Conoscere per prevenire gli attacchi informatici

La cibercriminalità costituisce la terza entità economica globale, dopo Stati Uniti e Cina, con un «giro d’affari» di 10.500 miliardi di dollari, in crescita esponenziale anno dopo anno. Parola di Stefano Santinelli, esperto del settore e membro del Cda di BancaStato. L’occasione è stata la presentazione di un agile volume dal titolo Cosa fare in caso di…Guida pratica per la gestione di attacchi informatici, realizzato dal Servizio di Informatica forense (SIF) della Supsi in collaborazione con la banca stessa.

Aprendo l’evento Fabrizio Cieslakiewicz, presidente della Direzione generale, ha sottolineato la delicata posizione delle istituzioni finanziarie quali obiettivi prioritari della criminalità informatica, indicando tuttavia come spesso siano soprattutto i comportamenti incauti di clienti e consumatori dei servizi a favorire inconsapevolmente tali incidenti. Lo scopo del volume, di taglio pratico e limitato nell’uso di terminologia tecnica, è proprio quello di favorire la prevenzione presso il largo pubblico e fornire un pratico prontuario di azioni da compiere qualora si fosse finiti nelle maglie dei criminali informatici, o sorga qualche sospetto al riguardo.

Sandro Denicolà, in rappresentanza del team Supsi, guidato da Alessandro Trivilini, responsabile del SIF, che ha realizzato l’opera, ne ha illustrato i contenuti, soffermandosi in particolare sulle buone pratiche di «igiene digitale» ormai necessarie a tutti i livelli, visto l’estendersi delle minacce grazie all’intelligenza artificiale, al telelavoro, all’onnipresenza delle telecamere e di altri media «intelligenti», degli oggetti connessi, oltre all’uso spesso spregiudicato degli smartphone. La cronaca riporta costantemente attacchi ad aziende e istituzioni, in varia forma, dal blocco operativo con richiesta di riscatto al furto di dati e di identità, oltre a svariate altre azioni fraudolente. Ora appaiono nuovi fenomeni, come il phishing non solo legato a testi e immagini ma in grado di imitare la voce, effettuare richieste «plausibili» e ordinare transazioni finanziarie.

Le frodi dilagano e basti pensare che nella sola settimana dal 23 al 30 settembre sono stati annunciati oltre 900 «incidenti». In realtà sono molti di più e le contromisure, quali back-up costanti, l’adozione di password sicure (e cambiate di frequente) e la cautela nell’operare, ad esempio nell’aprire le e-mail di origine incerta, non sempre trovano applicazione.

È stato ribadito come, nelle imprese e nelle istituzioni, la cultura della sicurezza informatica debba essere presente a tutti i livelli e costantemente implementata, tenendo conto che il comparto è ormai oggetto di un’evoluzione continua.

Peraltro la denuncia è importante, sia perché può consentire di accedere agli eventuali risarcimenti da parte delle assicurazioni, sia perché permette agli organismi di sicurezza di bloccare certe procedure a livello internazionale, anche se, come hanno riconosciuto gli esperti, la probabilità di perseguire i responsabili dei crimini rimane bassa. A prescindere dalle difficoltà di ordine tecnico, spesso la «fonte» dell’atto criminale o della malversazione viene da Paesi che non prevedono accordi di estradizione dei colpevoli.

Particolarmente interessante, come ha sottolineato Stefano Santinelli, è il capitolo finale che, con un glossarietto, illustra in linguaggio semplice il significato di termini, sigle e neologismi astrusi per molte persone, ma da conoscere allo scopo di prevenire spiacevoli, e talvolta costose, conseguenze.

Il volumetto, che si suddivide in sette agili capitoli, frutto del bagaglio di conoscenze acquisite in quasi 15 anni di attività del SIF, può essere richiesto gratuitamente a BancaStato.