La Stampa, 11 ottobre 2024
Il mercato dei ricatti tra hacker e bitcoin ecco quanto è fragile la cyber sicurezza
La politica dello struzzo allenta la tensione e rende la situazione meno drammatica. E, infatti, solo l’assenza di un pubblico quadro d’insieme delle intrusioni che vengono denunciate ogni giorno nei tribunali fa sperare che la tenuta del sistema informatico critico goda buona salute. Ma è un gioco d’illusionismo che dura poco.
La realtà è assai diversa ed è sul tavolo delle ultime riunioni del Cic, il Comitato interministeriale per la cybersicurezza, istituito proprio per reagire a questo fenomeno con Giorgia Meloni presidente del Consiglio. Ha chiesto di partecipare a Elisabetta Belloni, direttore del Dis, al procuratore nazionale antimafia Giovanni Melillo e al governatore di Banca d’Italia.
Nei prossimi quindici giorni sono attesi sviluppi da altre indagini su analoghe e inquietanti raccolte illegali di dati, dopo i casi dei 233 mila download di Perugia con la coppia Laudati-Striano, Napoli con l’hacker della Garbatella, Carmelo Miano, che ha navigato per due anni nel sistema giudiziario italiano online per poi scaricare 23 milioni di profili da Tim. E infine i dati bancari di 3.500 clienti Intesa San Paolo spiati a Bari.
Tre storie che celano ancora tutti il dante causa, posto che né a Perugia né a Napoli credono alla curiosità investigativa o personale, né al mero arricchimento con generiche proiezioni di vendita nel darkweb. Di certo i gradi di competenza e utilizzo di Ip dinamici per rendersi di fatto invisibili grazie a sofisticati sistemi di anonimizzazione e il fatto che gli alert non garantiscano reattività immediata, fanno ipotizzare qualcosa di strutturato e permanente.
Miano ha sorpreso la polizia postale per le capacità criminali di esfiltrare dati da anni rimanendo nei sistemi senza essere individuato, per poi affacciarsi con dimestichezza in Russian Market 99, sito di e-commerce di hacking criminale, per la vendita clandestina di dati sensibili. Il modus operandi degli indagati di Perugia porta invece a interrogarsi se la figura dell’infiltrato (straniero?) ipotizzata di recente in una intervista del Corriere a Melillo sia solo una suggestione: le azioni di destabilizzazione e disinformazione si nutrono da sempre di dati riservati veri per poi costruire campagne false e d’inquinamento sociale.
Ma questa situazione si incrocia con altre due questioni che rendono il clima ancor più pesante. La prima riguarda sempre il saccheggio di informazioni dai sistemi informatici di aziende. Queste diventano obiettivi di hacker che aggrediscono, sequestrano milioni di dati per poi chiedere un riscatto. La società – magari quotata – si trova a un bivio: rientrare in possesso di quanto trafugato, riducendo il danno al solo aspetto economico o denunciare tutto con le possibili ripercussioni reputazionali e concorrenziali?
Non è escluso che al comitato arriverà anche l’idea di introdurre per legge il divieto di pagare riscatti telematici, esattamente come negli anni delle scorribande dell’anonima sarda e dei rapitori calabresi del secolo scorso. In quel caso la linea dell’intransigenza è stata premiante nel reprimere i sequestri, oggi bisognerebbe fare altrettanto per arginare un fenomeno sottotraccia.
Ad oggi nessuna statistica è in grado di ipotizzare quante siano le aziende colpite e quante preferiscano pagare. Di certo, il sistema finanziario italiano per numero di attacchi è terzo in Europa e sesto nel mondo e solo le banche che stanno nel perimetro della sicurezza cibernetica nazionale sono obbligate a denunciare. Che poi si tratta di soli due istituti di credito, Intesa Sanpaolo e Unicredit.
E gli altri? La stabilità finanziaria è uno degli assi portanti della sicurezza nazionale, bene troppo prezioso per escludere che dietro a questi attacchi si celino gruppi riconducibili a precisi attori statuali che gravitano in Paesi nemici. Dialogano tramite canali criptati sicuri, si fanno pagare in bitcoin e spariscono. Se le imprese pagano garantiscono a questi gruppi la possibilità di crescere nel reclutamento di hacker e macchine. Ma se nessuno denuncia come si possono fermare?
L’altra questione riporta agli scontri sotterranei in corso nei servizi e alla trasparenza nella gestione dei fondi riservati, almeno 90 milioni di euro annui solo per l’Aisi. Non c’è rendicontazione delle spese, i giustificativi vengono distrutti e i controlli dei tre probiviri sono oggetto di mormorii sulla mera formalità degli stessi. Negli ultimi mesi qualcosa si è mosso, con la gestione diretta da parte del direttore, e bisogna anche dar atto al neo procuratore generale di Roma, Jimmy Amato, arrivato ad aprile da Bologna, di aver imposto verifiche più stringenti nell’autorizzazione delle intercettazioni preventive per un uso corretto delle stesse. Ma si tratta di due facoltà operative che garantiscono autonomia e poteri enormi, di rara e singolare delicatezza sulle quali l’esecutivo non può nutrire né dubbi né semplici perplessità.
Soprattutto oggi con il sistema informatico nazionale che molti paragonano a certi acquedotti e non è permesso il fuoco amico. —