La cronaca di questi mesi sta portando all’attenzione del pubblico il tema della sicurezza informatica. Con queste poche righe proviamo a fare un po’ di chiarezza, con un focus non solo sulle aziende ma anche su ognuno di noi, come persone.
Sfatiamo prima di tutto un mito: gli hacker non sono ragazzini in un sottoscala poco illuminato, che cercano di bucare i sistemi informativi del Pentagono, come la cinematografia anni ’90 ci ha fatto fin troppo credere. Il grosso del fenomeno mondiale è in realtà rappresentato da persone o intere organizzazioni che sfruttano l’asimmetria nelle competenze informatiche fra chi conosce gli strumenti e il resto della popolazione, per guadagnare, o rubare, o estorcere, del denaro.
Questa asimmetria è semplicemente figlia del fatto che la rivoluzione informatica è avvenuta talmente in fretta da lasciare intere fasce della popolazione senza gli strumenti necessari. Questo è vero in diversi ambiti, basti pensare alla diffusa incapacità di riconoscere le fake news come tali.
In realtà l’hacker è una figura molto sfaccettata che sempre più spesso opera in positivo, lavorando per testare siti e applicativi a caccia di “buchi” di sicurezza, in modo da consentire al proprietario di poterli riconoscere e chiudere per tempo.
Abbiamo invece tutti a che fare con veri e propri malviventi di bassa lega. Avete sicuramente ricevuto email da banche che vi richiedono di collegarvi per confermare la vostra identità o per risolvere qualche fantomatico problema. Non serve essere un hacker per farlo, basta avere qualche competenza informatica di base e gettare l’amo ad un grande gruppo di persone, alla ricerca di qualcuno che incautamente regali la password del proprio conto corrente. Questo fenomeno è appunto noto come phishing (che nei fatti suona come “andare a pesca”).
Poi ci sono i casi più frequenti di quello che viene chiamato ransomware, che si può tradurre come “un software che chiede un riscatto”. Un caso eclatante è stato il blocco completo della sanità della Regione Lazio del 2021, che ha fermato il sistema informatico della vaccinazione. Funziona così: un incauto dipendente apre un file allegato, persino un innocuo PDF (solitamente in una mail che riceve sul suo indirizzo, oppure scaricato da un sito internet, spesso ingannato da una proposta troppo bella per essere vera) e si ritrova inavvertitamente una specie di virus che prende tutti i file che individua – prima sul PC e poi su tutta la rete attraverso la quale si propaga liberamente – modificandoli in modo che non siano più leggibili e utilizzabili. È come se tutti i libri di una biblioteca fossero di colpo tradotti in un linguaggio sconosciuto. A quel punto, arriva una mail con una richiesta di riscatto per poter ottenere una “chiave” con cui riportare i file al loro stato originale.
Questi file, diventati illeggibili, bloccano tutti i processi, i software e l’operatività stessa di un’organizzazione che sia stata attaccata. Da qui a pagare un riscatto per ripartire, il passo è corto. Esistono strategie per proteggersi da questo tipo di attacchi ma l’anello debole di ognuna di esse è sempre e comunque il “fattore umano” cioè l’errore di una persona o, in alcuni rari casi, la malafede di un dipendente, cioè il classico caso di un complice all’interno di una istituzione che si vuole attaccare.
Per questo motivo, la prevenzione si deve basare su tanta formazione e sulla volontà dei singoli di padroneggiare maggiormente questo mondo in cui viviamo. Appena prima della pandemia, il numero degli italiani senza un computer, che si collegavano in rete esclusivamente attraverso il proprio telefono cellulare, ha raggiunto i 13,5 milioni. Persone che sperimentavano Internet esclusivamente attraverso lo schermo di un cellulare e le poche app installate: per forza di cose ne percepivano le potenzialità e i rischi in modo superficiale. Dal nostro smartphone (il telefono “intelligente”) possiamo fare quello che si fa con un computer e molto di più, basti pensare alle funzionalità di navigazione che si basano sul GPS dentro a ogni dispositivo che ci portiamo in tasca.
A proposito di applicazioni o “app”, bisogna stare molto attenti all’affidabilità di quelle che installiamo: verificare chi sia lo sviluppatore che l’ha realizzata e soprattutto leggere attentamente quali accessi stiamo dando all’app quando la installiamo.
L’antivirus che abbiamo sul computer è uno di questi: per cercare i virus deve avere accesso a tutti i file. Cioè potenzialmente leggerli e anche spostarli/cancellarli se lo ritiene opportuno. Per questo ci si affida a produttori conosciuti e affidabili. Da qui la paura internazionale, oggi, verso gli antivirus russi.
Ma c’è un altro livello: il problema non è a chi diamo alcuni dei nostri dati, ma quanto sia affidabile nel proteggerli. A volte chi ci propone una app o l’iscrizione a un servizio è in buona fede, ma può essere a sua volta vittima di un attacco volto a rubare i dati che possiede. Qualche esempio. Diamo il nostro indirizzo di casa ad Amazon perché ci consegni i nostri acquisti. Di Amazon ci fidiamo perché finora si è dimostrato in grado di proteggere queste informazioni necessarie a fornirci i servizi che gli chiediamo. Ma spesso mettiamo un GPS sulla nostra autovettura che ci viene fornito dalla nostra assicurazione. Tutti i nostri soldi e cosa-paghiamo-e-a-chi sono salvati dentro ai sistemi della nostra banca. Le tasse e i nostri redditi sono all’interno di sistemi dell’INPS o dell’Agenzia delle Entrate. Ognuno di loro esposto agli attacchi di cui abbiamo raccontato poc’anzi.
Per fortuna la legislazione e le forze dell’ordine si stanno progressivamente adattando a questo nuovo scenario, accorciando le distanze fra nuovi comportamenti e il modo di riconoscerli e perseguire quelli fraudolenti. Il tema che ci interessa non è discutere di quanto minaccioso sia il mondo connesso, ma di quanto ognuno di noi, come individuo o membro di un’organizzazione, si debba occupare nel suo piccolo di capire sempre meglio cosa sta facendo. Un piccolo pezzo di responsabilità è anche in casa nostra o nelle nostre tasche.
Venti anni fa non sapevamo cosa fosse Internet o una presa USB. Oggi lo sappiamo. Dobbiamo solo continuare ad aggiornarci, solo più velocemente di come magari vorremmo. Solo così ci sentiremo più sicuri e contribuiremo allo stesso tempo alla tranquillità delle fasce meno informate della popolazione.
