Sicurezza

Attacchi cyber, numeri in aumento: «Due richieste di aiuto a settimana»

Alessandro Trivilini, responsabile del Servizio informatica forense della SUPSI, traccia un bilancio del 2023: «Siamo un cantone appetibile e tra i bersagli ci sono anche le amministrazioni comunali» - Tra le novità, la richiesta di pagamento con la criptovaluta Monero
© KEYSTONE / CHRISTIAN BEUTLER
Francesco Pellegrinelli
05.01.2024 06:00

Ma alla fine il riscatto va pagato? Alessandro Trivilini è responsabile del Servizio informatica forense (SIF) della SUPSI. Dopo qualche secondo, ma senza esitazione, attacca : «No, è un’attività criminale che non va alimentata. Pagare un riscatto significa portare nuova linfa a queste organizzazioni».

Eppure il numero degli attacchi informatici in Ticino, nel corso del 2023, è continuato a crescere. «Mediamente al nostro Servizio arrivano due telefonate a settimana da parte di aziende che chiedono aiuto. Alcune dichiarano apertamente di aver subito un attacco; altre preferiscono non specificare. Restano sul vago e chiedono informazioni generiche. Spesso, in queste situazioni, si percepiscono il panico e la sorpresa per essere stati presi di mira».

«Si percepisce la paura»

Sempre più spesso, infatti, tra gli obiettivi della criminalità informatica ci sono proprio le piccole e medie imprese. «Un’azienda ormai deve mettere in conto che, a prescindere dal suo fatturato e dalla sua grandezza, può essere colpita».

Un fenomeno da ricondurre alla crescente digitalizzazione che sta investendo ogni ambito della vita professionale e privata: «Un cantone di frontiera, percepito come ricco e con un importante tessuto economico aziendale, diventa estremamente appetibile per questo tipo di attività criminale», osserva ancora Trivilini. Tanto più che oggi, grazie all’intelligenza artificiale, è possibile condurre attacchi su larga scala colpendo un numero considerevole di aziende. «È un aspetto centrale che ha contribuito a cambiare l’entità del riscatto. Se inizialmente le richieste raggiungevano i 100 mila franchi, oggi questa cifra è scesa notevolmente, rendendo il pagamento economicamente più sostenibile. Grazie all’elevato numero di attacchi, però, il profitto viene garantito ugualmente». Quindi il riscatto va pagato? «Il problema è quando un’azienda o un’istituzione non ha alternative. O paga o perde tutti i dati». Dati che il più delle volte sono fondamentali per il funzionamento. «Di fatto, questi attacchi informatici sono veri e propri sequestri di informazioni riservate. Pensiamo agli ordinativi di un’azienda, alle fatture evase e a quelle ancora da saldare, alla disponibilità delle merci in magazzino e alla loro collocazione logistica». La risposta di Trivilini, dunque, non può essere che interlocutoria: «Occorre prepararsi per evitare di incappare in situazioni simili. Per farlo occorre però agire a livello di prevenzione, fortificando allo stesso tempo le mura digitali delle aziende».

Dal Bitcoin al Monero

C’è poi un secondo elemento di cambiamento che si è manifestato negli ultimi tempi, osserva Trivilini. Sempre più spesso le richieste di riscatto vengono fatte in criptovalute alternative al Bitcoin, come il Monero, una valuta che garantisce minore tracciabilità e quindi maggiore sicurezza all’attività criminale. «Una richiesta di questo tipo pone l’azienda in una situazione di duplice rischio. Sia perché con il monero è praticamente impossibile risalire alla fonte criminale; sia perché si tratta di una criptovaluta non regolamentata dalla FINMA, l’autorità di vigilanza sul mercato finanziario. Pertanto, il rischio di contribuire a operazioni di riciclaggio è grande». Detto altrimenti, la maggiore opacità del sistema di pagamento aumenta i fattori di rischio. Ma chi sono i bersagli principali degli attacchi informatici? Ancora Trivilini: «Sicuramente quelle aziende che non possono tergiversare sul pagamento del riscatto. Aziende attive soprattutto in campo medico, dove i dati sono estremamente sensibili, in quanto toccano la salute e la privacy dei pazienti». Noto, per esempio, l’attacco hacker registrato lo scorso marzo al Santa Chiara. Attacco che tuttavia non avrebbe messo in pericolo i dati dei pazienti della clinica. Stesso discorso per le amministrazioni comunali: «Anche in questo caso ci sono informazioni sensibili, come i dati dei contribuenti, fortemente appetibili in sede di riscatto». Nel 2023 una decina di Comuni si sono rivolti al Servizio informatico forense della SUPSI per chiedere dettagli su come comportarsi dopo un attacco, precisa Trivilini.

Il principio della responsabilità

Come deve comportarsi quindi il professionista vittima di un attacco? Innanzitutto Trivilini ricorda che il primo settembre è entrata in vigore la nuova legge federale sulla protezione dei dati. Legge che impone alle aziende e alle istituzioni di mettere in atto tutte le misure necessarie per evitare un attacco. «Le aziende non possono più dire che "non lo sapevano" o che "non se lo aspettavano"», spiega Trivilini. «La legge sulla protezione dei dati ha introdotto il principio della responsabilità. Principio che obbliga le aziende a fare il necessario affinché dati sensibili non vengano condivisi impropriamente». La privacy va quindi garantita. «Durante il 2023, la sensibilità attorno al tema è cresciuta molto. Le aziende si sono mosse, ma con il freno tirato, forse perché non è ancora stato introdotto l’obbligo di notifica alle autorità inquirenti in caso di attacco». Il numero di attacchi però sta aumentando, aggiunge Trivilini. «Sempre di più, anche in ottica di responsabilità civile, la formazione sarà quindi fondamentale per evitare di incappare in multe».

A chi rivolgersi?

Di fronte a un attacco informatico, la prima autorità da contattare rimane comunque la polizia cantonale, in particolare la Sezione analisi tracce informatiche (SATI). «Bisogna rivolgersi alla polizia cantonale per sporgere denuncia». Allo stesso tempo, il CdA dell’azienda colpita deve avere «un piano di risposta agli eventi», una sorta di documento interno che spiega che cosa fare e come reagire a livello aziendale. Da ultimo occorre rivolgersi a professionisti per ripristinare il sistema di sicurezza informatico, senza dimenticare «l’importanza di una piena consapevolezza dei rischi». Il fenomeno degli attacchi informatici sarà sempre più presente, conclude Trivilini. «È quindi fondamentale che ogni azienda o ente capisca che occorre prepararsi per tempo». Due, in definitiva, le regole da tenere bene a mente: «Uno: la sicurezza assoluta non esiste. Due: è sbagliato pensare di essere al riparo da ogni attacco». Di qui, il concetto di accompagnamento: «La sicurezza informatica è un capitolo che va aggiornato sempre, mese dopo mese».

Un ransomware è un tipo di virus progettato per cifrare i file presenti su un sistema informatico o per bloccare l’accesso al sistema stesso, rendendo così i dati inaccessibili. Gli autori del ransomware chiedono poi un pagamento, di solito in criptovaluta, in cambio della chiave di decrittazione necessaria per ripristinare l’accesso o recuperare i dati. Come funzionano? «A un certo punto, lo schermo di uno o più collaboratori mostra un messaggio di allerta in cui si comunica che i dati sono stati bloccati». Tecnicamente si parla di «cifratura», spiega Trivilini. Il termine "ransomware" deriva dalla combinazione delle parole "ransom" (riscatto) e "software". Gli attacchi ransomware sono spesso veicolati attraverso allegati di posta elettronica malevoli, siti web compromessi o sfruttando vulnerabilità nel software del sistema. Una volta che il malware infetta un dispositivo, avvia il processo di cifratura dei dati, rendendo impossibile la lettura o l'utilizzo degli stessi senza la chiave di decrittazione corretta.