Home / Giustizia e diritto / Gestire il rischio del cyber crime più diffuso? È una questione di Fattore C

Gestire il rischio del cyber crime più diffuso? È una questione di Fattore C

“Mandami una email” / “Ti mando una email”: sono frasi ricorrenti nella gestione delle comunicazioni e dei rapporti professionali in senso lato (e talvolta anche personali).

Va detto, però, che “l’occasione fa l’uomo ladro” perciò l’automatico e consueto scambio di email è ormai diventato fervido terreno per realizzare la “vecchia” truffa, ma in modo più tecnologico.

Constatiamo, infatti, che il cyber crime più diffuso è proprio il phishing. Vale a dire un nuovo tipo di truffa che solitamente arriva per posta elettronica, con un contenuto che “raggira” chi legge e lo induce ad “abboccare all’amo”. Il “patrimonio” sottratto può essere ingente e il danno spesso irreparabile.

È importante parlarne perché nelle ultime settimane è partito un vero e proprio attacco riscontrato ufficialmente. Si consiglia di vedere questo sito.

Con una vera e propria attività a tappetto vengono inviate sulle PEC comunicazioni che richiamano la fatturazione elettronica. Si tratta di email che hanno come oggetto la dicitura “invio file” o “fatturazione elettronica” ed, invece, hanno come obiettivo la raccolta di informazioni da utilizzare verosimilmente per frodare il destinatario.

In altre parole, la posta certificata mostra la sua vulnerabilità e la fattura elettronica, che rappresenta il fulcro del business, offre il fianco all’attacco informatico.

L’Agenzia delle Entrate e l’Inps in questi giorni hanno diramato dei comunicati stampa, la notizia è rimbalzata in ogni Ordine professionale, ma ancora una volta troppi utenti sono cascati – o stanno cascando – nella trappola, mettendo a rischio lo stesso business e patrimonio delle organizzazioni cui appartengono.

Il phishing (che si concretizza con l’amo della fatturazione elettronica) è previsto da tempo nel nostro sistema penale, ma sino ad oggi è stato “sottovalutato”. Il “gettare l’amo” per pescare la vittima è il più frequente tra i crimini informatici (precedendo di poco il furto di identità), sebbene venga considerata come una attività criminale a basso rischio. Gli utenti segnalano solo il 17% degli attacchi. Spesso gli attacchi alle Piccole medie imprese sono sofisticati e consistono in azioni come phishing mirati ad email dei dipendenti oppure azioni dirette ad ottenere i dati aziendali.

L’azione di phishing sfrutta la disattenzione e l’emozione del destinatario.

Basta guardare il caso di queste settimane. L’arrivo di una email con una fattura elettronica è ormai una routine e viene gestito in modo automatico; contemporaneamente si affronta con lo stress di adempiere alle obbligazioni tributarie. Basta un clic e il danno è fatto.

Il rimedio? Punterei sul Fattore C : attenzione, però, non mi riferisco alla cornucopia della serie “io speriamo che me la cavo”!

Fattore C intendo C come Consapevolezza, insieme a C come Conoscenza.

1) Consapevolezza significa uscire dall’automatismo, dove la coscienza di sé va di pari passo con la responsabilità delle proprie azioni. La consapevolezza è la tecnica essenziale per gestire quello che viene definito come il rischio connesso al “fattore umano”.

Come osserva l’avvocato Nicola Fabiano “il fattore umano suscita sempre particolare attenzione, sia in ambito sociale per l’analisi dei comportamenti sia in ambito più tecnico per la valutazione dei rischi relativi alla sicurezza in generale. I comportamenti umani possono essere prevedibili e condizionabili, ma resta sempre l’incognita della mente umana che appartiene all’imponderabile; una persona può porre in essere azioni o omissioni che sono il risultato della sua capacità di autodeterminazione, tanto da potersi discostare dalle proprie comuni abitudini o consuetudini. In sostanza, il fattore umano, considerato sia sul piano del comportamento sia sul piano dei rischi per la sicurezza, potrebbe avere conseguenze dirompenti in ragione di decisioni imponderabili”.( https://www.nicfab.it/protezione-dei-dati-personali-privacy-qual-lo-starting-point/.)

L’importanza del fattore umano e degli errori umani che conducono a una data disclosure sono stati oggetto di dibattito nella 41a Conferenza internazionale dei Garanti privacy (ICDPPC), che si è tenuta a Tirana (Albania) dal 21 al 25 ottobre. La ICDPPC 2019 è stato un momento di positivo e costruttivo confronto sui temi della data protection e della privacy, affrontati da appassionati ricercati provenienti da tutto il mondo. Si tratta di una compagine affiatata, che comprende oltre 120 Autorità. Al termine della conferenza di Tirana tra le altre sono state approvate sia la “Risoluzione per affrontare il ruolo dell’errore umano nelle violazioni dei dati personali” sia la risoluzione sulla privacy come diritto umano fondamentale e condizione preliminare per l’esercizio di altri diritti fondamentali” (Leggere qui).

2) La Conoscenza è lo strumento che consente anche in caso di truffa informatica di riconoscere l’inganno e agire o reagire in sicurezza.

Consapevolezza e Conoscenza si alimentano e sviluppano con una adeguata attività di formazione.

La formazione, in ogni contesto professionale, è un must e costituisce uno dei pilastri della nuova normativa per la protezione dei dati personali. Tanto è vero che il Regolamento Europeo (GDPR 679/16) considera la formazione tra le misure di sicurezza essenziali, sanzionando il mancato adempimento.

Il Regolamento Europeo, però, non prevede solo sanzioni e regole, bensì offre una serie di opportunità per cogliere il valore del dato personale e la necessità della sua protezione, come in modo agevole viene spiegato dal Presidente dell’Autorità Garante della protezione dei dati della Repubblica di San Marino, l’avvocato Nicola Fabiano, nel suo ultimo libro GDPR & privacy: consapevolezza e opportunità. Analisi ragionata della protezione dei dati personali tra etica e cybersecurity.

In conclusione, puntare sul fattore C: Consapevolezza, Conoscenza, ma anche Cambiamento dei Comportamenti cogliendo ogni opportunità.

Fattore C: è cambiare risposta all’abituale “mando un’email ‘ : in modo consapevole “io non abbocco !”

Fattore C: C come comportamenti da adottare per gestire i rischi legati al phishing.

1) Consapevolezza

Nel momento in cui vado a leggere l’email mantengo l’attenzione su quello che sto leggendo.

2) Allegato

L’allegato è lo strumento principale per veicolare virus informatici o programmi che permettono in modo illecito di entrare nei sistemi.

Quando l’email contiene un allegato: non abbocco! Prima di aprirlo faccio una verifica:

a) Conosco il mittente?

b) L’indicazione del contatto del mittente è corretta?

c) Sto aspettando questo allegato?

d) Avevo preso accordi per ricevere l’allegato?

In ogni caso prima di aprire qualsiasi allegato è sempre necessario effettuare una scansione preventiva del file allegato utilizzando l’antivirus installato nel computer o nel device in uso (smartphone-ipad)

3) Testo messaggio

Nel leggere il contenuto dell’email mi chiedo:

a) Il testo è scritto in modo corretto o noto che ci sono “errori di sbaglio”?

Le comunicazioni scritte male, con errori grossolani, dovuti all’automatismo, devono insospettire.

Spesso i messaggi di phishing vengono creati con il traduttore automatico perciò è facile trovare errori di ortografia o di sintassi o refusi dall’inglese (ad esempio la data è scritta invertendo giorno e mese). Questo perché i messaggi delle truffe sono standard e vengono inviati identici a milioni di vittime.

4) Link altro sito

Nel testo della email trovo un link e vengo invitato a cliccare: non abbocco!

Evitare di aprire il link inserito nel testo dell’email, salvo che l’email segua un accordo fatto a voce con il mittente.

Evitare di cliccare su collegamenti inseriti nel testo di email inattese. Il collegamento può condurre siti web capaci di rubare informazioni o infettare il computer. Può accadere che venga riportato un sito ufficiale conosciuto; in questo caso si può fare un controllo passando il puntatore del mouse sul link (senza cliccare) e verificare in basso sul browser l’indirizzo reale del sito verso cui si verrà indirizzati. Tenete presente che spesso vengono usate copie esatte dei siti web legittimi.

5) Mittente

È utile prestare attenzione al mittente e al suo indirizzo di posta elettronica (che spesso è una imitazione di quello reale).

Diffidare anche di mittenti conosciuti.

A volte nelle truffe vengono utilizzati nominativi generici o conosciuti: poste italiane, varie banche, gestore di posta elettronica, webmaster, gestore del server, account. Questo è il modo subdolo per ingannare il destinatario dell’email.

6) Emozioni

L’email dice che ho vinto un premio o devo pagare immediatamente.

Diffidare dalle comunicazioni email che suscitano emozioni, positive (gioia per aver vinto) o negative (ansia o rabbia per scadenze o sanzioni).

Evitare di rispondere a messaggi che promettono regali, bonifici, pagamenti, premi oppure minacciano sanzioni, scadenze o adempimenti urgenti tramite clic o link.

Di solito i messaggi invitano a cliccare un link o aprire un allegato con urgenza; nel sentirsi sotto pressione la vittima di phishing viene distratta, gli viene impedito di ragionare e così “abbocca”.

La pressione e la reazione emozionale servono per distrarre chi sta leggendo l’email impedendogli di ragionare.

7) Dubbio

In caso di email che insospettisce, il miglior modo di agire è quello di non fare nulla: nel dubbio, non aprire gli allegati, non cliccare sul link, non girarla ai colleghi. Chiedere aiuto, preferibilmente a chi ha competenze di informatica.

8) Richiesta dati

Evitare di rispondere ad email che richiedono di indicare dati, credenziali, numeri di carte di credito, o credenziali (pw e username).

9) Uso personale

Evitare di utilizzare l’email professionale per uso personale soprattutto per entrare nei siti web di cui è noto il livello di rischio.

10) Presi all’amo? Che fare?

In caso di errori o distrazioni evitare di nascondere quanto accaduto e informare immediatamente una persona competente. Verrà trovata una soluzione adatta.

Se si sospetta di aver comunicato le credenziali, cadendo in una truffa, cambiare immediatamente la password attraverso un dispositivo diverso.

Antonietta Confalonieri, Avvocato penalista, DPO certificato UNI 11 697, Formatore, componente del Consiglio direttivo UNIDPO e del Consiglio direttivo Camera Penale Enzo Tortora

About Antonietta Confalonieri

Check Also

Prescrizione del reato: vuoto legislativo o mancata applicazione di un fondamentale principio costituzionale?

Caro legislatore, fai sì che il codice dell’89 torni ad essere il “codice dei galantuomini” …

Lascia un commento

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi