Frodi informatiche in crescita, «Ci vuole più consapevolezza»

Alla metà dello scorso mese di ottobre la notizia aveva colpito l’opinione pubblica ticinese: alcuni clienti di BancaStato erano caduti vittime di truffatori online che avevano clonato l’interfaccia dell’e-banking della banca. Tecnicamente questo tipo di truffa è chiamata di tipo «phishing». In questo modo avevano indotto persone ignare, convinte di essere sulla piattaforma del loro istituto, a lasciare le chiavi di accesso poi utilizzate per svuotare i conti. È stato un po’ come consegnare ai ladri le chiavi di casa e della cassaforte. Non sono noti i danni patiti dai clienti di BancaStato, si presume che siano stati milionari.

Il Ministero pubblico del Ticino e la Polizia cantonale hanno aperto un procedimento penale, al momento contro ignoti. I reati ipotizzati sono: acquisizione illecita di dati, accesso indebito a un sistema per l’elaborazione di dati, danneggiamento di dati, abuso di un impianto per l’elaborazione di dati, sottrazione di dati personali e riciclaggio di denaro.

Negli scorsi giorni, inoltre, l’azienda basilese di software Concevis è stata vittima di un attacco informatico. Anche dati dell’Amministrazione federale sarebbero stati rubati. I criminali informatici minacciano di pubblicare i dati sul darknet.

Come considerare questi attacchi informatici? Sono da considerare in modo preoccupante? Lo abbiamo chiesto ad Alessandro Trivilini, responsabile del Servizio informatica forense della SUPSI. «I casi sono in forte aumento - sottolinea - perché sono il risultato di un’equazione lineare: più infrastruttura digitale, più dispositivi digitali, più dati digitali (e quindi valore), che corrisponde a più opportunità per la criminalità informatica».

Quali sono le misure che possono essere prese per limitare la criminalità informatica? «Questo fenomeno - risponde - oggi lo si deve affrontare con due prospettive. La prima è quella puramente tecnica. Istituzioni, aziende, ma anche cittadini, devono adottare misure per prevenire questi attacchi, dotandosi di strumenti sia software sia hardware adatti. Quindi, per tornare alle tre variabili dell’equazione di cui parlavamo prima, dati, dispositivi e infrastrutture devono disporre delle protezioni tecniche classiche informatiche, come l’antivirus e via dicendo».

Ma questo basterebbe a proteggersi? «Questo aiuta, ma non è risolutivo. Infatti, se questi accorgimenti oggi si possono acquistare, come l’antivirus, c’è l’altra prospettiva importante, che riguarda la consapevolezza e la responsabilità di persone, aziende e istituzioni nell’uso dei dati, dei dispositivi e dell’infrastruttura. In genere l’anello debole della sicurezza è il  fattore umano, perché spesso le persone non sono sufficientemente preparate e consapevoli nell’uso dei dispositivi informatici. E questo è l’aspetto vincente della criminalità e lo sarà sempre di più in futuro».

Chiaramente, questo è stato l’aspetto fondamentale della vicenda che ha toccato i clienti di BancaStato. «Certamente. Il caso di BancaStato lo dimostra, perché persone magari prese dalla fretta, o sotto pressione professionale o emotiva, o anche per ingenuità, hanno utilizzato Google per cercare il sito del proprio e-banking. E Google gli ha dato il primo sito della lista. I clienti si sono comportati così perché non sanno che Google non ha il compito di verificare se il sito che mostra in prima posizione è vero o falso. Quindi, se un criminale decide di costruire un sito finto di una banca o un’istituzione, può facilmente riuscire a metterlo in prima fila in una ricerca sfruttando gli strumenti che Google gli mette a disposizione, che sono alla portata di tutti e sono legali, come una campagna di marketing. E quello successo ai clienti di BancaStato è l’esempio classico di questo meccanismo. Se i cittadini non sono consapevoli di questi pericoli, che oggi diventano sempre più numerosi, ecco che la criminalità informatica può proliferare e può disporre di un bacino di persone da truffare. Si tratta di un terreno sempre fertile e in costante aumento».

«Questo spiega anche perché - prosegue - i criminali non provano a violare direttamente i sistemi informatici bancari o istituzionali. Infatti le banche, le aziende e lo Stato effettuano investimenti nella sicurezza a livello tecnico. Allora prendono di mira i clienti e gli utenti, sfruttando la debolezza del fattore umano».

Cosa può fare lo Stato per prevenire e contrastare la criminalità informatica? «La sicurezza - conclude Alessandro Trivilini - è una questione di responsabilità individuale, anche nel campo digitale. Quindi lo Stato ha il compito di utilizzare i migliori crismi tecnici possibili per tutelare la sicurezza dei dati personali, dei dispositivi e delle infrastrutture. Deve anche cercare di sensibilizzare la popolazione con programmi di alfabetizzazione digitale, che dovrebbero spiegare con parole semplici quanto sia importante la partecipazione individuale nel rendere sicuri i sistemi informatici. La sicurezza è come una catena e ogni cittadino è un anello di questa catena. Se solo un anello di questa catena è debole, ecco che si dà alla criminalità informatica la possibilità di avere una porta di accesso per violare i dati sensibili, truffare i cittadini e mettere sotto ricatto le istituzioni e la loro reputazione».