Nulla di nuovo nell’attacco cyber alla SIAE: solite le modalità, solite le vittime (dati sensibili), solite le debolezze. Sì, le vulnerabilità che in Italia sono conclamate dallo stesso Governo, dopo ripetuti richiami, pur agendo in maniera decisa con la creazione dell’Autorithy sulla Cybersecurity e sullo stanziamento delle risorse del PNRR proprio per il comparto.
Ma gli sforzi privati devono essere ancora maggiori. Non basteranno gli investimenti pubblici, né la sola Agenzia, come qualcuno può erroneamente pensare. Non c’è stata – e forse non è ancora consapevole – una cultura della protezione delle nostre infrastrutture, ripeto sia pubbliche, che societarie e d’impresa, contenenti informazioni strategiche per il Paese e per ogni cittadino.
Ci si è, per così dire, “limitati” alla tutela, fatta egregiamente dalla nostra Difesa e dall’intelligence, di porti e aeroporti, centrali energetiche, imprese pubbliche strategiche.
Il tessuto imprenditoriale – ad esempio, ricordiamolo, esso comprende anche uno studio medico – è privo di sostanziali protezioni. Firmiamo continuamente consensi alla privacy, senza sapere che non c’entra niente con la sicurezza informatica.
Le manleve sul trattamento dei dati personali da parte di chi li raccoglie, nella nostra quotidianità, non proteggono da furti d’identità e ransomware, e l’effetto di un attacco, in termini di rendimento economico e di “indotto”, è assai più esteso (per i criminali) di quanto si possa pensare.
Il dark web, parte nascosta, e soprattutto impenetrabile – se non alle forze dell’ordine e all’intelligence – di internet, pullula di vendite di dati sensibili, oltre che, ovviamente, di armi, droga, esseri umani, organi, immagini porno, oggetti preziosi e di antichità.
Un mercato parallelo, che ha sue “regole”, si fa per dire, consolidate:
- non si paga con monete legali, ma solo con criptovalute;
- non si lasciano dati del compratore, ma solo pseudonimi;
- si viene reindirizzati su siti ombra, mentre spesso quelli che compaiono sono siti “civetta”, che dopo pochi minuti dal contatto del potenziale cliente scompaiono e si riconvertono;
- si fissa un “listino”, per ogni merce, e la concorrenza è aumentata, facendo abbassare di molto i prezzi.
Le identità digitali (estremi di documenti di riconoscimento, codici fiscali, numeri di carte di credito, di conti correnti, dati sensibili sulla salute, sui familiari, sull’attività d’impresa, ecc.) vengono venduti “a pacchetti”, con costi variabili. Prezzi che partono – è una stima che ne possiamo trarre da medie ponderate – dai 10 euro (convertendoli in crypto) ai 50 (le cifre in dollari non sono molto più alte) per un set completo di dati. Il solo numero di una carta di credito costa anche meno.
Reati difficili da arginare, poiché manca – colpevolmente a livello internazionale – un coordinamento legislativo e di forze.
Se parlate con degli investigatori, vi confermano che la ricostruibilità, anche tramite le catene di blocchi, sono limitate. Se si conosce il nome (che potrebbe essere peraltro falso) del titolare del conto in cryptovaluta (sia chiaro, qualche operatore che si affaccia ora al mercato assicura quantomeno l’identificazione iniziale), sarà assai arduo conoscere quelli dei successivi negoziatori e, ovviamente, degli utenti finali dei trasferimenti.
Nel 2020 oltre 14.000 attacchi (noti) in Italia, nel 2021 viaggiamo verso cifre ben più elevate; secondo alcune stime, siamo il quinto paese al mondo più colpito, il secondo per ransomware.
Urge una cornice normativa penale, e nuove regole d’ingaggio si impongono. L’infiltrazione di nostri “hacker” nel dark web, cosa che probabilmente viene già fatta, ma che risulta quanto mai necessaria. Ciò agganciato ad un rilascio – da parte delle Autorità – di protocolli obbligatori per enti e imprese, proprio come si è fatto per i piani anticorruzione. Con un robusto sistema sanzionatorio per chi non si adegua. Sulla cyber non si può più risparmiare.
