Il phishing, letteralmente, è definito come una truffa informatica effettuata tramite messaggi (email o sms) che sembrano provenire da istituti di credito, società di commercio elettronico o istituzioni. Questi messaggi invitano l’utente a inserire dati personali sensibili per risolvere un problema importante o per riscattare un generoso credito e, quindi, è finalizzato ad estorcere informazioni tramite messaggi camuffati.

Secondo la ricerca di ExpressVPN sullo stato della cybersecurity in Italia si tratta di uno degli attacchi più persistenti nel nostro Paese, a causa dei quali è dovuta intervenire anche la giurisprudenza. È la vittima a dover pagare le conseguenze? O è l’istituto attraverso il quale i malintenzionati hanno agito per rubare dati e informazioni a dover risarcire gli utenti truffati? Cerchiamo di scoprirlo in questo approfondimento sul tema della sicurezza informatica.

Le dimensioni del fenomeno

L’Italia si trova attualmente nella Top5 dei paesi più colpiti dal fenomeno del phishing, come evidenziato dal report dell’Osservatorio Cyber del CRIF. Questa poco invidiabile posizione sottolinea la vulnerabilità del Paese nell’attuale panorama di sicurezza informatica, in cui le minacce cyber diventano sempre più frequenti e sofisticate.

L’email rimane il principale vettore di minaccia per i criminali informatici, rappresentando il mezzo attraverso il quale possono ottenere accesso a sistemi e dati aziendali. Questo tipo di attacco, in particolare, si configura come una delle tecniche preferite dai cybercriminali, poiché consente loro di ingannare gli utenti e ottenere informazioni sensibili.

Il report mette in luce un aumento significativo delle campagne di phishing in Italia, con il 79% delle aziende che ha subito almeno un attacco di successo nel corso dell’ultimo anno. La mancanza di investimenti sufficienti in sicurezza informatica durante la pandemia ha contribuito a creare un debito informatico, aumentando ulteriormente il rischio per le organizzazioni.

Attacchi BEC: Business Email Compromise

Il fenomeno del phishing è in costante evoluzione, attraverso gli attacchi di tipo BEC (Business Email Compromise), che mirano a ingannare gli utenti per ottenere accesso a informazioni sensibili.

La situazione è ulteriormente complicata dal fatto che non riguarda solo le aziende, ma coinvolge anche utenti individuali. Nel primo semestre del 2023, infatti oltre il 40% degli utenti italiani ha ricevuto un alert relativo al furto dei propri dati, evidenziando l’ampia portata del problema.

La consapevolezza e la formazione sono considerate strategie fondamentali per mitigare i rischi, ma il report indica che solo il 49% delle organizzazioni italiane dispone di programmi di security awareness, evidenziando la necessità di un maggiore impegno in questo settore.

Questo tipo di attacchi ha segnalato l’esigenza di agire sul fronte della consapevolezza degli utenti. Di questo stesso indirizzo è proprio la Corte di Cassazione che, tramite una sentenza, ha sancito la non responsabilità di una banca dinanzi a una truffa causata da negligenza dell’utente. Questo significa che, quando un’istituzione ha messo a punto ogni possibile sistema di sicurezza per proteggere gli utilizzatori o la rete, la responsabilità della violazione è di chi ha commesso la negligenza.

Non si tratta di colpevolizzare la vittima, quanto piuttosto di spingere le persone e le istituzioni a comunicare meglio e a muoversi con maggior cautela nel trattare dati sensibili come username, password, OTP ecc.

Strategia Zero Trust

Vista la situazione è chiaro che sia giunto il momento di investire maggiori risorse a tutela dei dati dell’intero Paese. Anche per questo si sente sempre più parlare di un particolare tipo di approccio alla cyber security, noto con il nome di ZERO TRUST, che tradotto significa “zero fiducia”.

Zero Trust si basa sul principio fondamentale di non fidarsi automaticamente di nessun utente o dispositivo, nemmeno se questi fanno parte della rete interna di un’organizzazione o sono già noti. In sostanza Zero Trust rifiuta l’idea tradizionale che una volta che un dispositivo o un utente è all’interno di una rete aziendale, possa essere considerato automaticamente attendibile.

Purtroppo solo il 38% delle organizzazioni intervistate ha affermato di avere una strategia Zero Trust definita e articolata: da qui si evince la necessità di concentrarsi maggiormente sulla creazione di una cultura condivisa in termini di sicurezza informatica.

Infine anche il coinvolgimento dell’utente come prima linea di difesa rimane un aspetto cruciale, soprattutto se consideriamo che una prassi molto diffusa è proprio quella di usare la stessa password per più piattaforme. Ecco perché le considerazioni sulla sicurezza informatica non possono prescindere da quelle che riguardano la cultura condivisa, a partire da scuole, PA, enti locali e camere di commercio.