina il passaggio dal campo dei valori continui a quello dei valori discreti. Tale processo viene oggi comunemente sintetizzato nei termini di passaggio dall’analogico al digitale nell’audio, video, immagini e testo.

Nel campo strettamente informatico, la digitalizzazione è intesa quale processo di trasformazione di un’immagine, di un suono, di un documento in un formato digitale, interpretabile da un computer, dove per formato digitale si intende un codice binario in cui tutto è rappresentato da combinazioni di zero o uno, quindi da stati del tipo acceso/spento.

Fatta questa premessa è necessario ricordare che ha riguardato un enorme ventaglio di attività umane: pensiamo a quella sanitaria, lavorativa, scolastica, ambientale, energetica o alla Pubblica amministrazione e, ad esempio ai suoi innumerevoli archivi.

Nonostante i buoni propositi di investimenti costanti in nuove tecnologie volti ad una capillare digitalizzazione, questa è ben lontana dall’interessare tutto il territorio nazionale.

In ampie zone del nostro Paese, infatti, non arriva né la banda larga né la fibra ottica e se coniughiamo questo con la scarsa diffusione di formazione e competenze digitali, sia di base che avanzate, ecco che l’ostacolo sulla strada di una compiuta digitalizzazione diventa sempre più insormontabile.

Lo ripetiamo, l’Italia digitale è, come in molti altri ambiti, letteralmente divisa in due. Da una parte c’è la Sicilia, che sulla banda larga fa appena un po’ meglio della Bulgaria, dall’altra ci sono la provincia autonoma di Trento, la Lombardia, il Veneto o il Friuli Venezia Giulia che su internet navigano al livello di città come Madrid, Vienna o Barcellona. In pratica anche l’Italia 3.0, quella dello smart working durante il Coronavirus e oltre, del cash back e dell’e-learning, viaggia a velocità diverse.

Tutto questo si riflette in Europa dove, purtroppo, il nostro Paese si trova in coda alla classifica degli altri Paesi, oscillando tra la quartultima e terzultima posizione dell’Europa dei ventotto stati membri. Secondo lo studio e gli indicatori del Digital Economy and Society Index 2020, i punti di debolezza dell’Italia si ravvisano proprio sul fronte del capitale umano, ossia la disponibilità di competenze digitali e dell’integrazione delle tecnologie digitali nei processi organizzativi e produttivi. Saremo dunque ancora lontani dalla famigerata maturità digitale, fino a quando gli sforzi per amalgamare questi aspetti non saranno seriamente considerati elemento culturale.

C’è da dire, tuttavia, che negli ultimi anni l’Italia ha fatto molti progressi sotto il profilo della connettività: l’avvento del 5G ha dato un impulso senza precedenti, e la speranza è che possa essere sfruttato anche per raggiungere le zone del paese tuttora prive di una connessione veloce e affidabile. Poi ci sono progetti del Pnrr e le risorse dedicate al settore ma tutto questo deve avere conferma nella fattibilità degli stessi e nella loro reale esecuzione.

Ad oggi è opportuno segnalare che, l’utilizzo di internet è prevalentemente legato ad attività ludiche (fruizione di videoclip, musica, news e videogiochi) ed al commercio on line.

Dunque, al di là del diffuso utilizzo di smartphone e social media, il ricorso a clouding, iOT, big data, telemedicina, realtà simulata, long term forecasting, simulazioni ed altre attività in grado di sfruttare a pieno le potenzialità delle nuove tecnologie, resta molto limitato.

Nella Pubblica amministrazione vi è moltissimo da fare. È ancora troppo evidente il gap tra gli sforzi messi in campo ora, seppur tardivamente, e l’impossibilità pratica di velocizzare tanti servizi utili alla cittadinanza.

Vi sono in essere programmi d’incentivazione messi a punto dal Mise, quali Impresa 4.0, Transizione 4.0 e Impresa 4.0Plus, che attribuiscono alle procedure amministrative gestite dalla burocrazia pubblica un peso decisivo per accelerare la trasformazione del sistema produttivo del Paese ma c’è ancora molta strada da fare.

Volendo poi discutere di dematerializzazione cartacea per quanto riguarda documentazione e archivi, è facile intuire che questo processo si debba necessariamente accompagnare ad una rimodulazione di tutti i processi coinvolti ed è su questo punto che, ci si scontra con una mentalità culturale tutta analogica. Questo è il vero scoglio della pubblica amministrazione.

Internet, digitale e sicurezza, i tre temi che devono assolutamente coincidere

Quando ci affidiamo alle “macchine” e all’intangibilità delle reti, è vitale predisporre una valida e potente politica di sicurezza affinché il digitale non diventi prateria sulle quali imperversa la criminalità in ogni sua forma.

In Italia la casistica, in nome del famoso detto “fatta la legge, trovato l’inganno” è sempre più varia e, per certi aspetti colmi di ironia, interessante.

È successo che a Milano, per il lauto compenso 5 mila euro, fosse possibile procurarsi illegalmente le generalità di alcune donne, per lo più all’oscuro (ma molte volte vi è stato costruito un vero e proprio business), per farle figurare partner in matrimoni misti ai fini di regolarizzazione di cittadinanza in tutta fretta nei vari comuni. Ecco dunque il fenomeno delle spose digitalmente clonate.

Le frodi riguardanti le carte di credito poi, si arricchiscono di modalità diversificate.

Una prima versione semplice in cui, acquistando via telefono o via web, è sufficiente fornire il numero della carta e la data di scadenza per addebitare la spesa sul conto di malcapitati intestatari. Laddove invece fosse necessaria fisicamente la carta di credito, ecco pronta una raffinata rielaborazione: gli specialisti della truffa sono in grado copiare la banda magnetica su una carta vergine (le cosiddette “White Card”) per poi utilizzarla sino a quando non arriva il primo estratto conto sospetto.

La possibilità di manomettere il digitale per creare identità fittizie o mettere in atto dei furti di dati identificativi, permette facilmente di aprire linee telefoniche a nome di ignari che si vedranno poi recapitare bollette salate o, ancora, in ambito assicurativo ed automobilistico, consente ai malviventi di immatricolare vetture a nome di qualcun altro, cui spetteranno i diversi oneri di regolarizzazione sanzionatoria.

Poi vi è il più classico dei casi di frode fiscale via Internet, anche noto come “phishing”.

È quello che ha colpito i siti di molte aziende pubbliche e private o per esempio Banco Poste, dove con una falsa e-mail si chiedeva ai correntisti di accedere alla homepage del sito e controllare i propri dati, in realtà il link indicato nascondeva un portale pirata gestito dalla Croazia.

Si va da truffe con le carte di credito clonate e quelle on line, fino alle frodi legate all’ home banking”, cioè la gestione via internet del proprio conto corrente, e al già citato “phishing”, che consiste appunto, nell’appropriarsi dell’“identità bancaria” di un correntista effettuando operazioni a proprio favore.

Tra le frodi on line più diffuse sono quelle attraverso specifiche finestre che fanno comparire nei siti ufficiali delle banche, richiedono, mediante la compilazione di specifici moduli, tutte le coordinate e le relative password del correntista ed ecco fatto, si impossessano dell’identità bancaria ed effettuano liberamente bonifici bancari.
Anche per i reati nel campo della telefonia, sia fissa che mobile, la tendenza è in costante crescita. Una tecnica molto in voga è quella dell’ ”sms esca” dove si annuncia una vincita. Imperversano e purtroppo da mesi, sms da finti “Inps” o “Regione Lazio” o “Ministero del Lavoro” che annunciano la vincita di una somma per ritirare la quale bisogna chiamare un certo numero o cliccare su un link. Ovviamente non esiste nessuna somma da ritirare e la vittima pagherà un conto salato per quella telefonata. In aumento sono anche le ricariche telefoniche clonate dagli hacker da appositi software.

Nel nostro Paese si può parlare di vero e proprio boom di reati tecnologici. A testimoniarlo è il bilancio negli ultimi anni, dell’attività del CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale che monitora e contrasta, tra le altre attività criminose, l’antiterrorismo online, carte di credito e bancomat, cyberstalking, cyberbullismo. e-commerce, pedofilia online, social network, money muling, diritto d’autore, hacking. I dati sono allarmanti, nel solo 2021 il Cnaipic ha gestito 5.434 attacchi informatici significativi, una media di 15 al giorno, ai danni di servizi informatici di sistemi istituzionali, infrastrutture critiche informatizzate di interesse nazionale, infrastrutture sensibili di interesse regionale, grandi imprese; 110.524 gli alert di sicurezza riferibili a minacce per sistemi informatici/telematici oggetto di tutela del Centro e 60 le richieste di cooperazione arrivate nell’ambito della Rete 24-7 “High Tech Crime” del G7. Secondo il report delle attività della Polizia postale nello stesso anno le indagini avviate dal Centro e dai Compartimenti hanno portato alla denuncia di 187 persone per accesso abusivo e danneggiamento di sistemi informatici afferenti sistemi critici o servizi essenziali, diffusione di malware, trattamento illecito di dati su larga scala. In tempi di pandemia, un’attenzione particolare è stata dedicata alla lotta a falsificazione e commercializzazione di green pass illegali, sia sul clear che sul dark web.

Forte incremento nel corso del 2021 dei reati di sfruttamento sessuale dei minori e di adescamento online: sono stati eseguiti 137 arresti (+98,5% rispetto ai 69 dell’anno precedente e +127% rispetto al 2019, pre pandemia) e indagate 1.400 persone (+17,1%, erano state 1.192 nel 2020).

I casi complessivamente trattati dal Cncpo (Centro nazionale per il contrasto della pedopornografia online, sono stati 5.515 (il 70% in più rispetto all’anno precedente e il 295% in più rispetto al 2019): le perquisizioni eseguite nel 2021 sono state oltre 1.400, l’87% in più dell’anno prima; 280.106 (+30,2%) i Gb di materiale sequestrato. Sul fronte della prevenzione, sono stati monitorati oltre 29 mila siti web, 2.539 dei quali, risultati di carattere pedopornografico, sono stati oscurati mediante l’inserimento nella black list istituita ai sensi della legge 38/2006. Nell’ambito dei reati contro la persona commessi sempre attraverso la rete, rilevante e’ l’aumento dei fenomeni di sextortion (984, il 54% in piu’ rispetto al 2020) e revenge porn (225, il 78% in più) con oltre 500 casi trattati e 190 autori di reato denunciati. In crescita (+23%) anche i reati di stalking. Nel complesso per reati contro la persona commessi sul web sono state deferite all’autorità giudiziaria oltre 1.400 persone.

Altro capitolo, da tempo oggetto di nostre riflessioni, è il “Financial cybercrime”. Secondo il bilancio della Polizia postale nel 2021 si sono registrati ben 126 attacchi informatici ai sistemi finanziari di grandi e medie imprese, per un ammontare complessivo di oltre 36 milioni di euro sottratti illecitamente mediante complesse frodi telematiche; 17 di questi milioni sono stati recuperati proprio grazie al tempestivo intervento della Polizia postale. Secondo gli investigatori, “gli attacchi al mondo dell’impresa mediante frodi basate su tecniche di social engineering risultano particolarmente condizionati dalla pandemia in corso, soprattutto per l’utilizzo diffuso di sistemi di comunicazione per la gestione economica da remoto, conseguenti all’adozione su larga scala di processi di smart-working”. E in merito ai fenomeni di phishing, smishing e vishing – tecniche utilizzate per carpire illecitamente dati personali e bancari – si rileva un sensibile aumento dei casi trattati dalla Specialità (+27%) per un totale di oltre 18 mila reati di furto di credenziali per accesso ai sistemi di home banking, di numeri di carte di credito, di chiavi private di wallet di cryptovalute: 781 le persone denunciate.

Capitolo a parte ma sicuramente quello più pericoloso e devastante sono i rischi che corrono le infrastrutture pubbliche e private, se la digitalizzazione non viene adeguatamente protetta.

Non possiamo far finta di non sapere che oramai con un semplice click è possibile produrre rischi concreti, si può destabilizzare un sito energetico, nucleare, il sistema dei trasporti pubblici, interrompere le trasmissioni di un satellite, compromettere la distribuzione elettrica e idrica nazionale o, è successo, manipolare anche i dati di una consultazione elettorale.

La sicurezza dei dati da sempre si misura nel tramite di tre direzioni, la riservatezza (ovvero la proprietà per la quale solo le persone autorizzate possono accedere ai dati), la disponibilità (la proprietà per la quale il dato è utilizzabile quando necessario) e l’integrità (la proprietà per la quale solo le persone autorizzate possono modificare i dati).
Si ha un problema di privacy quando un attore malevolo vuole attaccare dei dati, inficiando quindi, in qualsiasi modo, uno dei tre parametri che ne definiscono la sicurezza, custoditi e gestiti da una parte ma proprietà di un’altra parte. Se viene dunque attaccato un sistema che tratta dati di terzi, la privacy di questi dati viene di sicuro messa in pericolo.

Non ci stancheremo mai di ripetere che è essenziale un’alfabetizzazione estesa dell’uso del web. Stiamo vivendo un periodo pericolosissimo a livello di tenuta collettiva, sociale e sottovalutare questo mutamento epocale può essere devastante: credere che bastino solo slogan o dire di voler fare una cosa e data per fatta quando questo non è, credere inoltre di essere al centro dell’universo attraverso la rete, considerare questa come la fonte principale delle nostre competenze è illusorio, non corrisponde al vero e, soprattutto, crea dannose fake news e una pericolosa incompetenza diffusa capillarmente e nei più svariati campi.

Vi è bisogno quindi anche e, aggiungerei, soprattutto in questo settore, di visione del futuro, non sprecare assolutamente i fondi dedicati dal Next Generation EU, quindi è, un’opportunità unica per far progettare, nel Recovery plan, a professionisti ed esperti, soluzioni da finanziare e non semplicemente fare un elenco di buoni propositi senza chiare e certe finalità di sviluppo ad ampio raggio e per lungo tempo. Non creare ennesimi carrozzoni pubblici autoreferenziali ma investire realmente sullo sviluppo delle competenze e delle professionalità, altrimenti, mentre si parla, parla parla.. di questi temi perché ” fa figo” ed è, ora, molto di moda, qualcun’altro continua indisturbato a penetrare i siti web, oggi per compiere anche atti dimostrativi ma un domani per attacchi ben più seri per la tenuta collettiva, civile e democratica del nostro Paese che poi non è altro che, semplicemente, la tanto decantata, anche in questo caso, ma soprattutto da profani, sicurezza nazionale.