Cybercrime e best practices per la sicurezza informatica nelle aziende

A cura di:Lorenzo Nicolò Meazza e Olivia de Paris Ore

Comprendere il cybercrime

Il cybercrime, noto anche come crimine informatico o crimine digitale, si riferisce a qualsiasi attività criminale che coinvolge l’utilizzo di computer, reti informatiche o dispositivi digitali.

Le principali attività illegali riscontrate fino ad oggi sono l’accesso non autorizzato a sistemi informatici, il furto di dati, la diffusione di virus informatici con conseguente danneggiamento o richiesta estorsiva per la riduzione in pristino, l’intercettazione illegale di comunicazioni, la frode informatica e varie altre forme di violazione della sicurezza informatica.

Quello che si nota nella comune esperienza è che il cyberattack proviene, molto spesso, dall’interno della realtà aziendale.

Questa c.d. insider threat e, cioè, la minaccia proveniente da persone interne all’organizzazione (dipendenti, fornitori, partner economici, soci etc.) si alterna a sistemi di attacco esterno che riescono a prendere il controllo del sistema informatico anche a migliaia di chilometri tramite, ad esempio, il RAT (Remote Administration Tool).

Ad oggi, le società sono chiamate ad affrontare una sfida in termini di prevenzione e persuasione, oltre che di contenimento del danno economico – e non – provocato dal crimine informatico e cibernetico, con un approccio su larga scala che consenta di fronteggiare la criminalità in rete in ogni sua declinazione.

Impatto del cybercrime sulle aziende

Gli effetti del cybercrime sono spesso immediati e devastanti per un’azienda.

Questa può subire perdite finanziarie, sia dirette che indirette, a causa del furto di fondi o di dati finanziari, dovendo mettere in contro anche successivi costi per l’individuazione e la risoluzione della violazione, la riparazione dei sistemi di sicurezza e l’eventuale risarcimento di clienti per le perdite subite.

Il danno economico molto spesso si affianca a quello reputazionale, che si può manifestare in modo incalcolabile: quando la reputazione di un’azienda viene danneggiata da un attacco informatico, si può verificare una perdita di fiducia dei clienti e dei partner commerciali, il che può avere un impatto a lungo termine sulle vendite e sui profitti aziendali.

Di seguito, si ricordano alcuni recenti attacchi informatici che hanno causato un impatto significativo sulle aziende.

L’attacco di ransomware WannaCry del 2017 che ha colpito numerose aziende, inclusi ospedali e istituzioni governative, bloccando l’accesso ai dati e richiedendo un riscatto per sbloccarli.

Il caso Equifax, una delle più grandi agenzie di reporting del credito negli USA. Nel 2017, Equifax ha rivelato che i dati personali di 143 milioni di americani erano stati esposti a causa di una violazione della sicurezza. Questo incidente è costato ad Equifax oltre 1,4 miliardi di dollari in spese legate alla violazione e la reputazione dell’azienda ne è stata gravemente danneggiata.

Recentissimo è il caso truffa finanziaria a danno della multinazionale britannica con sede a Hong Kong che ha spostato “per errore” 200 milioni di dollari da Hong Kong su cinque conti sconosciuti, operazione effettuata da un dipendente truffato tramite una video call dove ha pensato di parlare e prendere ordini dai suoi referenti – che, in realtà, erano un prodotto del deep fake -, disponendo lo spostamento di denaro ancora non ritrovato.

E come non citare il cyberattak subito da Leonardo S.p.A. nel 2017, commesso da un insider, il quale ha causato la fuoriuscita di “oltre 100mila file, riguardano, oltre i dati personali dei dipendenti, la progettazione di componenti di aeromobili civili e di velivoli militari destinati al mercato interno e internazionale”.

Durante le indagini effettuate dalla Polizia di Stato di Napoli e dal C.N.A.I.P.I.C. (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche), emerse che “per quasi due anni, tra maggio 2015 e gennaio 2017, le strutture informatiche di Leonardo Spa erano state colpite da un attacco informatico mirato e persistente (noto come Advanced Persistent Threat o APT), realizzato con installazione nei sistemi, nelle reti e nelle macchine bersaglio, di un codice malevolo finalizzato alla creazione ed al mantenimento di attivi canali di comunicazione idonei a consentire una perdita di dati lenta e continua di elevati quantitativi di dati e informazioni di importante valore aziendale[1].

È quindi evidente che per prevenire e mitigare il serio rischio di cybercrime, le aziende devono prendere coscienza del problema ed adottare misure di sicurezza informatica efficienti.

Legislazione e normative sulla cybersecurity

Nel campo penale, il nostro codice prevede numerose – ma non ancora sufficienti – fattispecie criminose che puniscono, tra le altre, l’accesso abusivo a sistemi informatici o telematici (art. 615 ter c.p.), la detenzione di apparecchiatura atta a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche (art. 617 bis c.p.), il danneggiamento di informazioni, dati e programmi informatici (art. 635 bis c.p.) o di sistemi informatici o telematici (art. 635 quater c.p.).

Tali reati sono, inoltre, richiamati quali reati presupposto dagli artt. 24 e 24 bis D.Lgs. 231/2001, che puniscono le società (tramite severe sanzioni interdittive e pecuniarie) a vantaggio delle quali è stata commessa una frode informatica o delitto informatico o un trattamento illecito dei dati, di cui agli articoli sopra richiamati del codice penale.

Questo significa che, se un soggetto che ricopre funzioni di rappresentanza, amministrazione o direzione della società o di una sua unità organizzativa dotata di autonomia funzionale e finanziaria, oppure che gestisce o controlla la società, o un suo sottoposto, commette un reato tipico del cybercrime nell’interesse o a vantaggio della società, questa sarà chiamata a rispondere nel procedimento 231 instauratosi a suo carico.

Certo, vi è sempre la possibilità di difendersi nel procedimento 231, anche al fine di dimostrare l’estraneità dell’ente e/o del legale rappresentante dello stesso.

Ma ciò al pesante costo di essere comunque sottoposti al procedimento davanti alle autorità competenti, con anche la possibilità di vedersi applicare eventuali misure cautelari quali sequestri o commissariamenti giudiziari e, dunque, ad una generale perdita economica e reputazionale.

Ecco, quindi, l’importanza della compliance aziendale in materia 231 che non significa solo adottare un modello di organizzazione, gestione e controllo e un codice etico, ma soprattutto renderli concreti e manifesti, anche tramite un efficace processo di adozione di protocolli di gestione della sicurezza informatica, nei quali vi sia una specifica disciplina aziendale in materia di prevenzione, contenimento e risposta al cybercrime.

In merito, si evidenziano quelle che secondo la prassi più diffusa rappresentano le best practices aziendali da seguire per adeguare la società all’attuale normativa:

  • Individuazione del bene aziendale da tutelare e dei rischi ai quali è potenzialmente esposto;
  • formazione e sensibilizzazione del personale su minacce e misure di sicurezza, anche addestrando a riconoscere messaggi appositamente creati per essere ingannevoli (c.d. phishing);
  • adozione di software di sicurezza per proteggere i sistemi aziendali, filesystem di nuova generazione, sistemi criptati di accesso a determinate informazioni sensibili;
  • implementazione di politiche di accesso (c.d. least privilege) e controllo ai sistemi aziendali. In particolare, limitazioni dell’accesso al solo personale autorizzato e previsione di una rigorosa separazione dei ruoli nel sistema di logging;
  • costante backup e ripristino dei dati;
  • monitoraggio dell’ambiente informatico per rilevare potenziali minacce, anche tramite un sistema di segnalazione interna (c.d. whistleblowing);
  • implementazione del sistema di prevenzione (sandbox, NIDS, blocco automatico di codici javascript, antivirus e antimalware, etc.);
  • predisposizione, implementazione e costante aggiornamento di un documento di security policy.

Conclusioni

Pur se coperti da norme penali, al giorno d’oggi resta ancora molto difficile perseguire i colpevoli di reati informatici e, ancor di più, strutturare un sistema di prevenzione degli stessi.

Questo vulnus, reso ancor più grave dalla scarsità di risorse tecniche disponibili, di forze di polizia e di difficoltà nel coordinamento sul territorio internazionale, si riversa in primis quale rischio reputazionale ed economico per le società e, post factum, rappresenta una distorsione nel sistema processuale penalistico che lo rende sempre meno al passo con i tempi.

La difesa nel processo dell’ente è materia tecnico giuridica da affidare agli esperti del settore, ma la predisposizione di modelli di organizzazione, gestione e controllo che tutelino l’ente dal rischio di commissione di reati anche informatici è di competenza di ciascuna realtà societaria, unitamente alla necessità che suddetto modello venga adottato e aggiornato in concerto con il codice etico e la security policy aziendale.

La società dovrà prendere coscienza dei rischi tecnologici sempre più concreti e della necessità di operare con strutture organizzate ed idonee per prevenirli o, quanto meno, per contenerne i danni.

Note

[1] D. Fioroni, Attacco Hacker a Leonardo Spa, 2 arresti, in www.poliziadistato.it, 5 dicembre 2020

Articolo a cura di Lorenzo Nicolò Meazza e Olivia de Paris

Profilo Autore
Lorenzo Nicolò Meazza

Avvocato penalista, titolare dell’omonimo Studio legale sito in Milano e Vicepresidente della Camera Penale di Milano, ove ha costituito la Commissione sull'intelligenza artificiale.
Si occupa prevalentemente di diritto penale d'impresa, con un focus particolare su criminalità informatica, compliance, diritto penale delle nuove tecnologie e digital forensics. Membro e presidente di numerosi Organismi di Vigilanza, il suo studio ha acquisito particolare esperienza nella redazione di Modelli Organizzativi e Regolamenti informatici aziendali.
È stato selezionato dall’Ordine forense di Milano e dal Pool Reati Informatici della Procura milanese tra gli avvocati esperti in diritto dell’informatica, con particolare competenza nella trattazione dei reati informatici.

Profilo Autore
Olivia de Paris

Avvocato penalista dello Studio Legale Meazza, laureata presso l’Università Bocconi, con esperienza consolidata nel diritto penale dell’economia e del diritto penale tributario. Componente di Organismi di Vigilanza, autore di pubblicazioni in materia, focalizzata su delitti informatici e best practice per la sicurezza informatica aziendale, con particolare attenzione ai recenti progressi dei nuovi sistemi di Intelligenza Artificiale.

Altri Articoli
Condividi sui Social Network:

Articoli simili

Tor, l’anonimato e la cifratura telescopica

Tor, l’anonimato e la cifratura telescopica

A cura di:Fabrizio D'Amore Ore Pubblicato il

Quando si sente parlare di Tor, o meglio, del Tor-browser, si pensa immediatamente a uno strumento legato alla malavita, all’illecito, al terrorismo. Eppure, il progetto è portato avanti da una organizzazione non-profit che ha sede a Seattle, stato di Washington, USA. È una cosiddetta organizzazione 501(c)(3), che agisce cioè con il beneficio di essere esente…

GDPR: Adeguamento aziende e criticità

GDPR: Adeguamento aziende e criticità

A cura di:Stefano Luca Tresoldi Ore Pubblicato il

A oltre due anni e mezzo dall’emanazione e ad oltre sette mesi dall’entrata in vigore del GDPR 1 diverse aziende si sono correttamente conformate alle nuove disposizioni normative in tema di protezione dei dati personali. Molte, che non si sono mosse con adeguato anticipo, si sono comunque attivate per riuscire ad adempiere alle principali prescrizioni…

Security Service Edge: quattro principi fondamentali per il tuo percorso SASE

Security Service Edge: quattro principi fondamentali per il tuo percorso SASE

A cura di:Redazione Ore Pubblicato il

Security Service Edge (SSE) è un concetto importante per comprendere il viaggio verso un’architettura Secure Access Service Edge (SASE). SSE è un termine introdotto da Gartner in riferimento allo stack di sicurezza in evoluzione necessario per raggiungere con successo una convergenza SASE, che include funzionalità tecnologiche come Cloud Access Security Broker (CASB), Secure Web Gateway…

L’autenticazione che si evolve: dalla password ai token U2F – Parte 2

L’autenticazione che si evolve: dalla password ai token U2F – Parte 2

A cura di:Andrea Pasquinucci Ore Pubblicato il

Nell’articolo precedente sono state brevemente riassunte le principali caratteristiche del processo di autenticazione tramite password, biometria e chiavi pubbliche+private. La problematica principale è però non tanto definire delle tecniche di autenticazione teoricamente sicure, quanto trovare dei processi di autenticazione che siano facilmente adottabili e che garantiscano un livello di sicurezza adeguato ai rischi dei relativi…

Cyber Intelligence a supporto della difesa informatica aziendale

Cyber Intelligence a supporto della difesa informatica aziendale

A cura di:Giuseppe Brando Ore Pubblicato il

In un mondo sempre più interconnesso dove gli eventi sono imprevedibili e mutevoli, le aziende e le istituzioni devono avere le capacità di anticipare gli eventi. L’intelligence ci viene in supporto per questa esigenza. La Cyber Intelligence è una declinazione dell’intelligence che mira ad identificare, raccogliere, tracciare e monitorare tutte quelle informazioni di tipo digitale…

Obsolescenza tecnologica; conoscerla per combatterla con efficacia

Obsolescenza tecnologica; conoscerla per combatterla con efficacia

A cura di:Massimiliano Brolli Ore Pubblicato il

Molto spesso mi viene chiesto come poter sostituire il software obsoleto presente sulle applicazioni evitando gli elevati impatti economici, le riscritture di codice e soluzioni custom. Purtroppo non c’è una risposta o una soluzione definitiva, in quanto tutte le cose (e anche le applicazioni) hanno un loro ciclo di vita. È però possibile dare delle…