Stando a quanto riportato recentemente dalla stampa, che a sua volta ha citato un rapporto della Polizia Postale, nell’ultimo anno le denunce per attacchi hacker ai server sono incrementate del 45%. Vittime preferite dell’attività dei criminali informatici sono le piccole e medie imprese. Pare infatti che l’attenzione degli hacker si sia spostata: le PMI e i singoli professionisti infatti, sono spesso disposti a pagare il riscatto richiesto dopo l’installazione di un cryptovirus o un ransomware. Piccole cifre, magari, ma moltiplicate per un numero rilevante di casi e che diventano così piuttosto sostanziose.
L’ingegneria sociale come grimaldello
Pagare il riscatto, anzitutto, evita alle imprese di dover fronteggiare l’inoperatività causata dal down di sistema. Inoltre, le libera dall’obbligo di notificare al Garante Privacy il data breach che hanno subito. Una sorta di auto-denuncia che potrebbe rivelarsi autolesionistica, posto che a subire un data breach, nella prassi, è proprio chi manca di rispettare la normativa in materia di protezione dati.
La scelta di bersagliare le piccole e medie imprese si spiega anche con il fatto che i pirati informatici fanno leva soprattutto sulla cosiddetta ingegneria sociale. Per penetrare i sistemi informatici delle PMI, infatti, non serve sferrare attacchi a forza bruta. È sufficiente, infatti, aggirare il personale che riceve, apre e smista le e-mail o le altre comunicazioni. La disattenzione, l’inesperienza, la superficialità con cui si utilizzano le risorse informatiche sono infatti un’arma in mano a chi siede dall’altra parte del monitor. Ed è un’arma molto efficace.
L’importanza di formare il personale
Il personale che opera presso le PMI, nonché presso gli studi professionali, molto spesso non riceve istruzioni adeguate e non viene formato ad evitare i rischi legati agli attacchi informatici. A questo si aggiungono prassi inefficaci – se non addirittura sbagliatissime – in materia di gestione dei dati. Il risultato, appunto, è che si preferisce pagare i criminali. Con la possibile conseguenza di essere annotati tra i soggetti paganti, diventando potenziali bersagli anche per attacchi futuri. In pratica, vittime di una nuova forma di strozzinaggio.
Un banale ragionamento in termini di costi/benefici dovrebbe suggerire alle imprese che i mancati investimenti in termini di privacy vengono presto compensati dai riscatti pagati all’hacker di turno.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale