Nonostante sui media appaiano periodicamente, le stime di queste grandezze non sono quasi mai fondate su metodi di rilevazione scientifici. Esistono alcune eccezioni però. Nel Regno Unito il governo conduce un’indagine campionaria che abbraccia l’intero settore privato: essa mostra che poco meno di metà delle imprese britanniche è stata vittima di almeno un tentativo di attacco nell’ultimo anno. Nel nostro Paese, la Banca d’Italia ha stimato che, tra settembre 2015 e settembre 2016, il 45% delle aziende nazionali è stata colpita da una qualche tipologia di attacco. I soggetti più a rischio sono le grandi imprese, gli esportatori e chi lavora in un settore ad alta intensità tecnologica. A questo proposito, la tabella, riporta le percentuali di imprese italiane dell’industria e dei servizi privati non finanziari, con almeno 20 addetti, colpite da uno o più attacchi cyber tra settembre 2015 e settembre 2016.
Nello stesso universo di riferimento, nel 2016 la spesa in sicurezza informatica era modesta: l’impresa mediana destinava alla prevenzione degli attacchi appena 4.530 euro, ovvero il 15% della retribuzione lorda annuale di un lavoratore rappresentativo. Esistevano però importanti differenze tra settori: la cifra saliva a 19.080 euro tra le imprese ICT, per scendere a 3.420 tra quelle a bassa tecnologia. Quasi tutte le aziende dichiarano di usare almeno un software anti-virus e due terzi formano i dipendenti all’uso sicuro dei dispositivi informatici; risulta invece poco diffusa l’abitudine a cifrare i dati, adottata da meno di un terzo delle imprese non ICT. Per quanto riguarda i danni provocati dagli attacchi, sia i dati britannici sia quelli nazionali mostrano che nella maggior parte dei casi l’impatto monetario diretto è limitato; in Italia i costi di ripristino dei sistemi colpiti e le perdite derivanti dall’interruzione di attività superano i 50mila euro solo in un caso su cento. La distribuzione dei costi è però fortemente asimmetrica: da una parte la dimensione media del fenomeno è più contenuta rispetto a quanto riportato dalle fonti commerciali, dall’altra pochi grandi incidenti sembrano responsabili di una quota molto elevata dei danni economici complessivi. La misurazione dei fenomeni cosiddetti di coda pone sfide metodologiche; occorre sviluppare metodi di rilevazione e modelli di stima adeguati a quantificare con precisione il costo degli attacchi più gravi.
È necessario, poi, tenere conto del fatto che l’impatto economico di un attacco spesso non è limitato al costo che impone alla vittima immediata. In alcuni casi, ad esempio quando viene colpita un’infrastruttura, questa dimensione è chiara anche al pubblico non specializzato. In altri casi, invece, la consapevolezza è limitata agli addetti ai lavori. In particolare, non appare ancora compreso da tutti quanto siano diffuse le tecniche di attacco indiretto, che fanno leva sulla vulnerabilità di un soggetto per colpirne un altro. Al riguardo, si vedano i due casi descritti di seguito.
Tra gli attacchi indiretti che hanno coinvolto imprese italiane c’è l’esempio di una società cuneese che produce mangimi per animali, con clientela internazionale. L’azienda ha subìto il furto dell’elenco clienti e delle informazioni legate al rapporto di fornitura. I cyber-criminali hanno poi contattato i clienti per comunicare un cambiamento nell’Iban della società piemontese; la verosimiglianza della comunicazione era legata al fatto che la mail riportava allegata la fattura con gli esatti importi previsti dal rapporto di fornitura esistente. Delle quattro imprese contattate, tutte asiatiche, tre hanno accreditato gli importi richiesti agli Iban indicati per un totale di 200mila dollari. Solo un’impresa, insospettita dal fatto che l’Iban non fosse relativo a una banca italiana, ha condotto una verifica telefonica presso l’impresa cuneese, rendendola così consapevole dell’avvenuta truffa.
In tema di furto di identità, è interessante l’esperienza di un’azienda torinese che nel 2013 ricevette una e-mail da parte di un suo (storico) fornitore cinese, che comunicava un cambio di banca di appoggio per i pagamenti. Senza effettuare ulteriori verifiche, l’azienda pagò al sedicente fornitore circa 60mila dollari. Successive indagini individuarono il colpevole in un nigeriano, che era riuscito a rubare i dati dell’account mail dell’azienda cinese. I truffatori sono sfuggiti a ogni controllo riversando il maltolto su un conto thailandese, dal quale i soldi sono stati successivamente ritirati in contanti da un’ATM.
In molti Paesi, compreso il nostro, non è chiaro quali siano le responsabilità in simili casi, al di fuori di fattispecie legate alla protezione dei dati personali, ai servizi di pagamento e ad alcune altre attività economiche. Gli eventuali risarcimenti dovuti dai soggetti vulnerabili ai terzi danneggiati si possono determinare solo al termine di iter giudiziali lunghi, complessi e costosi. Questo riduce gli incentivi a proteggersi da parte delle numerosissime imprese che non sono particolarmente appetibili per gli attaccanti e non lavorano in un settore regolamentato. La presenza di migliaia di anelli deboli nella catena del valore si ripercuote sulla sicurezza del cyber-space nel suo complesso e pone le condizioni per il proliferare di incidenti su larga scala, quasi sempre condotti con tecniche di attacco indiretto (targeted attack).
Sono particolarmente a rischio di divenire anelli deboli le imprese di piccola e media dimensione. Esse vedono con chiarezza i vantaggi economici della digitalizzazione, mentre sembrano non comprendere appieno i rischi che i nuovi strumenti implicano. È particolarmente importante che in queste imprese si sviluppino adeguate prassi di cyber-hygiene, ovvero abitudini di condotta che, a un costo molto basso, possono vanificare i più comuni tentativi di attacco. È inoltre fondamentale che le stesse acquisiscano almeno una minima consapevolezza delle proprie vulnerabilità e delle modalità operative tipiche degli attaccanti.
*il professor Baldoni ha curato il documento prima della nomina a vice direttore del Dis