Cyber crime e comunicazione: un problema senza soluzione

Capisco che posso sembrare pedante, ma in un momento in cui si parla di quanto sia importante fare cultura in materia di cyber security, di quanto sia difficile disporre di professionisti preparati, di quanto sia necessario che tutti i cittadini abbiamo un giusto livello di consapevolezza, il fatto che la comunicazione continui, nella migliore delle ipotesi, a essere approssimativa è perlomeno deprimente. Se due settimane orsono avevo parlato delle Ferrovie dello Stato, adesso passo alla Banca d’Italia.

La scorsa settimana viene pubblicato un articolo di Franco Bechis su "Verità&Affari" dal titolo "Clamoroso. Un hacker viola i conti correnti di Bankitalia". Diciamo che il titolo è un po’ “forte” e leggendolo si comprende come in realtà le vittime siano state i correntisti della Cassa di Sovvenzioni e Risparmio fra il Personale della Banca d'Italia (CSR) ovvero l’istituto di riferimento per i dipendenti e i pensionati della Banca d'Italia.

Quello che però lascia perplessi e il comunicato stampa di precisazione di Via Nazionale. Vediamo il passaggio chiave: Il sistema informatico della CSR non ha subito alcun attacco e non è stato violato. Si è trattato di una truffa: un soggetto non identificato ha chiamato telefonicamente alcuni correntisti fingendo di essere un operatore addetto alla sicurezza della banca per carpire le informazioni personali e i codici necessari a operare sull'home banking CSR.

Mi corre l’obbligo di fare chiarezza su alcuni punti. In ambito cyber security le telefonate truffaldine atte a carpire informazioni sono definite vishing e si allineano ad altre tecniche ben note come il Phishing (email) e lo smishing (SMS e altri sistemi di messaggistica). Tutte queste forme di attacco si configurano come appartenenti alla tipologia dei reati informatici che la giurisprudenza connettono all’accesso abusivo a un sistema informatico e più spesso alla frode informatica (non truffa). Da questo consegue che siamo in presenza di un crimine qualificabile come tecnologico e pertanto possiamo affermare che, se non la banca, i suoi correntisti hanno subito un attacco diciamo cyber.

Per quanto riguarda il fatto che il sistema CSR non sia stato violato mi sembra si tratti di un’affermazione discutibile, per il semplice fatto che in tema di cyber security vige una regola molto semplice: se qualcuno che non ha diritto di accedere a un sistema o a parte di esso ci riesce, quel sistema ha subito una violazione. Questo vale anche nel caso in esame a meno che non si voglia sostenere che i conti correnti dei clienti si trovassero su un’infrastruttura tecnologica non controllata e/o gestita da CSR.