«Meglio non scrivere che gli hacker non si sono ancora concentrati su questo o su quell’obiettivo: sono competitivi e raccolgono volentieri le sfide, non vogliamo essere noi a dare idee ai cyber criminali». Marianna Vintiadis è manager director e responsabile di Kroll per il Sud Europa e coordina una squadra di segugi capaci di stanare spie industriali, criminali offline e online e, soprattutto, hacker. L’azienda, parte della galassia di Duff & Phelps in cui è entrata nel 2018, è stata fondata nel 1972 ed è attiva in 28 Paesi. È naturale chiedere a loro un commento sulle reti mondiali messe sotto pressione e sulla crescente “attenzione” da parte degli hacker. Non solo: la pandemia aguzza l’ingegno di criminali e furbastri, che attaccano nell’androne di alcuni palazzi false informative del Ministero della Salute o che fanno circolare su internet una pletora di fake news.
L’ignoranza è un lusso che non possiamo più permetterci
Dottoressa Vintiadis, oltre all’emergenza sanitaria ed economica, ci si mettono pure gli hacker e i vari truffatori “offline”.
Era prevedibile, ma se permette vorrei far notare una cosa fondamentale.
Prego…
Che queste truffe che stanno girando e, prima ancora, le varie fake news, sono di un livello veramente bassissimo. Nelle mail vediamo errori di grammatica, di sintassi. Il cartello appeso in alcuni androni è pieno di assurdità. Come fa la gente a non accorgersi che si tratta di tentativi banalissimi e facilmente evitabili?
Già, come fa?
Guardi, le porto un esempio che conosco da vicino. I lavoratori delle imprese italiane sono ancora adesso sotto potenziale attacco di mail che circolano da 20 anni perché non c’è cultura informatica. Abbiamo visto con i nostri occhi persone che non sanno aprire due cartelle contemporaneamente. Allora di chi è la responsabilità? Sempre delle aziende che dovrebbero organizzare corsi e aggiornamenti costanti? O anche di chi non vuole puntare su un proprio upgrade? Sapere usare in maniera corretta il computer dovrebbe essere banale tanto quanto avere la patente. Non vuoi averla? Non vuoi guidare la macchina? Ok, perfetto. Ma significa che certi lavori non li puoi fare e che avrai delle limitazioni.
Un po’ drastico come proposito…
Ma neanche per idea. Chi utilizza il computer avendo accesso ai dati aziendali deve sapere che deve mettersi nella condizione di tutelare un vero e proprio patrimonio. Serve una presa di coscienza collettiva da parte di tutti. Se guardiamo al mondo “offline”, ad esempio, mi sarei aspettata maggiore coinvolgimento da parte della stampa nello smentire false notizie. E invece non è successo…
Che cosa avremmo dovuto fare, a suo giudizio?
Bisognava prendere la linea dettata dal New York Times e dimostrare che ogni affermazione, ogni fatto veniva sottoposto a una scrupolosa revisione. Era un modo per dire agli utenti: se leggi questo articolo, sai che abbiamo verificato tutto. Invece ho visto troppe testate che consentivano la libera circolazione di informazioni fallaci e non veritiere. Abbiamo perso totalmente il valore del testo e della fonte qualificata.
Nel nostro paese avvengono truffe anche da 10-15 milioni di euro perché manca un vero check di contratti e fatture
Tornando all’online, proviamo a circoscrivere il fenomeno: non saranno tutte mail facilmente riconoscibili, no? Altrimenti il problema non esisterebbe.
Verissimo. Oltre a quei messaggi confusi e sgrammaticati circolano altri tentativi di frode che sono decisamente più cattivi. Ad esempio: abbiamo verificato la presenza di mail provenienti da una finta procura che convocavano un cittadino. È vero, nessun ente manderebbe una mail ordinaria per una comunicazione così importante, ma si gioca sull’ansia e sulla speranza che una persona, intimidita, clicchi sul link.
Quante sono le truffe nel nostro Paese?
Molte più di quanto si immagini. Le stime che vengono fatte periodicamente dalla Polizia Postale e dalla Guardia di Finanza riguardano esclusivamente le denunce che vengono registrate. Ma se viene richiesto un piccolo riscatto, chi ha voglia e tempo di raccontare quanto accaduto?
Quali sono le principali minacce per la “tranquillità” aziendale?
Al momento sono due: il falso Ceo e il business email compromise. Partiamo dalla seconda: significa che qualcuno è penetrato all’interno del sistema dopo averlo hackerato ed è “silente” in osservazione del traffico. Il momento topico è l’arrivo di una fattura da saldare: l’intruso capta questa comunicazione e ne fa subito dopo un’altra, con la stessa intestazione, in cui si scusa per aver sbagliato l’Iban che non è stato aggiornato nel template. A quel punto manda nuove coordinate bancarie su cui verrà disposto il pagamento. Il danno è doppio: chi salda perde i suoi soldi, e chi dovrebbe ricevere quanto pattuito non ottiene nulla.
E il falso ceo?
In questo caso si tratta di una truffa più “italiana” ma che richiede una fase di studio preliminare. Si prendono informazioni dai vari social network sull’amministratore delegato, sui suoi contatti e sulle sue inclinazioni. Poi si effettua una chiamata, spacciandosi per il ceo, a qualcuno che abbia possibilità di disporre bonifici in cui si chiede di procedere rapidamente al saldo per effettuare una transizione urgente. Qui si mette a repentaglio l’intera catena di controllo e, in ultima analisi, anche la sopravvivenza dell’azienda.
Addirittura?
Certamente, perché parliamo di truffe anche da 10-15 milioni di euro nel nostro Paese. E si tratta di un escamotage piuttosto frequente. Questo perché non sono stati adottati sistemi minimi di pagamento, in cui si “spezzetta” la catena che controlla il saldo delle fatture attraverso un check dei contratti firmati e degli importi da effettuare: senza la corrispondenza, il bonifico non parte. La seconda evidenza è l’effetto psicologico: per quale motivo un ceo mondiale dovrebbe chiamare un onesto impiegato amministrativo? Non c’è motivo, ma noi in Italia siamo molto individualisti e narcisisti, e riteniamo un evento assolutamente assurdo come probabile. Senza dimenticare, infine, che non siamo molto bravi dal punto di vista tecnologico né particolarmente furbi.
Tornando al discorso della credibilità, il fatto che riprendano a proliferare anche truffe in formato cartaceo che cosa ci dice?
In realtà non ci troviamo di fronte a una grande novità: la carta stampata è sempre stata più credibile. E poi non ci sono differenze considerevoli tra la comunicazione nell’androne con il logo del Ministero e una mail da una banca in cui si è copiato il codice sorgente da una comunicazione “ufficiale”.
Proviamo a lanciarci in un esercizio difficile ma doveroso: se volessimo raccontare che cosa di buono sta portando il Coronavirus nelle nostre vite, quali sarebbero i temi che vorrebbe “premiare”?
Prima di tutto che abbiamo mostrato una grande capacità di adattamento, e questa è una cosa estremamente positiva. Il legislatore, però, dovrà ripensare completamente lo smart working, perché quando è uscita la legge che è ancora in vigore sono stati posti dei paletti molto rigidi. Il dipendente non sta in realtà facendo lavoro agile, ma ottiene la possibilità di lavorare da una postazione diversa da quella dell’ufficio, il che non mi sembra un grande traguardo. E poi mi auguro che si capirà, una volta per tutte, che il tempo è denaro: se qualcuno deve assentarsi dal proprio impiego per una visita medica o per un lavoro domestico, che senso ha che poi debba comunque recarsi in ufficio perdendo altro tempo? Non può continuare a lavorare da casa risparmiando un sacco di ore “lavorabili”? Infine un’ultima notazione: il Coronavirus ha tolto il velo sulla carenza sistemica di conoscenza informatica degli italiani. Si tratta di un lusso che non potremo più permetterci.
