Author: Iman Khodri
Committee: Create Committee
Date: 21/12/2024
In data 12 novembre 2024 è stato tenuto il dibattito dal titolo spoofing and CEO fraud, tra i comitati: Banking Insurance and Financial Authorities e Cybersecurity Strategic Commitee, del Centro di Eccellenza STEPPO: a Step Forward in Integration dell’Università Milano Bicocca, i cui protagonisti sono stati i rispettivi chairs l’Avv. Daniele A. Luison, accompagnato dall’Avv. Nicoletta Ordonselli, ed il Prof. Marco Bacini.
Il dibattito, come suggerisce il titolo, ha avuto come argomento centrale un fenomeno che rappresenta una delle sfide più insidiose della cybersecurity moderna, il cosiddetto spoofing ,vale a dire l’attacco informatico che mira ad estorcere l’identità digitale di un individuo con lo scopo di accedere ai suoi dati personali o aziendali sensibili per sottrarre ingenti somme di denaro, e, come puntualizza il prof. Bacini, può essere identificato con qualsiasi tecnica utilizzata per falsificare l’identità o l’origine di una comunicazione, e quindi, come spesso accade, attraverso l’utilizzo di indirizzi e-mail, indirizzi IP, numeri di telefono, e non solo.
Una questione fondamentale evidenziata dal Professor Bacini è la manipolazione psicologica a cui viene sottoposto l’utente vittima di questa tipologia di frode, spesso incapace di riconoscerne il pericolo. A supporto della sua analisi, il professore ha riportato un esempio personale di CEO fraud in cui il responsabile amministrativo di una nota azienda italiana di cosmetici ricevette un’e-mail apparentemente inviata dal CEO dell’azienda che richiedeva il trasferimento di oltre 50.000 euro su un conto bancario londinese. Essendo il CEO un individuo anziano non estraneo al richiedere che fossero eseguiti pagamenti per suo conto tramite comunicazioni e-mail, non fu destato alcun sospetto per questo tipo di transazione, e l’ordine fu eseguito tempestivamente dal responsabile, che scoprì solamente un mese più tardi l’origine fraudolenta della richiesta.
Risulta quindi chiaro da questo esempio, come, dal punto di vista psicologico, il criminale informatico utilizzi tecniche di social engineering sfruttando le urgenze, il rispetto dell’autorità, la struttura gerarchica aziendale, riducendo conseguentemente l’attenzione della vittima, rendendo questo attacco, un attacco puramente psicologico, le cui ricadute economiche sono enormi.
Secondo il professore, per ridurre il rischio di cadere vittima di un cyberattacco è fondamentale promuovere una cultura della Cyber Security e adottare strumenti di Cyber Intelligence capaci di prevenire efficacemente questo genere di minacce, argomentazione successivamente supportata dall’avv. Luison.
L’avv. Luison, con il sostegno dell’avv. Ordonselli, ha sottolineato l’importanza per le aziende di adottare una postura difensiva, evidenziando come i criminali siano in grado di adattarsi rapidamente alle opportunità offerte dalla tecnologia, dimostrando una crescente dinamicità. Le tecniche di attacco, infatti, si evolvono a un ritmo estremamente rapido, rendendo indispensabile per le aziende l’implementazione di misure difensive altrettanto dinamiche, in grado di affrontare le minacce in maniera efficiente e tempestiva. Fondamentali risultano essere la gestione, la prevenzione, la repressione e il rapido intervento, resi possibili grazie alla cooperazione internazionale e interbancaria, che spesso permette di intercettare, bloccare e recuperare i fondi trasferiti in modo illecito.
Oggi la cybersecurity rappresenta una priorità assoluta per gli istituti finanziari. In un contesto tecnologico sempre più caratterizzato da relazioni virtuali e a distanza, risulta cruciale promuovere una campagna informativa efficace, sia interna, rivolta ai dipendenti – che costituiscono il primo presidio nella protezione di dati e informazioni – sia esterna, rivolta ai clienti. Come sottolinea l’avv. Ordonselli, il timore di diventare vittime di attacchi di spoofing in ambito lavorativo è ormai una preoccupazione quotidiana degli operatori del settore bancario.
Secondo il prof. Bacini, a livello di regolamentazione comunitaria il principale problema risiede nella mancanza di un coordinamento tra i vari paesi, ciascuno dei quali opera in maniera indipendente. La priorità, dunque, è armonizzare la normativa basandosi su elementi dimostrabili. Sebbene si auspichi un intervento più incisivo da parte della Procura Europea, il fulcro rimane l’istruzione e la sensibilizzazione sulla sicurezza informatica, un compito che spetta alle istituzioni, considerando che si tratta di una questione dalle implicazioni economiche, politiche, sociali e geopolitiche.
A livello nazionale l’Italia è composta al 90% da Piccole e Medie Imprese che hanno un’enorme lacuna culturale in tema di cyber security, quindi alla base di tutto il discorso resta la l’assoluta priorità di educare, perché, come detto giustamente dal prof. Bacini: “se non educhiamo, se non introduciamo nella cultura della responsabilità d’impresa la cultura informatica e la consapevolezza del rischio nella cultura della responsabilità sociale, non andiamo da nessuna parte perché il tessuto imprenditoriale italiano oggi piuttosto che spendere soldi in campagne di cyber sicurezza preferisce pagare”.
Insomma, la società di oggi è una società dinamica, veloce, che molto spesso si traduce in azioni inconsapevoli che potrebbe scaturire in errori non poco spiacevoli.