Comprendere il cybercrime

Il cybercrime, noto anche come crimine informatico o crimine digitale, si riferisce a qualsiasi attività criminale che coinvolge l’utilizzo di computer, reti informatiche o dispositivi digitali.

Le principali attività illegali riscontrate fino ad oggi sono l’accesso non autorizzato a sistemi informatici, il furto di dati, la diffusione di virus informatici con conseguente danneggiamento o richiesta estorsiva per la riduzione in pristino, l’intercettazione illegale di comunicazioni, la frode informatica e varie altre forme di violazione della sicurezza informatica.

Quello che si nota nella comune esperienza è che il cyberattack proviene, molto spesso, dall’interno della realtà aziendale.

Questa c.d. insider threat e, cioè, la minaccia proveniente da persone interne all’organizzazione (dipendenti, fornitori, partner economici, soci etc.) si alterna a sistemi di attacco esterno che riescono a prendere il controllo del sistema informatico anche a migliaia di chilometri tramite, ad esempio, il RAT (Remote Administration Tool).

Ad oggi, le società sono chiamate ad affrontare una sfida in termini di prevenzione e persuasione, oltre che di contenimento del danno economico – e non – provocato dal crimine informatico e cibernetico, con un approccio su larga scala che consenta di fronteggiare la criminalità in rete in ogni sua declinazione.

Impatto del cybercrime sulle aziende

Gli effetti del cybercrime sono spesso immediati e devastanti per un’azienda.

Questa può subire perdite finanziarie, sia dirette che indirette, a causa del furto di fondi o di dati finanziari, dovendo mettere in contro anche successivi costi per l’individuazione e la risoluzione della violazione, la riparazione dei sistemi di sicurezza e l’eventuale risarcimento di clienti per le perdite subite.

Il danno economico molto spesso si affianca a quello reputazionale, che si può manifestare in modo incalcolabile: quando la reputazione di un’azienda viene danneggiata da un attacco informatico, si può verificare una perdita di fiducia dei clienti e dei partner commerciali, il che può avere un impatto a lungo termine sulle vendite e sui profitti aziendali.

Di seguito, si ricordano alcuni recenti attacchi informatici che hanno causato un impatto significativo sulle aziende.

L’attacco di ransomware WannaCry del 2017 che ha colpito numerose aziende, inclusi ospedali e istituzioni governative, bloccando l’accesso ai dati e richiedendo un riscatto per sbloccarli.

Il caso Equifax, una delle più grandi agenzie di reporting del credito negli USA. Nel 2017, Equifax ha rivelato che i dati personali di 143 milioni di americani erano stati esposti a causa di una violazione della sicurezza. Questo incidente è costato ad Equifax oltre 1,4 miliardi di dollari in spese legate alla violazione e la reputazione dell’azienda ne è stata gravemente danneggiata.

Recentissimo è il caso truffa finanziaria a danno della multinazionale britannica con sede a Hong Kong che ha spostato “per errore” 200 milioni di dollari da Hong Kong su cinque conti sconosciuti, operazione effettuata da un dipendente truffato tramite una video call dove ha pensato di parlare e prendere ordini dai suoi referenti – che, in realtà, erano un prodotto del deep fake -, disponendo lo spostamento di denaro ancora non ritrovato.

E come non citare il cyberattak subito da Leonardo S.p.A. nel 2017, commesso da un insider, il quale ha causato la fuoriuscita di “oltre 100mila file, riguardano, oltre i dati personali dei dipendenti, la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale”.

Durante le indagini effettuate dalla Polizia di Stato di Napoli e dal C.N.A.I.P.I.C. (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche), emerse che “per quasi due anni, tra maggio 2015 e gennaio 2017, le strutture informatiche di Leonardo Spa erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed al mantenimento di attivi canali di comunicazione idonei a consentire una perdita di dati lenta e continua di elevati quantitativi di dati e informazioni di importante valore aziendale” [1].

È quindi evidente che per prevenire e mitigare il serio rischio di cybercrime, le aziende devono prendere coscienza del problema ed adottare misure di sicurezza informatica efficienti.

Legislazione e normative sulla cybersecurity

Nel campo penale, il nostro codice prevede numerose – ma non ancora sufficienti – fattispecie criminose che puniscono, tra le altre, l’accesso abusivo a sistemi informatici o telematici (art. 615 ter c.p.), la detenzione di apparecchiatura atta a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche (art. 617 bis c.p.), il danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.) o di sistemi informatici o telematici (art. 635 quater c.p.).

Tali reati sono, inoltre, richiamati quali reati presupposto dagli artt. 24 e 24 bis D.Lgs. 231/2001, che puniscono le società (tramite severe sanzioni interdittive e pecuniarie) a vantaggio delle quali è stata commessa una frode informatica o delitto informatico o un trattamento illecito dei dati, di cui agli articoli sopra richiamati del codice penale.

Questo significa che, se un soggetto che ricopre funzioni di rappresentanza, amministrazione o direzione della società o di una sua unità organizzativa dotata di autonomia funzionale e finanziaria, oppure che gestisce o controlla la società, o un suo sottoposto, commette un reato tipico del cybercrime nell’interesse o a vantaggio della società, questa sarà chiamata a rispondere nel procedimento 231 instauratosi a suo carico.

Certo, vi è sempre la possibilità di difendersi nel procedimento 231, anche al fine di dimostrare l’estraneità dell’ente e/o del legale rappresentante dello stesso.

Ma ciò al pesante costo di essere comunque sottoposti al procedimento davanti alle autorità competenti, con anche la possibilità di vedersi applicare eventuali misure cautelari quali sequestri o commissariamenti giudiziari e, dunque, ad una generale perdita economica e reputazionale.

Ecco, quindi, l’importanza della compliance aziendale in materia 231 che non significa solo adottare un modello di organizzazione, gestione e controllo e un codice etico, ma soprattutto renderli concreti e manifesti, anche tramite un efficace processo di adozione di protocolli di gestione della sicurezza informatica, nei quali vi sia una specifica disciplina aziendale in materia di prevenzione, contenimento e risposta al cybercrime.

In merito, si evidenziano quelle che secondo la prassi più diffusa rappresentano le best practices aziendali da seguire per adeguare la società all’attuale normativa:

• Individuazione del bene aziendale da tutelare e dei rischi ai quali è potenzialmente esposto;
• formazione e sensibilizzazione del personale su minacce e misure di sicurezza, anche addestrando a riconoscere messaggi appositamente creati per essere ingannevoli (c.d. phishing);
• adozione di software di sicurezza per proteggere i sistemi aziendali, filesystem di nuova generazione, sistemi criptati di accesso a determinate informazioni sensibili;
• implementazione di politiche di accesso (c.d. least privilege) e controllo ai sistemi aziendali. In particolare, limitazioni dell’accesso al solo personale autorizzato e previsione di una rigorosa separazione dei ruoli nel sistema di logging;
• costante backup e ripristino dei dati;
• monitoraggio dell’ambiente informatico per rilevare potenziali minacce, anche tramite un sistema di segnalazione interna (c.d. whistleblowing);
• implementazione del sistema di prevenzione (sandbox, NIDS, blocco automatico di codici javascript, antivirus e antimalware, etc.);
• predisposizione, implementazione e costante aggiornamento di un documento di security policy.

Conclusioni

Pur se coperti da norme penali, al giorno d’oggi resta ancora molto difficile perseguire i colpevoli di reati informatici e, ancor di più, strutturare un sistema di prevenzione degli stessi.

Questo vulnus, reso ancor più grave dalla scarsità di risorse tecniche disponibili, di forze di polizia e di difficoltà nel coordinamento sul territorio internazionale, si riversa in primis quale rischio reputazionale ed economico per le società e, post factum, rappresenta una distorsione nel sistema processuale penalistico che lo rende sempre meno al passo con i tempi.

La difesa nel processo dell’ente è materia tecnico giuridica da affidare agli esperti del settore, ma la predisposizione di modelli di organizzazione, gestione e controllo che tutelino l’ente dal rischio di commissione di reati anche informatici è di competenza di ciascuna realtà societaria, unitamente alla necessità che suddetto modello venga adottato e aggiornato in concerto con il codice etico e la security policy aziendale.

La società dovrà prendere coscienza dei rischi tecnologici sempre più concreti e della necessità di operare con strutture organizzate ed idonee per prevenirli o, quanto meno, per contenerne i danni.

Note

[1] D. Fioroni, Attacco Hacker a Leonardo Spa, 2 arresti, in www.poliziadistato.it, 5 dicembre 2020

Articolo a cura di Lorenzo Nicolò Meazza e Olivia de Paris

Profilo Autore

Avvocato penalista, titolare dell’omonimo Studio legale sito in Milano e Vicepresidente della Camera Penale di Milano, ove ha costituito la Commissione sull’intelligenza artificiale.
Si occupa prevalentemente di diritto penale d’impresa, con un focus particolare su criminalità informatica, compliance, diritto penale delle nuove tecnologie e digital forensics. Membro e presidente di numerosi Organismi di Vigilanza, il suo studio ha acquisito particolare esperienza nella redazione di Modelli Organizzativi e Regolamenti informatici aziendali.
È stato selezionato dall’Ordine forense di Milano e dal Pool Reati Informatici della Procura milanese tra gli avvocati esperti in diritto dell’informatica, con particolare competenza nella trattazione dei reati informatici.

Profilo Autore

Avvocato penalista dello Studio Legale Meazza, laureata presso l’Università Bocconi, con esperienza consolidata nel diritto penale dell’economia e del diritto penale tributario. Componente di Organismi di Vigilanza, autore di pubblicazioni in materia, focalizzata su delitti informatici e best practice per la sicurezza informatica aziendale, con particolare attenzione ai recenti progressi dei nuovi sistemi di Intelligenza Artificiale.

https://www.ictsecuritymagazine.com/articoli/cybercrime-e-best-practices-per-la-sicurezza-informatica-nelle-aziende/

Ha effettuato un bonifico da 937.670 euro e poi, temendo di essere stato truffato, si è rivolto alla polizia.

La vittima non è una persona qualunque. La sfortunata vicenda è successa a Jaime Ondarza, 55 anni, Ceo di Fremantle, leader mondiale nell’ideazione, produzione e distribuzione di programmi d’intrattenimento e serie televisive, con base in Olanda che negli ultimi anni ha sfornato programmi di grande successo, come X Factor ed Italia’s Got Talent con uffici nel nostro Paese a Milano, Napoli e Roma. Ondarza è Ceo dell’azienda per l’Europa meridionale.

Il manager ha denunciato subito l’episodio: l’uomo ha raccontato agli agenti di aver ricevuto un messaggio whatsapp e subito dopo di aver avuto una telefonata di un presunto avvocato che gli aveva fornito le coordinate bancarie, da un account apparentemente riconducibile all’azienda, che lo invitava ad effettuare un maxi bonifico a un’altra società per l’acquisizione di una controllata in Asia.

Il manager a quel punto ha effettuato l’operazione e disposto il bonifico. Subito dopo, però, si è insospettito e nel cuore della notte ha contattato la polizia. La denuncia è stata presentata al commissariato Lido di Roma che adesso sta cercando di arrivare alla banda che ha sottratto la somma all’amministratore delegato anche se recuperare tutti quei soldi sarà pressoché impossibile. O comunque molto complicato. Quasi un milione di euro finito in pochi istanti su un conto corrente di una banca asiatica e successivamente ‘spacchettato’ su altre decine di iban sparsi per l’Estremo Oriente o in tutto il mondo.

Un raggiro tutt’altro che raro negli ultimi tempi, conosciuto con il nome di ‘Ceo Fraud’, proprio perché prende di mira soggetti al vertice di importanti aziende.

Come funziona la truffa del CEO

La truffa avviene tramite una presunta richiesta di pagamento urgente da parte del capo di un’impresa o del presidente di un’associazione che, solitamente, non è raggiungibile telefonicamente per eventuali chiarimenti.

I truffatori raccolgono innanzitutto informazioni su un’azienda, un’autorità o un’associazione attraverso diverse fonti pubbliche. Sulla base di queste informazioni viene poi elaborato uno scenario che consente di portare avanti un attacco su misura. La truffa vera e propria avviene di frequente con un’e-mail del falso CEO indirizzata al servizio finanziario, oppure sotto forma di messaggio del finto presidente dell’associazione al tesoriere. Mediante l’espediente di una storia plausibile, la persona contattata viene spinta a effettuare pagamenti presumibilmente urgenti.

Come difendersi

• Sensibilizzate tutti i collaboratori in merito alle truffe del CEO. Occorre informare in particolare i collaboratori delle divisioni finanziarie e il personale che occupa posizioni chiave. Nelle associazioni devono essere istruiti tutti i membri con funzione di presidente o tesoriere.
• Non divulgate informazioni interne e prestate molta attenzione quando ricevete inviti di pagamento. Non date seguito a questi ultimi qualora presentino caratteristiche insolite.
• In caso di inviti di pagamento inconsueti, verificate la correttezza dell’ordine chiedendo chiarimenti telefonici in azienda o presso il presidente dell’associazione.
• Tutti i processi che riguardano il traffico dei pagamenti dovrebbero essere disciplinati in modo chiaro all’interno dell’azienda o dell’autorità e sempre rispettati da tutto il personale (per es. principio del doppio controllo, firma collettiva a due).

Non solo Ceo Fraud: anche il pericolo dello spoofing

Lo spoofing è un tipo di impersonificazione tecnologica che cerca di ingannare una rete o un essere umano per fargli credere che la fonte di determinate informazioni sia attendibile, quando invece non lo è. Gli hacker, ad esempio, possono utilizzare questa tecnica per inviarti mail che appaiono come provenienti da qualcuno di fidato, in modo da spingerti a fornire dati sensibili. Oppure, possono provare a sfruttare lo spoofing dell’IP e del DNS per spingere la tua rete a dirottarti su siti fraudolenti che infetteranno il tuo computer.

Lo spoofing delle mail è il più semplice da riconoscere, in quanto attacca direttamente gli utenti. Qualsiasi mail insolita che richieda informazioni sensibili potrebbe nascondere un tentativo di spoofing, specialmente se richiede l’inserimento di nome utente e password. Ricorda, i siti legittimi non richiedono mai questi dati. Puoi anche verificare l’indirizzo mail per assicurarti che provenga da un account legittimo. Tuttavia, potresti non sapere mai di essere vittima dello spoofing dell’IP o del DNS, anche se tenere sott’occhio piccoli cambiamenti o comportamenti insoliti dovrebbe fornirti qualche sospetto. Se hai dei dubbi, è meglio giocare d’anticipo, per evitare gravi problemi.

Dato che lo spoofing rappresenta un tipo di impersonificazione, non c’è nulla da rimuovere. Per proteggerti, basta usare il buon senso e la discrezione al momento di navigare in rete o di rispondere alle mail, anche quando pensi che siano fidate. Come prevenire lo spoofing?

• Non rispondere a mail che richiedono i dati del tuo account o le informazioni di login
• Fai sempre una verifica dell’indirizzo del mittente di qualsiasi mail sospetta
• Tieni d’occhio tutti i tuoi siti web fidati, per notare aspetti o comportamenti insoliti

https://www.key4biz.it/il-ceo-di-fremantle-vittima-di-una-truffa-online-da-1-milione-di-euro-tramite-whatsapp-come-funziona-la-tecnica-del-ceo-fraud/484187/

Nel panorama mutevole del cybercrime, il mondo Finance – comprensivo di organizzazioni bancarie, assicurative e di intermediazione finanziaria – appare tra i più colpiti già da diversi anni.

L’elevato valore degli asset coinvolti, la rilevanza dei dati trattati e l’avanzata digitalizzazione che lo caratterizza hanno reso questo settore sempre più vulnerabile ad attacchi informatici di varia natura, soprattutto di tipo ransomware, con perdite globali che nel 2023 hanno sfiorato i 200 milioni di dollari.

ATM Jackpotting, una minaccia dalle molteplici varianti

Se è facile comprendere perché il comparto bancario e finanziario attragga le mire dei cyber criminali, è anche noto come da tempo il settore manifesti una maggiore attenzione alla sicurezza informatica.

In particolare, il focus degli attacchi per il settore bancario si è concentrato sugli sportelli ATM, con modalità che sfruttano le interconnessioni fra le diverse infrastrutture bancarie: i trend rilevati, infatti, mostrano come il vettore di attacco si stia spostando dalle tradizionali tecniche black-box alle intrusioni di rete condotte attraverso ATM sempre più connessi, ma non sufficientemente presidiati.

Tra le modalità più diffuse vi è l’ATM Jackpotting che, aggirando il processo di autorizzazione della transazione grazie a diverse tecniche fraudolente, permette di accedere fisicamente agli sportelli automatici per prelevare denaro in modo illecito.

Dopo il caso registrato nel febbraio 2023 in cui si è osservata la variante denominata FiXS – causa di importanti perdite economiche, soprattutto tra gli operatori del Messico – negli ultimi mesi è stata evidenziata una nuova minaccia. Si tratta della combinazione tra due diverse tecniche, ovvero lo Shimming e il Relay Attack, basate sulla compromissione di due dispositivi (entrambi non presidiati) e sul trasferimento di dati tramite più canali al fine di aggirare le misure di sicurezza.

Rilevata a maggio 2023, questa nuova minaccia si attiva attraverso un piccolo hardware inserito nel lettore delle carte presente sull’ATM, che rende possibile inviare in tempo reale, via bluetooth, i dati letti dal dispositivo a un apparecchio mobile che si trova in prossimità dell’ATM. La trasmissione dei dati è finalizzata al trasferimento finale presso un ulteriore dispositivo, rappresentato da un ATM nelle vicinanze, dove gli autori dell’attacco possono poi prelevare il denaro contante.

In questo modo, quando l’utente inserisce la propria carta nell’ATM e avvia l’operazione di pagamento/prelievo, i dati vengono intercettati dallo shimmer e trasferiti al dispositivo ATM collegato. Il titolare della carta riceve dapprima un falso messaggio di errore circa l’impossibilità di completare la transazione; successivamente, riceverà un addebito non riconosciuto relativo al ritiro effettuato dai truffatori presso il dispositivo preso di mira.

Questa tipologia di attacco utilizza tecniche innovative e complesse, che varcano le frontiere della sicurezza bancaria mettendo potenzialmente a rischio un livello altissimo di operazioni ed esponendo le organizzazioni, nonché i loro clienti, a perdite economiche significative.

La visione di Auriga e la protezione multilivello della piattaforma Lookwise Device Manager (LDM)

Nella strategia di sicurezza concepita da Auriga, la migliore risposta all’incremento degli attacchi è l’approccio Zero Trust.

Allo scopo di valutare la vulnerabilità dell’infrastruttura tradizionale che gestisce i dispositivi, questo modello interroga ogni accesso e formula una serie di ipotesi: che il sistema di accesso remoto possa essere manipolato, che il sistema di distribuzione del software possa essere utilizzato per diffondere malware, che il tecnico della manutenzione (o l’utente finale) possano essere degli hacker, o ancora che il disco rigido possa essere rubato per effettuare attività di reverse engineering.

Il valore della strategia Zero Trust implica un radicale cambiamento nel paradigma della sicurezza, agevolando il passaggio da un modello di legittimità basato su fonti esterne e analisi del comportamento a un approccio realmente proattivo.

Applicando tale visione all’ecosistema degli ATM, uno dei principali punti critici risiede proprio nella drastica riduzione della superficie di attacco. In secondo luogo, è strettamente necessario un controllo stringente delle modifiche apportate all’ATM, bloccando qualsiasi tentativo di modifica del software o dell’hardware che non sia stato esplicitamente autorizzato.

Proprio partendo dall’approccio Zero Trust è stata sviluppata Lookwise Device Manager (LDM), la soluzione Auriga per la cybersecurity dei canali bancari self-service.

LDM: una soluzione per ogni esigenza

Tra i diversi strumenti da implementare in termini di sicurezza, risultano sempre più importanti le soluzioni software con un grado di protezione più elevato rispetto ai firewall di rete, incaricati di proteggere la rete dal traffico indesiderato: i firewall delle applicazioni, ad esempio, non solo controllano le comunicazioni ma regolano anche quali processi possono essere coinvolti in esse. Inoltre, soluzioni più avanzate come la microsegmentazione sono più sicure e consigliabili, poiché utilizzano canali protetti con certificati controllati per ogni connessione, anche se comportano costi di implementazione e manutenzione più elevati.

Un livello di protezione multilivello e maggiormente completo per bancomat, ASST o altri dispositivi critici, è possibile con la piattaforma LDM che copre tutte le fasi del ciclo di vita di eventuali attacchi, garantendo al contempo la piena disponibilità dei servizi per i clienti.

Con l’obiettivo di impedire le connessioni di rete non attendibili e non autorizzate, la soluzione protegge i canali self-service da qualsiasi attacco malware, di tipo Man-in-the-Middle e anche remoto, garantendo la piena e costante disponibilità dei servizi per i clienti.

Infatti, indipendentemente dal vettore di attacco, l’integrità del file system non può essere manomessa; la crittografia del disco rigido (Full-disk encryption, FDE) proteggerebbe dagli attacchi di avvio a freddo; la protezione hardware dagli attacchi Black-Box; e la protezione delle comunicazioni dagli attacchi Man-In-The-Middle o dalle intrusioni di rete.

Ma anche qualora l’attacco avesse successo e il malware fosse introdotto nell’immagine del software ATM, la protezione Software Whitelisting ne impedirebbe comunque l’attivazione.

È inoltre previsto un costante sviluppo della soluzione per migliorarne i processi. In particolare, le funzionalità di crittografia del disco sono state estese agli ambienti UEFI (Unified Extensible Firmware Interface) più recenti senza moduli di sicurezza hardware, come i diffusissimi TPM (Trusted Platform Modules).

Questa nuova soluzione FDE consente di rendere la crittografia dipendente dall’Hardware ATM anche senza la necessità del Modulo TPM, oltre che compatibile con tutte le altre protezioni LDM e preattivata in fase di Certificazione Lab Image.

Tale capacità di adattamento e costante miglioramento garantisce ai clienti un’ampia possibilità di scelta, a seconda delle specifiche esigenze di ciascuna organizzazione, contribuendo così alla definizione di strategie di sicurezza innovative ed efficaci.

A cura della Redazione

https://www.ictsecuritymagazine.com/notizie/atm-e-cybersecurity-evoluzione-degli-attacchi-informatici-e-soluzioni-di-sicurezza/

https://www.key4biz.it/lintervento-del-ministro-della-difesa-crosetto-al-cybersec-2024/482388/

“L’intelligenza artificiale ha un ruolo fondamentale in diversi ambiti della società., dalla Difesa, alla Sicurezza alla Ricerca applicata. L’Intelligenza artificiale ha il potenziale di migliorare le nostre vite, facendo risparmiare fino ad alcuni punti di Pil ad esempio in ambito agricolo. Senza dimenticare il ruolo dell’AI generativa in ambito di sanità, ricerca, guerra ai tumori o alle malattie rare”. Lo ha detto Bruno Frattasi, Direttore Generale dell’ACN, nel suo intervento al CyberSec 2024, dal titolo “Cybersecurity nell’era dell’AI, la terza edizione della Conferenza internazionale promossa ed organizzata dal quotidiano Cybersecurity Italia.

Ma insieme alle grandi potenzialità dell’AI Frattasi ha messo in evidenza gli enormi rischi connessi ad un utilizzo manipolato dei dati accumulati attraverso l’AI. “Il problema dell’AI diventa un problema di sicurezza informatica dalla manipolazione e adulterazione del dato a fini non accettabili”.   

Rischi che vengono affrontati e normati dall’AI Act, “che classifica i rischi inaccettabili – dice Frattasi – aprendo ad una questione valoriale che mette a confronto le grandi potenze mondiali”.  Una questione valoriale enorme, dove l’”Europa rappresenta un modello” con il suo approccio regolatorio, a fronte di un approccio più libero promosso negli Usa. “Il modello regolatorio europeo dell’AI è indispensabile”, sottolinea Frattasi.

In altre parole, senza regole l’AI generativa non è gestibile. Lo stesso hanno capito anche negli Usa, con l’Executive order di Biden che “inserisce gli sviluppatori e il loro operato di OTT nella cornice regolatoria, visto che dovranno condividere i loro sistemi con le autorità”.

Nei prossimi mesi il ruolo dell’Italia sarà centrale, con la presidenza del G7 e le prime ministeriali dedicate all’AI previste per la prossima settimana. L’ACN è molto attiva in questo contesto, non soltanto in attesa della discussione di un DDL del Governo dedicato in discussione in Parlamento, ma anche con l’organizzazione nell’ambito del G7 di un gruppo di lavoro congiunto per lo sviluppo comune dell’AI.

https://www.key4biz.it/ai-frattasi-acn-il-modello-regolatorio-europeo-e-indispensabile/482377/

All’inizio del nuovo anno è stata resa pubblica la bozza del disegno di legge “in materia di reati informatici e di rafforzamento della cybersicurezza nazionale” sul quale è all’opera il Governo: diciotto articoli con cui l’esecutivo – negli ultimi tempi chiamato a prendersi carico, con riguardo ai reati commessi in rete, di una vera propria emergenza sociale  – ha con decisione imboccato la strada della repressione della criminalità informatica, avvalendosi di un inasprimento del meccanismo sanzionatorio e di una sorta di “moral (penal) suasion” nei confronti dei c.d. criminal hacker.

Quanto al primo dei due strumenti valorizzati, nulla di nuovo: il fenomeno degli illeciti on line ha difatti assunto una dimensione globale che impone un adeguamento dei limiti edittali alla gravità esponenziale delle condotte poste in essere.

Chiaro è, sotto questo punto di vista, l’intento del Legislatore di operare una modifica degli articoli 615-ter (accesso abusivo a un sistema informatico o telematico), 615-quater (detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici), 617-quater (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-quinquies (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche) e 617-sexies (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche) del codice penale, prevedendo un generale innalzamento delle pene per i pirati informatici, che arrivano, per l’ipotesi base di cui all’art. 615 ter c.p., sino a dodici anni «se dal fatto deriva la distruzione o il danneggiamento del sistema o la interruzione totale o parziale del suo funzionamento».

Proprio a quelli tra i pirati informatici che intendano poi adoperarsi per evitare che la loro attività delittuosa possa produrre danni ulteriori, collaborando in concreto con le autorità investigative, il d.d.l. spalanca le porte della c.d. legislazione premiale, prevedendo una considerevole diminuzione della pena irrogabile: “dalla metà ai due terzi”.

Ora non v’è chi non oda come in questa scelta di politica criminale riecheggino le note di altri testi normativi, compilati nelle ricorrenti fasi emergenziali della storia recente del nostro Paese e, in particolare, della prima disciplina sulla collaborazione con la giustizia degli appartenenti ad associazioni mafiose, dettata dal decreto-legge n. 8 del 1991, poi convertito nella legge n. 82/1991.

Con tali norme è stato introdotto nel nostro ordinamento un sistema premiale per i collaboratori di giustizia coinvolti nei delitti di stampo mafioso, analogamente a quanto disciplinato in passato con riguardo ai reati di terrorismo.

Del tutto lecitamente viene a questo punto da chiedersi quali possano essere state le ragioni profonde di una scelta siffatta, posto che la criminalità organizzata, come dianzi evidenziato, sta da tempo guardando al mondo digitale quale “nuova frontiera” del suo business e lo Stato si trova chiamato a rincorrerla con notevole affanno di mezzi e professionalità.

Non v’è dubbio alcuno sul fatto che la legislazione premiale in tema di collaborazione di giustizia applicata al fenomeno mafioso – e prima ancora al terrorismo degli ‘anni di piombo’ –  abbia consentito di sferrare colpi decisivi alle consolidate strutture di criminalità organizzata.

Desta però qualche legittima perplessità questa sorta di “abdicazione ai tecnocrati”, figlia di un’oggettiva carenza strutturale di investimenti e risorse (anche umane) e nel contempo rivelatrice di un approccio tendenzialmente buonista nei riguardi del pirata informatico.

Il quale, come ogni buon pirata che si rispetti, ha adeguato la propria immagine ai nuovi tempi, passando con disinvoltura dal look trasandato del giovane nerd di qualche decennio fa, cinematograficamente celebrato nel film Wargames, a quello, ben più curato e redditizio, dell’ethical hacker.

Del resto, punti di contatto tra il tema della responsible disclosure (o vulnerability disclosure) ed il mondo del diritto non sono mancati, il più noto dei quali può farsi pacificamente risalire al caso deciso dal G.I.P. di Catania con il decreto del 15.07.2019, che dispose l’archiviazione di un’imputazione ex art. 615 ter c.p., scaturita dallo sviluppo di un progetto aziendale relativo ad un’applicazione per smartphone

In quell’evenienza l’imputato, “godendo di notevoli competenze tecniche”, si era introdotto abusivamente nel sistema aziendale, acquisendo informazioni che gli avevano consentito di individuare alcuni bugs dell’applicativo, dei quali si peritava di avvisare l’azienda affinché la stessa potesse porvi riparo.

Non avendo avuto riscontro, egli decideva di rendere successivamente noti al pubblico tali errori tecnici: ebbene il giudice ritenne di inquadrare tale fatto nella “metodologia comune della divulgazione responsabile” per assicurare la tutela dei consumatori e conseguentemente dispose l’archiviazione del procedimento.

Vero è, però, che l’art. 615 ter c.p. nulla dice in merito alle finalità sottese alla condotta tipizzata, descritta come mero ingresso e/o permanenza abusiva in un sistema informatico o telematico protetto da misure di sicurezza, da ritenersi consumata nel momento stesso in cui il sistema viene violato.

Dal che è legittimo ritenere che la fattispecie di accesso abusivo ad un sistema informatico o telematico, sia ascrivibile a qualsivoglia tipologia di hacker a prescindere dalle finalità – più o meno etiche – che egli si sia prefissato di raggiungere nel momento in cui ha deciso di introdursi abusivamente nel sistema.

Di certo, mai come nel caso dei reati informatici il Legislatore, al pari dell’uomo della strada, deve sperimentare una frustrante sensazione di impotenza nell’immaginarsi efficacemente pronto a fronteggiare un furto di dati o un serio danno ad un sistema.

Da qui, forse, l’idea che riuscire a contenere le conseguenze potenzialmente disastrose di un attacco informatico rappresenti un obiettivo di primaria importanza dal punto di vista politico-criminale: e allora, a quel punto, gli hacker è meglio tenerseli buoni. 

https://www.key4biz.it/la-cybersecurity-e-la-canonizzazione-dei-criminal-hacker-la-nuova-frontiera-del-business/480546/

Continua ad arricchirsi il programma della Cyber Crime Conference 2024, in preparazione per il 17 e 18 aprile presso l’Auditorium della Tecnica di Roma.

La dodicesima edizione dell’evento B2B sarà incentrata su tre macrotemi di grande attualità: l’Intelligenza Artificiale/Machine Learning, Cloud Computing e Digital Forensics.

L’AI – con i sottostanti sistemi di Machine Learning – è la protagonista assoluta nel panorama odierno della sicurezza informatica, sia in termini di regolamentazione sia di minacce emergenti.

Nonostante la crescente adozione di atti normativi e standard tecnici che mirano a disciplinare l’uso dell’Intelligenza Artificiale, la sua rapidissima evoluzione tecnologica rende estremamente difficile prevenirne utilizzi malevoli o scorretti, come mostra ad esempio la diffusione del fenomeno Deepfake.

Nel corso dell’evento si parlerà delle scelte di policy a livello nazionale e sovranazionale nonché dei rischi e benefici apportati da AI e ML, grazie all’intervento di autorevoli rappresentanti del mondo istituzionale, accademico e aziendale che condivideranno con il pubblico la loro esperienza in materia di cyber crime e cyber security, esponendo anche le fragilità di queste disruptive technologies e l’importanza di integrarle adeguatamente considerandone la doppia natura.

Se da un lato AI e ML sono infatti in grado di rafforzare le misure di sicurezza contro le minacce informatiche, dall’altro bisogna essere consapevoli di come le stesse tecnologie possano essere sfruttate per scopi malevoli.

Un altro tema a cui verrà dato ampio spazio in agenda è il Cloud Computing; che non rappresenta certo una novità altrettanto dirompente ma che anche quest’anno si dimostra un settore ricco di innovazioni e tendenze rivoluzionarie, alla luce dell’integrazione di tecnologie AI/ML, Generative AI, Edge Computing e all’adozione di strategie multi-cloud o hybrid-cloud.

Sempre più spesso gli aggressori sfruttano i punti deboli dell’infrastruttura Cloud, delle applicazioni o degli account per mettere a rischio l’integrità dei dati, rubare informazioni confidenziali e interrompere servizi o processi, richiedendo ai professionisti del settore di valutarne attentamente possibili rischi e inevitabili impatti sulla sicurezza e la resilienza delle organizzazioni.

Verrà inoltre raccontato come affrontare queste sfide richieda un approccio innovativo alla Digital Forensics, che includa lo sviluppo di nuovi strumenti e tecniche nonché una collaborazione più stretta tra le aziende, i fornitori di servizi cloud e le autorità di regolamentazione.

L’educazione continua e l’aggiornamento delle competenze degli investigatori forensi sono fondamentali per tenere il passo con l’evoluzione del panorama delle minacce digitali.

I panel a più voci previsti nelle due giornate e i successivi interventi di approfondimento esamineranno questi temi fondamentali e le relative problematiche sotto molteplici angolazioni, in un’ottica multidisciplinare e sempre attenta alle applicazioni concrete.

Seguici su Linkedin per tutti gli aggiornamenti in tempo reale sull’evento.

Iscriviti alla Cyber Crime Conference 2024 per partecipare, in modo totalmente gratuito, ad un confronto di altissimo livello sullo scenario contemporaneo del crimine informatico e sulle strategie più innovative per la sua prevenzione.

https://www.ictsecuritymagazine.com/notizie/cyber-crime-conference-2024-intelligenza-artificiale-machine-learning-cloud-computing-e-digital-forensics-i-macro-temi-della-12a-edizione/

Dopo anni di difficili negoziati, sembra che il Trattato ONU sul cybercrime stia finalmente per vedere la luce. L’iter della Convenzione – avviato nel 2019 – dovrebbe infatti concludersi a breve con l’ultima sessione consultiva prevista a New York tra il 29 gennaio e il 9 febbraio; il testo sarà, quindi, trasmesso all’Assemblea Generale per il suo esame e successiva approvazione.

Scopi, contesto e contenuti del Trattato

Il documento intende aggiornare la Convenzione sulla criminalità informatica del Consiglio d’Europa, ad oggi il principale riferimento internazionale in materia.

Adottata nel 2001 e seguita da due protocolli addizionali, negli anni la “Convenzione di Budapest” ha registrato l’adesione di 68 Stati sia europei (tra cui l’Italia, che l’ha recepita con la legge n. 48/2008) sia extra-europei.

Con la Convenzione sul cybercrime le Nazioni Unite mirano ad aggiornare e ampliare il quadro normativo a livello globale, fornendo definizioni condivise che tengano conto di un quadro tecnologico e geopolitico profondamente mutato negli ultimi vent’anni.

Nel Preambolo si dichiara, infatti, “the need to pursue, as a matter of priority, a common criminal policy aimed at the protection of society against [cybercrime] by, inter alia, adopting appropriate legislation, establishing common offences and procedural powers and fostering international cooperation to prevent and combat such activities more effectively at the national, regional and international levels”.

L’obiettivo primario è pertanto superare le difformità che spesso rendono ardua la prosecuzione dei reati informatici in cui siano coinvolti più Paesi, come di fatto accade ogniqualvolta siano commessi da gruppi organizzati internazionali (tipicamente rispetto al ransomware) nonché nel sempre più diffuso fenomeno del Cybercrime-as-a-Service (CaaS).

A tale scopo il primo articolo del draft prevede:

1. il rafforzamento delle misure tese a prevenire e combattere il crimine informatico;
2. lo snellimento dei meccanismi relativi alla cooperazione giudiziaria tra singoli Stati, organizzazioni internazionali e soggetti privati;
3. la promozione di attività di capacity-building mirate a creare le competenze necessarie alla prevenzione e al contrasto dei cyber reati, in particolare nei Paesi in via di sviluppo.

Convenzione ONU sul cybercrime: un passo indietro per privacy e diritti umani?

Nel corso dei lavori di stesura non sono mancate aspre critiche alla direzione presa dalla Convenzione.

Lo scorso 23 gennaio, oltre 100 organizzazioni ed esperti individuali attivi nella tutela dei diritti umani hanno diffuso una Dichiarazione congiunta sulla proposta di trattato, chiedendo al Comitato Ad Hoc di valutare con attenzione il potenziale impatto della nuova disciplina sui diritti individuali, soprattutto rispetto alle scelte operate in tema di cooperazione giudiziaria.

Prevedendo un maggiore scambio di informazioni tra autorità pubbliche e aziende private, la Convenzione imporrebbe infatti ai fornitori di servizi digitali oneri più incisivi, anche attraverso il ricorso alla “Real-time collection of traffic data” (art. 29 della bozza) per garantire agli inquirenti l’accesso ai dati rilevanti nelle indagini sui crimini cyber.

Ma a giudizio dei firmatari della Dichiarazione, tra cui figura anche l’International Commission of Jurists (ICJ), tali previsioni rischiano di autorizzare illecite pratiche di sorveglianza statale, inibire l’esercizio della libertà di espressione negli spazi digitali ed erodere gravemente la privacy individuale, finendo per vanificare le tutele conquistate in tal senso negli ultimi anni.

Di conseguenza, si chiede alle delegazioni degli Stati di rivedere il testo per:

• restringere la portata applicativa delle norme e dei relativi meccanismi procedurali ai soli reati espressamente oggetto della Convenzione;
• includere disposizioni che tutelino ricercatori di sicurezza, whistleblowers, attivisti e giornalisti dal rischio di essere incriminati per le loro attività online;
• garantire i principi relativi alla data protection (come necessità, proporzionalità e non-discriminazione), prevedendo che il loro eventuale sacrificio a fini d’indagine sia sempre valutato in via preventiva da un’autorità giudiziaria;
• proibire ogni ipotesi di sorveglianza digitale che possa lasciare spazio ad abusi, compromettendo le buone pratiche di cybersecurity o il ricorso alla crittografia.

Non è dato sapere se tali critiche rimarranno inascoltate oppure se saranno recepite nella fase finale dei lavori, portando a modificare significativamente l’attuale bozza del Trattato.

In ogni caso la nuova Convenzione sul cybercrime – citata nel recente Atto di indirizzo politico-istituzionale per l’anno 2024 del Ministro della Giustizia italiano – avrà impatti rilevanti anche nel nostro Paese, in particolare sulla regolamentazione del comparto ICT e delle attività di Digital Forensics: tutto dipenderà dal testo definitivo che verrà approvato in seno alle Nazioni Unite.

A cura della Redazione

Profilo Autore

https://www.ictsecuritymagazine.com/articoli/crimini-informatici-in-arrivo-il-trattato-delle-nazioni-unite/

Cybersecurity e pericoli per le farmacie. Anche nel 2024 il comparto sanitario, è innegabile, continuerà ad affrontare una serie di nuove minacce informatiche. In Italia, come nel resto del mondo, le farmacie rappresentano dei punti di riferimento imprescindibili per la salute pubblica. Proprio in considerazione della loro posizione “unica” tra l’assistenza sanitaria e la gestione di una rilevante quantità di informazioni sensibili (indicazioni anagrafiche sui pazienti, storici di acquisti dei farmaci, risorse commerciali, sconti e ricavi) queste infrastrutture sono sempre più al centro di attacchi informatici. Con tutte le (rilevanti) conseguenze del caso.

Sono sempre di più, pertanto, le farmacie che finiscono nel mirino dei cyber criminali. Un rapporto della società di cybersecurity Kasada fa luce sugli attacchi di credential stuffing, la tecnica di cyberattacco volta a impossessarsi delle credenziali d’accesso a siti oppure a servizi online degli utenti, applicata nel caso specifico all’ambito farmaceutico. Dettagliando, viene riscontrato l’uso illecito, a opera dei cyber criminali, di bot che sottraggono i dati degli account dei clienti delle farmacie, mediante cui si accede a prescrizioni mediche di farmaci “controllati”, per poi rivenderli nel dark web.

Tecniche di attacco che colpiscono le farmacie

Le piccole imprese (così, anche le farmacie) sono sovente vulnerabili agli attacchi informatici, non disponendo di tutte le risorse necessarie mirate ad implementare un sistema di gestione della sicurezza delle informazioni adeguatamente efficace. “La smaterializzazione di servizi ‘fisici’ avvenuta durante la pandemia ha certamente rivoluzionato diversi settori, tra cui quello farmaceutico”, spiega il CEO di Swascan, Pierguido Iezzi.

Tuttavia, insieme ai benefici della digitalizzazione sono emersi anche alcuni pericoli prima non del tutto esplorati. “Con l’adozione di sistemi digitali, c’è il rischio di attacchi di phishing mirati ai pazienti o ai professionisti della salute”, puntualizza l’esperto. Il riferimento è a criminali informatici in grado di inviare e-mail o messaggi fraudolenti che sembrano provenire da istituzioni sanitarie, mirando a ottenere informazioni sensibili oppure a compromettere i dati.

Shop online e sicurezza per la salute

Fermo restando che un attacco informatico può avere, come conseguenza ultima, quella di schiudere le porte non solo della farmacia online, ma anche di quella fisica, un esempio delle sfide sempre più colte dalla criminalità informatica riguarda gli shop online. “Ne osserviamo l’espansione – riprende Iezzi – che potrebbe portare a un aumento delle operazioni illegali. I pazienti, infatti, potrebbero essere indotti ad acquistare farmaci senza prescrizione medica o da fonti non autorizzate. La mancanza di regolamentazioni, poi, potrebbe consentire la vendita di prodotti contraffatti o non conformi agli standard di sicurezza italiani e comunitari”.

C’è anche da considerare, nel più ampio contesto della criminalità organizzata, che l’utilizzo dei nuovi canali digitali potrebbe essere strategico per attuare operazioni illecite. Come nel caso dell’operazione Archifarm (un farmacista e sei medici di medicina generale avrebbero prodotto ricette per medicinali mai dispensati a inconsapevoli pazienti ma per i quali, ad ogni modo, veniva illecitamente richiesto il rimborso al Servizio sanitario nazionale), portata a termine dalla Polizia qualche settimana fa. Dunque, non solo per la ricettazione di farmaci senza prescrizione, ma anche come propagazione delle aree d’influenza e del riciclo di denaro.

https://www.key4biz.it/cybersecurity-e-pericoli-per-le-farmacie-quali-sono-le-principali-minacce/476851/

Il cybercrime è in continua evoluzione e il modello crime-as-a-service (CaaS) ne è un esempio lampante. In questo modello, i criminali offrono ai propri clienti una gamma di servizi che gli consentono di lanciare attacchi informatici senza avere conoscenze o competenze tecniche specifiche. Ciò ha reso il cybercrime più accessibile e diffuso, con conseguenze devastanti per le aziende, i governi e i singoli individui.

Il rapporto “Cyber-attacks: the apex of crime-as-a-service” di Europol fornisce una panoramica dettagliata del modello CaaS. Il rapporto mostra che il CaaS è diventato un mercato fiorente, con un valore stimato in 100 miliardi di dollari. I servizi CaaS sono offerti da una vasta gamma di fornitori, da gruppi criminali organizzati a singoli individui specializzati in questo tipo di business.

I servizi CaaS più comuni includono:

• Accesso remoto. I fornitori CaaS consentono ai loro clienti di accedere a server e reti in remoto. Ciò consente ai criminali di lanciare attacchi da qualsiasi luogo del mondo.
• Software dannoso. I fornitori CaaS offrono una varietà di malware, tra cui trojan, ransomware e worm. Il malware può essere utilizzato per rubare dati, diffondere spam o disattivare sistemi informatici.
• Servizi di supporto. I fornitori CaaS offrono ai loro clienti servizi di supporto, come assistenza tecnica e formazione. Ciò consente ai criminali di lanciare cyber attacchi più efficaci.

Il rapporto Europol sottolinea che il CaaS è una minaccia significativa per la sicurezza informatica. Il modello CaaS fa sì che il cybercrime diventi più accessibile e diffuso, rendendo più difficile per le organizzazioni proteggersi dalle minacce cyber.

Di seguito sono riportate alcune raccomandazioni per affrontare la minaccia del cybercrime CaaS:

• Le organizzazioni devono investire in soluzioni di sicurezza informatica avanzate in grado di rilevare e rispondere alle minacce CaaS.
• Le organizzazioni devono formare i dipendenti sui cyber rischi rendendoli consapevoli delle minacce CaaS e insegnandogli come proteggersi da esse.
• I governi devono collaborare per sviluppare politiche e leggi per affrontare il cybercrime. Queste politiche e leggi dovrebbero rendere più difficile per i criminali operare in sicurezza.

A cura della Redazione

https://www.ictsecuritymagazine.com/articoli/cybercrime-as-a-service-il-rapporto-spotlight-2023-di-europol-analizza-levoluzione-dei-cyber-attacchi/