«Mafia, Camorra, ‘Ndrangheta, Cosa Nostra e Sacra Corona Unita non sono ancora sbarcate nel cyberspazio, e probabilmente non lo faranno nemmeno nei prossimi anni». L’avvocato Stefano Mele, esperto di guerra e crimini cibernetici, esclude per il momento un attuale coinvolgimento delle nostre mafie nel business del crimine via internet.
«Non è nel dna della criminalità organizzata italiana», prosegue Mele. «Resiste ancora una mentalità concreta, legata al tangibile. Inoltre per commettere crimini altamente redditizi sul web si richiedono delle competenze tecniche che gli attuali capi-mafia non hanno. Gli mancano del tutto gli strumenti concettuali e per ora è comunque più remunerativo – anche se più rischioso – gestire il traffico di droga e della prostituzione». Ma più che un calcolo costi/benefici pesa, nella decisione di ignorare il cyberspazio, l’ignoranza della materia. Se un domani il crimine on line divenisse più semplice e più remunerativo, la mafia non esiterebbe a entrare nel business, magari “appaltando” all’esterno la parte più tecnica delle operazioni. Ma, come si diceva, per alcuni anni questo salto di qualità non è in vista.
Questo purtroppo non significa che il cyber-crimine in Italia non sia diffuso e pericoloso. Il web è globale, e da qualsiasi parte del mondo è possibile far partire un attacco diretto contro obiettivi italiani. Cosa che, puntualmente, accade. «La maggior parte degli attacchi rilevati, contro l’Italia e i paesi occidentali in generale – sono i mercati più ricchi – è di matrice asiatica. In Russia in particolare la criminalità organizzata è molto potente nel cyberspazio, ma anche Cina e altri Stati conoscono questo fenomeno», spiega l’avvocato Mele. In Russia ad esempio è noto il fenomeno della Russian Business Network (Rbn), “un’organizzazione cybercriminale russa multisfaccettata, specializzata nell’appropriazione di identità per rivenderle”, per usare la descrizione di Wikipedia, che le accredita guadagni fino a 150 milioni di euro l’anno. «Spesso gli attacchi non arrivano direttamente da questi paesi asiatici, ma vengono utilizzati alcuni stati europei come “ponte” per gli attacchi», continua Mele. «In particolare transitano da Lituania, Lettonia e Repubblica Ceca. Paesi dove c’è grande concorrenza nell’hosting, scarsa consapevolezza del problema sicurezza e quindi una certa carenza di leggi e regole».
Tra i reati “remunerativi” – esclusa quindi la pedopornografia e simili – il più diffuso è il “phishing”, cioè la truffa telematica tramite la quale il criminale cerca di ottenere dati sensibili di una persona per utilizzarli o rivenderli. A tutti è capitato di ricevere mail in cui sedicenti giovani e belle ragazze chiedono di essere contattate, ultimamente “tira” la finta beneficienza, ma si potrebbero fare anche molti altri esempi. Sono mail che non bisogna aprire, a cui non si deve rispondere e in nessun caso bisogna rivelare propri dati personali, bancari o comunque rilevanti. Questo tipo di truffa è nato in Nigeria negli anni ’90, ma ormai è diffuso a livello mondiale. «Rispondendo alle mail di phishing – illustra Mele – si fa un duplice favore ai criminali: si rivela che un dato indirizzo è attivo, e che la persona che ha risposto è del tipo che “abbocca” a queste truffe. A quel punto avendo inviato milioni di mail di “phishing”, si stila una lista degli indirizzi di chi ha risposto, e a quelli – che hanno già dimostrato di essere “creduloni” – si inviano virus che sottraggano dati o simili».
Ma il phishing è un tipo di truffa poco complesso, che non richiede alcun tipo di struttura criminale alle spalle. Le mafie cibernetiche si occupano principalmente di “spear phishing” e “carding”. Questa seconda attività illegale consiste nella clonazione di carte di credito e sottrazione dei dati relativi. Secondo l’avvocato Mele in questo periodo «è molto diffuso in Romania», ma prima era stato il turno dell’Ucraina e della Turchia. In questo business la criminalità organizzata gestisce la vendita di dati e di apparecchi per la clonazione. Il “lavoro sporco” di manomettere i bancomat e ritirare materialmente i soldi è lasciato ai pesci piccoli.
L’attività più remunerativa, e più pericolosa per la società, è però lo spear-phishing, cioè lo stesso meccanismo del phishing applicato a obiettivi precisi, singole aziende o addirittura singoli individui all’interno dell’azienda, per ottenere uno scopo predeterminato. In questo caso l’attività criminale richiede maggiore pianificazione e competenze. Si individua il bersaglio, si crea un’esca credibile (ad esempio una mail con l’indirizzo di un fornitore di fiducia, di cui si copia logo e stile, che lamenta un disservizio e chiede di aprire un allegato) e, nel momento in cui un soggetto abbocca, si infetta l’intero sistema.
Utilizzando malware polimorfici o virus anche più semplici – ma comunque progettati per lo spionaggio – si possono sottrarre brevetti, milioni di dati, progetti e in generale qualsiasi informazione contenuta nel sistema attaccato. I danni alle aziende possono essere milionari, e tuttavia molto raramente se ne viene a conoscenza. Nel libro Mafia.com l’autore, Misha Glenny, fa l’esempio delle banche, che non rendono pubblici gli attacchi subiti per non allarmare i clienti, si assicurano contro i danni subiti, e scaricano sui propri correntisti il costo dell’assicurazione. Se un cliente poi lamenta un furto di password o Id, la banca prova spesso a scaricare su di lui la responsabilità, negando di aver mai subito infiltrazioni nel proprio sistema. «E funziona così anche in altri settori, aziende, studi legali, società di consulenza», spiega l’avvocato Mele. «Rsa (uno dei campioni assoluti della security, parte di Emc) ha subito un attacco molto evoluto, che ha rischiato di compromettere milioni di tokenID usati dalle principali banche di tutto il mondo. Ne siamo venuti a conoscenza perché Anonymous ha subito rivendicato l’attacco, altrimenti chi lo sa. Proprio per risolvere questo problema – prosegue – in sede di Unione europea si sta lavorando a una legge, nell’ambito della nuova legislazione sulla privacy, che obblighi le società di servizi di comunicazione ad avvisare i clienti di eventuali attacchi subiti. La speranza è di inserire tra i soggetti obbligati anche le banche. Visto che sono in possesso di nostri dati molto importanti, se vengono compromessi da un attacco è assolutamente impensabile che non venga comunicato ai diretti interessati». Questa nuova normativa sulle data breach notifications dovrebbe vedere la luce non prima del 2014, un’infinità di tempo nel mondo del web.
«Il problema in ogni caso sta tra lo schermo e la tastiera», afferma Mele. «Cioè noi. Siamo poco informati sui rischi che corriamo e siamo tendenzialmente curiosi. Se nessuno aprisse mail anche solo vagamente sospette, il phishing e anche lo spear-phishing verrebbero sconfitti. Invece si fa troppo poco per sensibilizzare le persone su questi temi. E per noi italiani è particolarmente grave». L’Italia è infatti uno dei paesi con il più alto tasso di penetrazione dei cellulari nel mercato. Presto tutti avranno uno smartphone, dentro a cui si conservano dati importantissimi. «Questa per noi potrebbe essere una grande occasione per saltare in un colpo solo il problema delle nostre infrastrutture telematiche insufficienti. Ma le persone devono essere coscienti che stanno maneggiando un computer, non un telefono, che in quanto tale necessita di essere protetto da attacchi esterni come un comune pc. Altrimenti tra pochi anni – conclude Mele – rischiamo di affrontare problemi giganteschi».
E i rischi che gli smartphone comportano sarebbero sotto gli occhi di tutti. Un quindicenne abile con le applicazioni dell’iPhone è in grado di penetrare altri telefonini, che non siano stati appositamente protetti, e leggere le mail in memoria, cambiare le impostazioni, sottrarre la rubrica e via dicendo. La nostra classe dirigente, che spesso compra tablet e smartphone come status symbol, ne è consapevole?