Quando social e cybersecurity sono un problema

I mercati finanziari, come gran parte del mondo, vivono in quello che definisco uno stato di permanente “alcolismo mediale”: perennemente alla ricerca di informazioni e pronti a “bersi” qualunque cosa, purché abbia una qualche “gradazione”. Questo si combina con una bassa tolleranza a questo tipo di “alcol” che produce effetti istantanei non di rado nefasti. Detto questo, appare scontato che quando l’account X (Twitter) della SEC, l’ente statunitense che vigila sui mercati, appare un messaggio che anticipa l’approvazione di un fondo (ETF) agganciato all’andamento dei Bitcoin qualcosa succede. Infatti, la cryptovaluta schizza immediatamente a quota 47.800 dollari, salvo poi precipitare con altrettanta velocità a 45 mila dollari, dopo che la SEC da un’altra notizia che smentisce il post. Tutto normale, dirà qualcuno.

Per quanto in premessa sono d’accordo, se non fosse che qualcuno ha indebitamente guadagnato dei soldi a spese di altri. Ma lasciando da parte le implicazioni “morali” e giuridiche la questione è un’altra. Il messaggio incriminato è stato effettivamente pubblicato dal profilo X della SEC, ma in un primo momento era circolata la voce di un attacco hacker. Tuttavia, anche questa storia è stata smentita proprio dal presidente dell’ente Gary Gensler che ha precisato come “non ci sono prove al momento che un soggetto non autorizzato abbia avuto accesso al profilo o a qualsiasi altro sistema” (salvo poi aggiungere che effettivamente il 9 gennaio qualcuno di non “autorizzato” ha pubblicato il post). Inoltre, lo stesso Gensler ha tenuto a precisare come la SEC “non utilizza X o qualsiasi altra piattaforma social per annunciare sviluppi”.

Tutto molto chiaro, ma adesso ci sarebbe da porsi una domanda: per quale ragione la SEC e come lei migliaia di altri enti rilevanti hanno gli account attivi sui social network se non sono utilizzati per comunicare informazioni attendibili? Qualcuno dirà perché non si può non esserci; altri, più raffinati, sosterranno che potrebbero essere registrati da terze parti malintenzionate (basterebbe registrarli e lasciarli dormienti). Ci saranno sicuramente molte altre ragioni, ma nell’ambito della cybersecurity una delle regole auree recita: se non è necessario allora è meglio non averlo. Non fosse altro perché mi sembra che queste realtà siano di per sé stesse dei potenziali obiettivi, inoltre, per ovvie ragioni, hanno una notevole quantità di sistemi e canali di comunicazione digitali. Incrementare la superficie di attacco “gratuitamente” mi sembra un inutile favore a criminali esterni e anche interni all’organizzazione.