I reati informatici stanno aumentano: sono stati 100 mila circa in Italia con un aumento del 10 per cento rispetto all’anno prima. Si tratta soprattutto di phishing e fishing: riescono a catturare i vostri dati bancari, a volte anche con telefonate dirette che sembrano arrivare dalla vostra banca, e carpiti i codici fanno acquisti di elettrodomestici e altro online.
Ma a parte questi reati di medio-basso rilievo, ci sono anche gli hackeraggi veri e propri. Secondo alcune indagini europee e statunitensi molti arrivano da Cina e Russia. Infatti per hackerare sistemi potenti, come quelli di una sanità regionale (è successo in Lazio) o colpire addirittura il gruppo Facebook come successo due settimane fa, bisogna avere delle macchine molto, molto potenti. Operazioni che non riescono a fare due hacker in un garage. Questi attacchi sono quindi promossi e finanziati da stati, “State sponsored” si dice in gergo. Questo può servire a colpire l’avversario, indebolire il sistema economico di un paese come è successo di recente con un fondamentale gasdotto della Costa est degli Usa.
Il fenomeno non colpisce solo aziende statali ma anche privati che pur di non screditarsi davanti all’opinione pubblica e dichiarare di essere stati attaccati sono disposti a pagare in bitcoin per farsi restituire i dati a loro rubati. Di solito l’attacco consiste in un malware che viene fatto entrare da parti poco controllate. Ad esempio un’azienda ha una radio interna e si sfrutta la radio per inserire il malware. Insomma spesso non entrano dalla porta ma dalla finestra. Quindi non ci sono solo gli attacchi “di Stato”, ma anche gli attacchi a sfondo economico che mirano ad aziende medio-piccole con una salda reputazione.
Appena fatto l’hackeraggio, l’azienda riceve delle comunicazioni in cui si dice che sono stati carpiti tot dati e che verranno buttati nel dark web, a pagamento, a meno che non si paghi il riscatto in bitcoin. Perciò per quel che riguarda l’Italia il Garante privacy chiede che si denuncino subito gli hackeraggi subìti (entro 72 ore per Regolamento europeo 2016). Le denunce arrivate lo scorso anno erano poche. Adesso sono in aumento.
Gianluca Amarù è un avvocato specializzato in privacy e se ne occupa da 25 anni. Alessandra Fava è una giornalista ed è Privacy Specialist. Fanno parte di un team con Marco Fossi, DPO di grandi aziende, 2fprivacy.it. Il team ha pubblicato una collana Compliance sul Regolamento europeo privacy entrato in vigore nel 2018 con Liberodiscrivere editore. E’ ora in uscita ‘Privacy in progress’ (Franco Angeli editore, Milano). Clicca qui per leggere tutti gli articoli.