Cybersecurity, la miglior cura è la prevenzione – Artser

C’erano una volta la cambiale farlocca e l’assegno ballerino (quello che passa di mano in mano in modo poco limpido), mentre oggi ci sono la rete, gli strumenti digitali, il cyberspazio. Con il mutare dei tempi e degli strumenti, a cambiare sono anche le truffe.

Dice Giuseppe Corasaniti, docente di informatica giuridica alla Università Mercatorum di Roma, dove dirige il corso di sicurezza informatica, e alla Luiss Guido Carli, «la sicurezza deve passare dalla prevenzione e si regge solo sulla prevenzione». È il primo consiglio che il magistrato – una vita ed una esperienza professionale dedicata al dialogo efficace tra pubblico e privato – dà alle piccole e medie imprese. Precursore della cultura informatico-giuridica italiana ed europea del cybercrime, dal 1992 al 2003 Corasaniti è stato sostituto procuratore presso la Procura della Repubblica di Roma occupandosi – primo in Italia – di pirateria audiovisiva ed informatica, tutela della privacy, frodi informatiche, accesso abusivo a sistemi informatici e telematici.

Phishing, ransomware, estorsione informatica sono le parole che devono far parte del vocabolario di qualunque impresa. Come affrontare il pericolo? «Facendo leva sul concetto di resilienza (tutta la politica europea sulla cybersicurezza passa da qui) e attuando difese di tipo cooperativo e passivo».

Professore, quali sono le norme che regolano l’attività di cybersicurezza?

Di recente, recepita con il Decreto 138/2024, è entrata in vigore nel nostro paese la direttiva europea NIS 2, che rappresenta un aggiornamento cruciale nella legislazione Ue per quanto riguarda la sicurezza delle reti, anche delle supply chain, e delle informazioni. La NIS 2 introduce alcuni accorgimenti per la gestione della quantità di contatti e clienti registrati, compreso il trattamento dei dati personali. Ciò che già era stato introdotto con la Legge sulla privacy, il GDPR europeo del 2016, applicata però in modo miope e con fortissime difficoltà. Le Pmi non l’hanno mai percepita come una vera opportunità, mentre le Autorità di garanzia l’hanno letta con una retorica pro-privacy (allontanando dal tema molte aziende), o richiedendo adempimenti formali spesso in sovraccarico. Invece, il patrimonio informativo ed economico degli imprenditori va tutelato così come vanno tutelate le aspettative dei consumatori. La sicurezza richiede un impegno comune tra protagonisti diversi e si fonda su un clima di fiducia reciproca e su strumenti di protezione che vanno intesi ed applicati.

La NIS 2 è disegnata sul criterio di sicurezza comune e resilienza: ciò significa che anche le aziende, per acquisire forza, devono condividere esperienze positive e negative.

Quali sono quelle negative?

Quelle che derivano, e si moltiplicano, dalla rete e con la rete. Per questo le normative più recenti sottolineano l’importanza di una formazione sulla cybersicurezza e, almeno nei casi più importanti, anche la individuazione di specifici referenti. Questo accomuna imprese e pubbliche amministrazioni, richiede una mentalità innovativa e critica ma, soprattutto, una attenzione alle dinamiche ed ai fenomeni emergenti che gli imprenditori, grandi e piccoli, hanno da sempre.

Le Pmi come si possono strutturare per affrontare gli attacchi informatici?

Partiamo dagli attacchi più frequenti. Il primo è il phishing: l’impresa riceve mail, o messaggi, da parte di falsi istituti di credito, o assicurazioni, che le chiedono di comunicare password o dati finanziari. A questo si può abbinare lo spamming: rispondere ad un falso messaggio ricevuto con mail può aprire la via, senza rimedio, ad una transazione economica che appare dovuta, ma non lo è. Un’altra frode, normata dalla Legge 90/2024, è quella dell’estorsione informatica. Un fenomeno in crescita che funziona secondo le regole dell’estorsione di matrice mafiosa: l’articolo 629 del Codice Penale, che è stato appena modificato proprio dalla Legge 90/2024, si è concentrato sugli attacchi ransomware, un virus ricevuto dall’esterno che blocca il sistema rendendolo inutilizzabile a meno che non si provveda al suo pagamento, magari in criptovalute.

A tutti gli effetti si tratta di un “pizzo elettronico”: qui non c’è un esattore mafioso fisico, ma un criminale che agisce dall’altro capo del mondo. Quando ci si muove nello spazio virtuale bisogna adottare alcune cautele: per esempio, saper utilizzare piattaforme più sicure e procedere ad un’attenta analisi delle certificazioni, sulle quali l’Italia sta adottando una linea di attenzione preventiva che riguarda, però, soprattutto le grandi imprese. Poi, esistono attività di formazione che possono essere finanziate anche con i fondi del Pnrr: su questo sta lavorando il sistema delle Camere di commercio con progetti specifici di educazione e assistenza.

Contratti di riservatezza, brevetti, proprietà intellettuale: un campo minato?

La tutela contrattuale, purtroppo, in molti casi rischia di essere solo un pezzo di carta. È per questo che si deve tutelare ogni fase della progettazione appoggiandosi ad una supply chain affidabile ed evitando quei passaggi che non sono indispensabili a mettere al sicuro il proprio skill innovativo. La blockchain può essere un buon strumento per validare l’intera filiera, dare una connotazione precisa al prodotto, garantire la sua qualità e renderlo immune da eventuali duplicazioni: garanzie importanti per i clienti e per il Know how dell’imprenditore. Una buona pratica contrattuale è fatta anche da meccanismi di garanzie e da strumenti assicurativi che sappiano far convivere tecnica e strumentazione giuridica.

Come si evitano le truffe?

Ponendo grande attenzione al mondo digitale senza mai sottovalutare i rischi possibili ma, soprattutto, dotandosi di sistemi di prevenzione e di sistemi di protezione dei dispositivi digitali che, in parte, possono identificare le mail sospette: un buon antivirus, aggiornato regolarmente, può svolgere questo compito. Poi, ci sono le difese di tipo passivo: eseguire un backup regolare e quotidiano dei dati è fondamentale così come lo è utilizzare un server di riserva protetto. La difesa è agire in via preventiva e non pagare il riscatto nei casi di ransomware. In ultimo, ci sono gli strumenti delle assicurazioni: alcune coprono i crimini informatici, ma l’impresa deve dimostrare di essere comunque dotata di strumenti di protezione che diminuiscono il rischio. A volte, ad essere dimenticati sono gli strumenti più semplici che, però, potrebbero assicurare un buon livello di protezione. Che, naturalmente, dipende dal genere di prodotti e di servizi prodotti o commercializzati.

Un’impresa, di fronte ad un attacco subito, quali strumenti giuridici ha a sua disposizione?

La truffa online può essere perseguita solo con querela, perciò è indispensabile contattare le forze dell’ordine specializzate e spiegare bene i meccanismi di frode subita cercando di mantenere il sistema a disposizione degli inquirenti. La Polizia delle Comunicazioni è presente in ogni regione italiana con compartimenti molto attrezzati e competenti, ed è la migliore in Europa perché è in grado di affrontare tante frodi diverse nello stesso tempo, è anche all’avanguardia nelle politiche di accertamento, supporta la vittima online. Segnalare un tentativo di truffa aiuta chiunque, mentre se la truffa è già stata consumata meglio non dare false speranze: è difficile immaginare un recupero di ciò che è stato sottratto perché la somma viene subito investita nell’economia criminale attraverso valute digitali. Ecco perché gli imprenditori devono investire sulla sicurezza comune, sulla cooperazione comune e sulla prevenzione. La prevenzione è essenziale come in tutte le forme di sicurezza e dipende da tutte le imprese e da ciascuno di noi. Solo con la prevenzione possiamo fare tesoro di tutte le esperienze positive e negative per trasformarle in una risorsa di crescita e di difesa fondamentale.

Vantaggi e svantaggi della rete?

Tutte le imprese, ormai, sono connesse ad internet. E attraverso la rete – posta elettronica compresa, o messagistiche su più piattaforme digitali – gestiscono e contattano clienti, fornitori, collaboratori e provvedono a ordini, fatture, pagamenti. Poi, molte imprese iniziano a sfruttare, e questo è un aspetto positivo, anche l’e-commerce. Negli anni passati, tutta questa digitalizzazione è stata letta come se fosse in contrasto con la natura dell’artigianato e delle Pmi. È proprio nel digitale, invece, che queste realtà imprenditoriali possono trovare nuove opportunità senza perdere quel contatto umano che le caratterizza. Prima di tutto si deve operare sul piano culturale: tutte queste disposizioni non devono essere vissute come un onere burocratico, e la cybersicurezza dimostra il contrario. Innovazione e sicurezza vanno declinate insieme e si integrano a vicenda creando una base solida per valori comuni e centrali come la privacy, o la disponibilità di dati che saranno sempre più strategici per le piattaforme di intelligenza artificiale. Il digitale deve essere visto e vissuto come fattore di crescita e non come un fattore di turbamento dell’economia.

Cybersicurezza e crisis management?

Il criminale informatico – che spesso e sempre di più agisce su commissione e con organizzazioni sempre più sofisticate dotate di strumenti avanzati e presenti a livello transnazionale – sceglie accuratamente la vittima o il tipo di vittima, spesso grandi player, per poter sottrarre dati sensibili – per esempio quelli di accesso al conto corrente – che permettono di estorcere anche grosse cifre. Ma anche la duplicazione dei dati delle carte di credito è una truffa ricorrente. In entrambi i casi le banche sono intervenute con tecniche di autenticazione del cliente sempre più dettagliate (password temporanee o identificazione biometrica) e sistemi di doppia autenticazione. Comunque, dobbiamo considerare la sicurezza informatica come una condizione che non si può comprare, al pari di quella stradale: pratichiamola ogni giorno per aiutare anche gli altri ad evitare situazioni pericolose. A seconda del livello di protezione informatica richiesto possiamo immaginare differenti forme e gradi di protezione: per questo è importante una sensibilizzazione ed una azione cooperativa e continua.

Quanto contano, nelle Pmi, la gestione del fattore umano e le policy comportamentali?

Le policy devono essere ben definite in base alla dimensione aziendale. Punto primo: bisogna educare dirigenti e collaboratori. Nelle imprese più piccole è un compito abbastanza semplice, mentre in quelle con centinaia o migliaia di dipendenti è tutto più complicato. Punto secondo: il problema è che una volta acquistato un computer, o magari un abbonamento ad un software o ad un servizio on line di sicurezza, si pensa sia tutto a posto e che il problema sia risolto. È la stessa cosa che pensiamo quando acquistiamo un macchinario che riteniamo perfetto o, magari, una automobile che ci viene venduta come a prova di incidenti. L’uso del macchinario, o la guida del veicolo, dipendono da noi e niente è immune da rischi: sta a noi capirli e individuarli prima che si trasformino in pericolo effettivo e, magari, condividere questa esperienza. Invece, molte imprese si accorgono che gli stessi aggiornamenti dei sistemi, e la loro manutenzione, possono causare blocchi improvvisi non avvertibili: la protezione richiede risorse economiche adeguate che devono essere destinate al continuo aggiornamento, ma anche attenzione ed azione comune.

Parla di soluzioni condivise?

In Italia, a livello locale e nazionale, serviranno sempre più soluzioni condivise e meccanismi di azione comune. Magari per tipologie di imprese coinvolte dalle loro associazioni di categoria. Il nostro Paese ha iniziato da poco a darsi una strategia condivisa e parte di questa deriva dalle istituzioni (amministrazioni centrali e locali e agenzie chiave come la ACN, la Agenzia per la cybersicurezza nazionale), ma in larga parte proprio dalle stesse imprese che debbono comprendere che il problema della cybersicurezza richiede una attività di interscambio informativo efficace tra privato e pubblico, e viceversa. In questo modo, i risultati possono essere fondamentali per proteggere un’economia, quella italiana, che si regge proprio sulle piccole e medie imprese.