Soltanto nei primi sei mesi del 2023 sono state 78 le piccole e medie aziende italiane che hanno subìto attacchi di pirateria sul web. È il dato rilevato dall'Agenzia per la cybersicurezza nazionale (Acn) che nel complesso, negli ultimi diciotto mesi, ha accertato 175 incursioni ransomware, cioè attraverso virus, delle quali l'83 per cento ai danni di operatori privati. I bersagli più grandi — gestiti dal Computer Security Incident Response Team — sono stati le Ferrovie dello Stato, il ministero dell'Ambiente e alcuni ospedali di Milano e Torino.
Ma quanti altri casi sono sfuggiti alle rilevazioni perché non denunciati o scoperti? E quanto realmente è diffusa la minaccia? Sono questi alcuni dei grandi interrogativi nella difesa nazionale dei nostri dati sensibili. Una trincea invisibile nella quale siamo dentro tutti. Purtroppo, non si ha ancora l'esatta percezione collettiva, dunque nazionale, della vastità e profondità del fenomeno. Per varie ragioni. Innanzitutto, l'Agenzia esercita la propria vigilanza (anche preventiva avvisando i potenziali obiettivi) e assistenza su tre tipologie di soggetti. La prima riguarda un perimetro di 150 centri che gestiscono dati critici e strategici.
Nodi nevralgici del Paese. Un esempio su tutti, assai significativo, perché nessuno ci pensa. La Gazzetta Ufficiale non è più cartacea e se un hacker la violasse non sapremmo più da quali leggi siamo governati. Sarebbe il caos. Il secondo gruppo è costituito da tutti quegli enti che assolvono a funzioni critiche e che rientrano nel Nis, la direttiva europea sulla sicurezza delle reti e dei sistemi informativi, che verrà presto aggiornata, come per esempio i grandi policlinici. Sempre negli ultimi 18 mesi sono stati qo gli attacchi di successo (per i criminali) al settore sanitario. Il terzo cerchio è formato dalle società di telecomunicazione con almeno un milione di abbonati. Ne rimane esclusa una parte molto significativa del sistema economico italiano, come le piccole e medie imprese, anche se alcune di queste possono rientrare (esempio settore elettronico, Difesa) nel perimetro vigilato. «Purtroppo — spiega il direttore generale Bruno Frattasi — non vi è una grande consapevolezza dei rischi che corrono le aziende, nonostante il moltiplicarsi degli attacchi. La compromissione dei loro asset digitali può facilmente riverberarsi sulle grandi imprese di cui sono fornitori. E l'annoso tema delle supply chain e dell'importanza di proteggerle.
Spendere in sicurezza non è solo un costo ma anche un investimento dal quale può dipendere la stessa vita aziendale. La diffusione del lavoro ibrido o da remoto ha moltiplicato la vulnerabilità. Sono aumentate a dismisura le persone che lavorano fuori dal perimetro aziendale. E da casa ci si protegge molto meno. Dai dati dello scorso anno emerge che 1'85 per cento delle aziende italiane ha subito un attacco cyber, ma solo una su quattro ha una soluzione avanzata di gestione degli incidenti. E si fa poca formazione».
Le statistiche
Va anche aggiunto che molti gruppi si proteggono da soli o si affidano a grandi fornitori, anche internazionali, di cybersicurezza. E dunque sfuggono a una statistica più aggiornata e realistica. Quando si parla di sicurezza nazionale dei nostri sistemi informatici, si tende a pensare — nella pubblica opinione — che il problema riguardi solo l'amministrazione dello Stato, le grandi imprese, le principali banche. Insomma, là dove c'è una rilevante dimensione e complessità di dati si annida il rischio maggiore. Dall'inizio della guerra in Ucraina, l'Acn ha affrontato 102 ondate di attacchi Ddos (tentativo di interrompere l'erogazione di un servizio informativo) soprattutto ai danni di amministrazioni centrali, Difesa in particolare. Dunque, perché noi privati cittadini dovremmo preoccuparci? E che cosa avrà mai a che fare un'attività di vendite al dettaglio con gli equilibri geopolitici mondiali, la protezione di brevetti e di segreti industriali? La realtà è un'altra. Anche la piccola azienda, persino il semplice dipendente che lavora da casa in smart working, possono essere le porte d'ingresso di intrusioni criminali che prendono in ostaggio dati sensibili e, risalendo le oliere, compromettono il funzionamento di grandi reti e forniture di servizi. È l'Anonima sequestri del web che, alla fine nel chiedere un riscatto o nel vendere noi stessi (e il nostro Paese) ad altri, ha in ostaggio di fatto le nostre vite. Anche se non ce ne accorgiamo. E come accadeva negli anni neri dei sequestri di persona, prima che venissero bloccati i beni dei familiari, il pagamento sembra il minore dei mali. Anche perché c'è di mezzo la reputazione. Guai a confessare di essere stati spiati o molto semplicemente raggirati. Che vergogna! «Il grado di sicurezza di un'azienda — è in sintesi il pensiero di Frattasi — non dipende dalla sua perfetta impenetrabilità, forse persino impossibile da raggiungere, ma dalla qualità della reazione, dalla capacità di rimediare al danno». In sostanza, una garanzia di resilienza informatica. Ma per fare ciò bisogna avere il coraggio e il dovere di denunciare. Ecco perché la cybersicurezza è un grande tema di educazione civica al trattamento e alla riservatezza dei dati. Un virus informatico è come un virus sanitario. Cambia la prevenzione, non la sostanza. C'è anche una igiene cibernetica. Una password di almeno dodici caratteri (che non ci ricordiamo) equivale a una mascherina Ffp2. Meglio sarebbe impiegare codici biometrici. Ma qui si sconta anche la scarsa cultura digitale del Paese. L'Agenzia divide i dati in tre ordini di importanza: ordinari, critici e strategici. Questi ultimi sono i più delicati e rappresentano l'8% del totale dei dati della pubblica amministrazione che dovranno essere portati sul Cloud nazionale (peraltro tutto a tecnologia americana con un rilevante, ma sottovalutato, interrogativo sulla sovranità del patrimonio informativo). Vitale per il Paese proteggerli. Gli attacchi sono generalmente di ransomware, al 63%. Quelli di data breach (violazione anche incidentale di informazioni protette) sono al 1,3 per cento; il resto è phishing, ovvero truffa informatica o Ddos, interruzione di un servizio. Negli ultimi tempi è molto diffuso l'attacco cibernetico attraverso società realmente esistenti, con siti clone, costruiti con abilità, che offrono anche posti di lavoro. Basta cuccarci sopra per finire ostaggi. Con tutti i nostri dati, personali e aziendali. L'Agenzia è impegnata in diversi programmi di prevenzione e controllo. Il più importante — già avviato nella proficua stagione in cui è stata diretta da Roberto Baldoni — è quello di una sorta di tac informatica del Paese (Hyper Soc) per misurare lo stato di vulnerabilità. L'Agenda di ricerca e innovazione 2023-26 propone poi un'osmosi tra aziende che fanno ricerca e innovazione. E la creazione di un Cyher Innovation network per aiutare soprattutto le piccole e medie imprese a investire al meglio nella sicurezza. Ma prima si dovrà vincere una forma assai diffusa di omertà digitale.
L'85% delle aziende ha subito un attacco. Solo una su quattro può gestire bene l’incidente Bisogna dedicare molte risorse e aiutare le pmi Ecco come. A partire da una sorta di «tac» informatica del Paese, per misurare le vulnerabilità.
Ferruccio De Bortoli uscita sull'edizione cartacea de L’Economia del Corriere della Sera il 17 luglio 2023