Un tempo le nonne ci dicevano di “non accettare le caramelle dagli sconosciuti”.
Questo piccolo accorgimento ci ha insegnato a essere prudenti: aveva la finalità di farci rimanere sempre vigili, non tanto per accrescere una sfiducia nei confronti del prossimo, quanto per far maturare in ognuno di noi una maggiore consapevolezza rispetto ad alcuni rischi potenziali.
…beh sì perché le persone non sono tutti uguali e quindi anche chi apparentemente si presenta con fare gentile, affabile, e a volte in modo seducente, non è detto che sia una brava persona.
Quindi possiamo affermare che intere generazioni di giovani sono cresciute sapendosi comportare adeguatamente nel mondo reale, fatto di relazioni tangibili tra persone fisiche diverse.
Oggi la situazione è decisamente più complicata perché viviamo nell’epoca della transizione digitale, in cui i rapporti nel cyberspazio sono di tipo virtuale e quindi a differenza delle esperienze di vita sociale del passato, in cui eravamo tutti più o meno prudenti e preparati per affrontarle, ci troviamo a vivere situazioni addirittura contradditorie.
I ragazzi ad esempio si ritrovano a giocare a Fortnite (un gioco elettronico in rete il cui l’obiettivo è rimanere l’ultimo sopravvissuto all’interno di una zona che si restringe sempre di più) durante lo svolgimento del quale, chattano e parlano con perfetti sconosciuti che si potrebbero trovare dall’altra parte del mondo come se fosse tutto assolutamente normale. Per non parlare delle abitudini (sbagliate) che oramai abbiamo quando utilizziamo i social network: siamo disposti a condividere con un pubblico indistinto varie informazioni personali come l’indirizzo di casa, i luoghi delle vacanze, i gusti, eventi privati e quant’altro. Non consideriamo che qualcuno può usare queste informazioni per i propri malaffari.
Ecco che questi strumenti tecnologici, ormai alla portata di tutti, sono diventati potentissimi: si pensi agli smartphone (i cellulari di ultima generazione), alle applicazioni social, alle piattaforme di acquisto online, all’home banking, dispositivi che ci hanno migliorato la vita rendendoci gli uni più vicini agli altri, ma che utilizziamo in maniera un po’ troppo disinvolta, senza conoscere i reali rischi che si corrono non adottando comportamenti responsabili e consapevoli.
Si teme ciò che si conosce: e quindi è abbastanza normale che non conoscendo approfonditamente il mondo digitale (cyberspazio) non se ne avvertano vulnerabilità e debolezze. Un sistema informativo, una tecnologia messa al servizio dell’utente, che sia un cittadino, un lavoratore, un genitore, un nonno, un nipote, un figlio, ha intrinsecamente delle vulnerabilità, e ciò che oggi non è vulnerabile, lo potrebbe diventare domani.
E come sempre accade nel mondo fisico, tra le pieghe delle società, anche in quello cyber, la criminalità cerca di insinuarsi, sfruttando ogni tipo di debolezza. Esiste, infatti, un mercato fiorente di cybercriminali, che ha come obiettivo quello di progettare software malevoli in grado di sfruttare le vulnerabilità di altri strumenti informatici.
In passato era in voga un attivismo quasi etico in cui i cosiddetti hacker si sfidavano a chi era più bravo e veloce nel ricercare e trovare le falle dei sistemi informatici. Le loro attività erano finalizzate a sanare le vulnerabilità rilevate in favore dei produttori di software. Nel corso del tempo alcuni di questi hacker hanno trasformato la loro passione in professione: molti sono stati ingaggiati dalle società produttrici di software e di tecnologie, proprio con la finalità di scoprire le eventuali falle, prima che divenissero note al mercato.
Oggi affiancati a questi ethical hacker è fiorita una industria parallela gestita dalla criminalità che sfrutta le capacità tecniche dei cybercriminali che sono spinti esclusivamente da motivazioni di tipo economico. Le organizzazioni criminali hanno compreso che è molto più remunerativo e meno rischioso lanciare un attacco ransomware (attacco informatico mediante virus, come avviene ad esempio attraverso una campagna di phishing) piuttosto che rapinare una banca o commettere un furto. Di fatto hanno creato una nuova frontiera della filiera produttiva: il Crime as a Services, vere e proprie multinazionali che hanno come core business quello di offrire soluzioni criminali informatiche pronte all’uso.
Si pensi ad esempio al phishing, un tipo di truffa effettuata attraverso l’invio di email, con cui un malintenzionato cerca di ingannare la vittima convincendola a fornire informazioni personali, dati finanziari o codici di accesso, fingendosi un ente affidabile. Si stima che la metà degli italiani abbia ricevuto almeno un messaggio di phishing; di questi il 10% sia stato ingannato subendo danni che vanno dalla frode al furto di identità. Il phishing continua ad essere una delle maggiori minacce globali alla sicurezza informatica.
Normalmente prima di sferrare un attacco di phishing gli attaccanti svolgono delle attività preparatorie denominate di social engineering, ossia attività di manipolazione psicologica utilizzata prima di effettuare attacchi di vario tipo. Infatti, i criminali una volta raccolte le informazioni sulla vittima e costruito uno scenario credibile, confezionano “l’arma” che ritengono più idonea per raggiungere i loro obiettivi. La raccolta informativa avviene con facilità, magari avendo accesso ai dati delle vittime che hanno usato password troppo semplici (come i nomi dei propri figli, le date di nascita dei congiunti, in generale parole di senso compiuto che non contengono caratteri speciali che sono molto importanti per creare una password sicura e robusta). Al riguardo, gli esperti consigliano di combinare almeno 11 caratteri, formati da lettere, con almeno una maiuscola, numeri e caratteri speciali.
In Italia il 9% degli attacchi è rappresentato dal phishing/social engineering; il dato ancora più allarmante è la crescita dell’87% di tali attività registrata nel 2023, un trend in continuo aumento anche nei primi mesi del 2024.
A questo si aggiunge la facilità con cui oggi è possibile sferrare un attacco informatico di questo tipo. Esistono dei veri e propri supermercati accessibili in quello che viene chiamato dark web dove è possibile comprare on line strumenti per lanciare attacchi per chi non ha elevate capacità tecniche.
Occorre quindi tenersi informati.
In un’epoca in cui i nostri figli iniziano da subito a utilizzare gli strumenti informatici come i cellulari, i tablet, i personal computer, è quantomai necessario il coinvolgimento delle Scuole per creare mirati percorsi formativi per i nostri ragazzi, al fine di aumentare la consapevolezza sui rischi della rete e la capacità di identificare potenziali minacce del cyberspazio, cercando sempre di adottare comportamenti responsabili e di creare meccanismi virtuosi di sicurezza partecipata all’interno della Società.
Sono Direttore di Group Security e Cyber Defence del Gruppo A2A da aprile 2016, Amministratore Unico di A2A Security S.C.p.A. del Gruppo A2A e Presidente dell’Associazione Italiana Professionisti Security Aziendale – AIPSA ETS.
Senior Security Manager certificato UNI 10459:2017.
Piemontese di nascita (sono nato a Bra, quando il mio papà comandava la locale Compagnia) ho vissuto in molte città italiane per ragioni di studio e lavoro: diplomato al Morosini di Venezia, dopo aver frequentato l’Accademia Militare di Modena, ho conseguito le lauree in Giurisprudenza all’Università “La Sapienza” e in Scienze della Sicurezza interna e esterna presso l’Università “Tor Vergata” in Roma.
Dopo un decennio di esperienza come Ufficiale dei Carabinieri tra Roma ed il Veneto, sono ritornato nella Capitale come Security Manager del Gruppo Espresso, Direttore della Sicurezza Aziendale e dei Servizi Generali nella start up Italo – Nuovo Trasporto Viaggiatori e successivamente fondatore di AlfaMikeConsulting, società di consulenza strategica in materia di gestione dei rischi, che mi ha riportato a lavorare nelle principali città del Nord Italia.
Tutor in conferenze, seminari, corsi di formazione anche a livello universitario, mi sono specializzato in Enterprise Security, in protezione dei dati e cyber security, fraudmanagement e modelli di organizzazione e gestione.
Credo nella leadership inclusiva, nella capacità di ascolto e di accountability orientata ai risultati, inoltre non possiamo pretendere che le cose cambino, se continuiamo a fare le stesse cose.
