Cybercriminalità nel settore sanitario: minacce ransomware e protezione dei dati sanitari

Questo contributo fa parte della serie “La cybercriminalità nel settore sanitario: anamnesi, diagnosi e prognosi di una ‘patologia’ informatica”. La cybercriminalità nel settore sanitario rappresenta oggi una delle minacce più gravi e diffuse, colpendo ospedali e strutture sanitarie per l’elevato valore dei dati sensibili che custodiscono. A partire da queste evidenze, l’articolo introduce il concetto stesso di cybercriminalità, ripercorrendone l’evoluzione storica, gli approcci di studio, le difficoltà di misurazione e le principali classificazioni terminologiche, fino ad arrivare alle condotte cyber-dipendenti che colpiscono direttamente il settore sanitario.

Cybercriminalità nel settore sanitario: analisi delle minacce

“Il settore della sanità è tra i più bersagliati al mondo per la quantità e la qualità di dati sensibili che custodisce e che ovviamente hanno un grande valore economico” così asserisce Alessandro Fontana, head of sales di Trend Micro Italia, azienda altamente specializzata in cybersecurity.

Sullo stesso tema approfondisce poi Sofia Scozzari, membro del comitato scientifico di Clusit (Associazione Italiana per la Sicurezza Informatica): “Nel 2021, su un campione di 2.049 gravi attacchi individuati a livello globale, le aggressioni digitali verso questo settore sono state 262 (un dato in crescita del 24.8% rispetto al 2020), rappresentanti il 13% degli attacchi totali (erano il 10% nel 2018 e l’11% nel 2019 e 2020).[1] […]

Cresce soprattutto la gravità degli attacchi e questo è l’elemento più preoccupante, indice del fatto che i criminali sono decisi a causare più danni possibile verso un settore di importanza cruciale per la popolazione, in modo da esser certi di massimizzare i profitti”.[2]

Si tenga a mente come il rapporto Clusit basi le proprie valutazioni unicamente su di un campione di cyberattacchi di notevole gravità (che hanno avuto cioè significativi impatti in termini di perdite economiche o di diffusione di dati sensibili) e di pubblico dominio, rappresentanti quindi una sottostima, o la proverbiale “punta dell’iceberg” del numero effettivo di cyber attacks sferrati quotidianamente che vengono bloccati o di cui non si viene a conoscenza.

Prima di volgere l’attenzione ad una approfondita analisi circa le tipologie di cyber-condotte criminose minanti l’healthcare system, occorre brevemente soffermarsi su che cosa si debba intendere parlando di cybercriminalità.

È in questi termini invero che lo scrittore William Gibson nel suo romanzo Neuromancer ipotizzava l’esistenza di un realtà sociale, uno spazio virtuale quasi indipendente dalla realtà fisica, denominato per la prima volta col nome di cyberspazio: “Una rappresentazione grafica di dati estratti dai registri di ogni computer del sistema umano. Complessità impensabile. Fasci di luce si estendono nel non-spazio della mente, ammassi e costellazioni di dati”.[3]

Ad oggi gli scenari descritti da Gibson non sembrano più appartenere alla sola dimensione del romanzo di fantascienza, ma anzi sono divenuti centrali nelle riflessioni riguardanti la configurazione assunta dalla nostra società, una società a tutti gli effetti digitale.[4]

La fine del ventesimo secolo è difatti stata descritta come l’era di una nuova rivoluzione[5] legata principalmente alla diffusione della Rete Internet, congeniata negli anni Sessanta da parte del Ministero della Difesa Statunitense come progetto di importanza strategica, per poi andarsi progressivamente ad allontanare dalle primordiali finalità militari, imponendosi come strumento di mass-communication diffuso su scala planetaria.

Se gli strumenti digitali, il cyberspazio, e le forme sociocomunicative ad essi legate sono associati a decisivi cambiamenti in tutti gli aspetti della vita sociale quotidiana, questi stessi effetti possono essere osservati anche per quanto riguarda l’agire criminale.[6]

Pertanto le innovazioni culturali e scientifiche, indotte da tale rivoluzione digitale, si sono imposte parallelamente all’incremento di una new crime’s way particolarmente complessa:[7] d’altronde dove esistono nuovi fatti sociali, nuove abitudini, nuove modalità per incontrarsi, pagare, proteggere i propri beni, nuove identità digitali, nuovi sistemi per acquisire informazioni, è naturale che lì si annidino anche nuove opportunità criminali.[8]

La criminalità legata alle nuove tecnologie è stata inizialmente un ambito di studio privilegiato dell’informatica, dell’ingegneria elettronica e dei computer security studies, generalmente focalizzati sullo sviluppo di soluzioni tecniche finalizzate all’individuazione delle minacce all’integrità dei sistemi e alla loro protezione. Un approccio questo, si capisce, limitato agli aspetti puramente tecnici dei problemi di sicurezza, trattati separatamente dagli effetti sociali e indipendentemente dalle interazioni costanti fra tali due dimensioni.

Ed è invece lungo quest’ultima prospettiva che si iscrivono gli orientamenti elaborati dalle scienze sociali che se, da un lato, intendono approfondire la natura e le caratteristiche delle realtà criminali e delle forme di vittimizzazione associate alla Rete, consentono altresì di soffermarsi su concetti quali la devianza, il controllo sociale, il processo di valutazione delle opportunità operato da parte dei criminali informatici, capaci di soppesare il proprio agire in base ai rischi associati all’utilizzo delle tecnologie digitali.

Si noti peraltro come siano non pochi gli aspetti problematici associati alle ricerche in questo ambito.

In primis la difficoltà di misurare prevalenza ed incidenza di suddetti fenomeni, dovuta innanzitutto alle statistiche ufficiali sulla criminalità, le quali non permettono di avere una fotografia accurata del fenomeno oggetto di studio, andando a rimarcare il cosiddetto “numero oscuro”, ossia il concetto utilizzato per designare la differenza fra la criminalità “registrata” dalle agenzie del controllo sociale (a partire dai dati generati dall’attività delle forze di polizia a quelli propri della macchina processuale di giustizia penale) e quella reale, corrispondente all’insieme dei reati effettivamente perpetrati.[9]

E allo stesso modo anche le inchieste di vittimizzazione non sono immuni da criticità, si ricordi infatti come le risposte a tali indagini si basino sulla percezione degli intervistati e, in particolare, sulla loro capacità di identificare come criminale un dato evento rispetto al quale stimarsi vittima. Ora, nell’ambito della cybercriminalità, tale processo di identificazione è reso maggiormente complesso dal fatto che l’individuo può non esser conscio di essere vittima di un crimine digitale (si pensi all’hacking). Ancora, tale tipo di inchieste tende spesso ad attribuire agli intervistati un savoir-faire tecnologico in merito alla esperienza di vittimizzazione (ad esempio questioni sui virus informatici), competenza non necessariamente posseduta da tutti i soggetti studiati.[10]

In secundis si noti come la cybercriminalità, realizzandosi in parte nel cyberspazio, un ambiente per così dire “dematerializzato”, lasci spesso delle tracce che necessitano, per essere interpretate, di specifiche ed altamente sofisticate competenze, che contribuiscono a lanciare una sfida sul piano della effettiva gestione del know-how tecnologico.[11]

Si può sostenere come i reati informatici, per definizione, non conoscano confini, lo spazio virtuale è invero uno spazio unitario evanescente, che sfugge cioè dal dominio di un singolo Stato: trattare di cybercrimes significa infatti interrogarsi su crimini dal respiro internazionale e dalla natura transnazionale, diventando così determinante, ai fini dell’applicazione delle leggi specifiche in materia, accertare da dove partano cyber attacchi ed intrusioni, come anche individuare dove si vadano ad esplicare gli effetti malevoli. La possibilità di agire da remoto permette di fatto agli autori delle condotte illecite di aggirare le sempre più fragili difese su cui possano contare gli Stati nazionali, consentendo loro di agire potenzialmente su di una dimensione planetaria. [12]

Ancora una volta si rifletta sulla portata globale del fenomeno[13], come anche sulla sua preoccupante diffusione trasversale, per cui si palesano come necessarie tanto l’adozione di accordi internazionali per la prevenzione e la lotta alla criminalità informatica, quanto altresì l’idea di una cooperazione allargata fra Stati, nonché di uno sforzo globale, in un’ottica di implementazione e di armonizzazione dei vari ordinamenti interni, prevenendone eventuali situazioni di impasse.

Ciò che si voleva fin qui evidenziare è come lo studio delle realtà devianti associate alla Rete inviti a confrontarsi sì con fenomeni di indubbia attualità, ma altresì di difficile analisi.

In tal senso, alcuni degli strumenti e delle fonti “tradizionali” della ricerca socio-criminologica mostrano indubbiamente i loro limiti al cospetto di una criminalità caratterizzata da natura immateriale e dimensione transnazionale.

Di conseguenza nessun approccio può pretendere l’esaustività, anzi le strategie di ricerca permettono di ottenere un’immagine maggiormente accurata della cybercriminalità soprattutto qualora integrino differenti fonti e metodi di indagine, così da riuscire a far fronte a fenomeni che, per la natura stessa di Internet, presentano un carattere globale, distribuito e reticolare.[14]

Cybercriminalità e dati sanitari: definizioni giuridiche e tecniche

Si ripeta come l’evoluzione tecnologica, nonché informatica e telematica, quale fenomeno diffuso a livello globale, sia generatrice non soltanto di risultati benevoli quali di crescita sociale, di modernizzazione, di superamento di barriere ed abbattimento di distanze, di semplificazione e velocizzazione delle attività, ma altresì di sviluppo della criminalità informatica, intesa come attività illecita penalmente rilevante, commessa per mezzo ovvero contro sistemi informatici.[15]

Se è vero infatti che il crimine accompagna l’umanità dagli albori della sua storia evolutiva, adattandosi di pari passo col variare della realtà sociale, allora in tal senso la “rivoluzione digitale” non ha fatto altro che innescare anche una sorta di “rivoluzione criminale”: l’utilizzo illecito della tecnologia ha cioè generato la cosiddetta criminalità cibernetica, fenomeno in continua espansione, che ad oggi registra livelli di diffusione e pervasività tali da rendere cittadini, imprese, nonché Stati particolarmente vulnerabili.[16]

Una delle prime locuzioni utilizzate per descrivere il fenomeno in esame è quella di criminalità informatica (computer crime), che citando Ponti “designa tutte le attività illecite in cui il computer è coinvolto come strumento, simbolo o oggetto del fatto delittuoso”[17]. Verso la metà degli anni novanta poi, al termine evocato va affiancandosi quello di cybercriminalità (cybercrime), con cui si vogliono indicare tutti quei comportamenti illeciti la cui commissione implica l’uso delle reti telematiche o in cui l’autore utilizza delle conoscenze particolari del cyberspazio.[18]

In tale prospettiva, se la prima nozione si riferisce principalmente alle realtà criminali in cui è presente l’utilizzo del computer, la cybercriminalità, per come poc’anzi descritta, abbraccia un più eterogeneo insieme di condotte illecite, accomunate dall’utilizzo di Internet e realizzate attraverso un qualsiasi dispositivo che consenta la connessione in Rete.[19]

Ed è proprio quest’ultimo termine ad essersi progressivamente imposto nel dibattito pubblico e scientifico, fino ad una sua ufficiale consacrazione nell’ambito dei trattati internazionali per merito della Convention on Cybercrime del Consiglio d’Europa, quale primo strumento multilaterale in materia, firmato a Budapest nel 2001.[20]

Ciononostante l’anzidetta espressione ha patito nel tempo diverse critiche, provenienti in primo luogo dalle Nazioni Unite che non hanno mancato di sottolineare come le difficoltà di cooperazione internazionale nell’ambito del contrasto al fenomeno siano in parte legate alla natura vaga e imprecisa di tale nozione.[21] D’altronde la stessa Convenzione sulla cybercriminalità non precisa il significato di tale termine, limitandosi ad enumerarne le forme di criminalità comprese al suo interno.

Si giudica allora opportuno utilizzare tale terminologia non tanto per descrivere un fenomeno criminale a sé stante, quanto per indicare un insieme di pratiche e condotte criminali accomunate, nella loro commissione, da un ruolo centrale svolto dalle tecnologie dell’informazione e della comunicazione: differenti realtà caratterizzate da simili tratti distintivi quali: l’anonimato dei comportamenti, il carattere immateriale delle informazioni e la dimensione transnazionale delle condotte.[22]

Allo stesso modo si sono susseguite, da parte degli esperti del settore, molteplici definizioni di crimine informatico, a causa proprio della eterogeneità dei modi con cui esso può essere compiuto.

Da qui Ceccacci, in una propria definizione che richiama fortemente alla mente la proposta di Ponti: “Il crimine informatico rappresenta qualsiasi atto o fatto contrario alle norme penali, nel quale il computer è stato coinvolto come strumento, simbolo od oggetto del fatto”.[23]

Sul versante del diritto poi, la dottrina offre numerosi spunti classificatori.

Si può qui ricordare Sarzana e la sua suddivisione basata sullo scopo dell’azione criminosa, in:[24]

1. Crimini correlati all’utilizzo del computer ed aventi per scopo la realizzazione di un profitto per l’autore e la produzione di un danno per la vittima (si pensi tanto alla appropriazione di dati o informazioni, quanto ai crimini finanziari).
2. Crimini diretti contro il computer come entità fisica, aventi per scopo il danneggiamento parziale o totale del sistema stesso (ad esempio una immissione di programmi virus).
3. Crimini correlati con l’uso del computer diretti a provocare danni fisici ad interi gruppi o persone.

Tali premesse terminologiche si sono ritenute doverose al fine di poter successivamente trattare di attacchi informatici indirizzati a colpire le aziende sanitarie ed ospedaliere, indubbiamente atti qualificabili come minacce legate ad una criminalità del tutto “nuova”, definibile cyber-dipendente.

Criminalità dipendente dalle nuove tecnologie

Le tecnologie informatiche e telematiche hanno indubbiamente fornito nuovi spazi, opportunità e strumenti di espressione alle forme di criminalità più “tradizionali”, a tal proposito McGuire e Dowling parlano invero di criminalità cyber-abilitata.[25]

Si considerino, a fini esemplificativi, il furto e le frodi di identità: certo è sempre stato possibile appropriarsi di informazioni relative all’identità altrui, fingersi un’altra persona ed ingannare terzi per trarne illeciti vantaggi. Ma tale reato, che nel mondo fisico era dote di pochi poiché richiedeva un agire scaltro, qualificato, nonché sofisticato, ad oggi risulta maggiormente realizzabile nonché pericoloso. Ciò è dovuto al fatto che si possono agevolmente sottrarre informazioni personali altrui online, magari tramite social media, e servirsene materialmente per produrre documenti fisici da presentare nei contesti più disparati al fine di ottenere benefici ed illeciti vantaggi.[26]

Eppure l’avvento della società digitale ha anche contribuito all’emergere di condotte illecite del tutto nuove, ad alto contenuto tecnologico ed interamente associate alla Rete: sono i veri crimini informatici, quelli puri, che compaiono con Internet e possono essere perpetrati solo all’interno del cyber-spazio, come afferma Wall nella sua elaborazione.[27]

A tal proposito ci si rifà alla definizione di criminalità cyber-dipendente, in merito alla quale McGuire e Dowling hanno avanzato due sotto-classificazioni basate sul modo in cui tali crimini sono realizzati. Per i due autori infatti i crimini dipendenti dalle nuove tecnologie rientrerebbero in due famiglie principali: quella delle intrusioni illecite nelle reti informatiche e quella dell’interruzione o del danneggiamento della funzionalità dei computer e delle reti.[28]

Così un chiaro esempio annoverabile nella prima famiglia risulta essere l’hacking, quale accesso non autorizzato a reti informatiche, computer, telefoni cellulari e dispositivi che, sfruttando lacune di sicurezza, mira a raccogliere principalmente dati personali od informazioni utili. Si pensi al valore di un dato sanitario, fornito dall’insieme di dati anagrafici (nome, cognome, codice fiscale etc.) utilizzabili per furti di identità, uniti ai dati sulle patologie, impiegabili per attività di marketing farmaceutico o altre attività commerciali collegate.

Della seconda famiglia invece fanno parte i malware (software maligni finalizzati a diffondersi nei computer ostacolandone il funzionamento, passibili di assumere diverse forme quali virus[29], worm[30], spyware[31], ransomware[32]); lo spam (quali messaggi di posta elettronica non richiesti, inviati tipicamente a innumerevoli destinatari, al fine di raccogliere dati personali delle vittime); il Denial-of-Service (DoS), quale attacco consistente nell’inviare intenzionalmente grandi quantità di dati ad un obiettivo mirato, innescandone così un crash, al fine di impedire agli utenti legittimi di accedere ed utilizzare la risorsa di rete; il Distributed Denial-of-Service (DDos), cioè uno speciale DoS che si muove non da un indirizzo IP unico ma da più di uno, anzi spesso migliaia.

Nel suddetto complesso di cyber-condotte riveste, come si vedrà, ruolo di considerevole importanza l’attacco ransomware: per ovvi motivi, strutture come ospedali e cliniche di rado possono permettersi periodi di disservizio causati da cyber-attacchi. Pertanto i criminali informatici, profittando di tale vulnerabilità, sfruttano l’importanza vitale di tali strutture come leva per forzare il pagamento di ingenti somme di denaro, quale riscatto, per fornire alle vittime la chiave atta a decrittografare tutti i dati sensibili precedentemente presi in ostaggio e per riottenere il regolare ripristino del sistema.

Ancora si consideri come, in un loro saggio, Brar e Kumar[33] propongano una minuziosa classificazione circa gli attacchi informatici, basata sull’impatto che essi possono registrare sui tre principi fondamentali della cyber-sicurezza: la confidenzialità, l’integrità e la disponibilità, su tali nozioni risulta necessario soffermarsi per brevi cenni.

Sicurezza dei dati sanitari: confidenzialità, integrità e disponibilità (CIA)

Innanzitutto tramite la nozione di “sistema informatico” si suole intendere l’insieme delle risorse computazionali, di comunicazione (quali le reti locali), nonché di tutte le informazioni trattate dalle anzidette risorse.

Parlando di sicurezza informatica invece si intende, secondo la definizione fornita dall’ISO (International Standard Organization), l’insieme delle misure atte a garantire, ad un sistema informatico, le seguenti proprietà: confidenzialità, l’integrità e disponibilità.

Tali principi guida si figurano come le tre componenti principali della cosiddetta triade CIA (Confidentiality, Integrity e Availability) per l’Information Security, un modello di sicurezza delle informazioni ampiamente accettato, condiviso ed altresì destinato a guidare le procedure e politiche di sicurezza di qualsivoglia organizzazione.

Si capirà, un’eventuale compromissione di qualsiasi elemento della triade comporterebbe inevitabilmente la diretta compromissione della stessa sicurezza dei dati.

Nel prosieguo della trattazione si vogliano schematicamente riassumere i tre principi guida e le macro-raccomandazioni che ognuno di essi comporta.[34]

La confidenzialità innanzitutto ha a che fare con il mantenere privati i dati di una organizzazione: pare ovvio, meno persone possono accedere ad essi, minore sarà il rischio che possano essere effettuate violazioni della sicurezza. Ciò implica che il patrimonio informativo (detto asset) sia passibile di accesso solo da parte dei soggetti in possesso di una adeguata autorizzazione, tramite cui questi stessi potranno leggere, stampare, copiare o esser semplicemente a conoscenza dell’esistenza di una determinata risorsa.

Al fine di mantenere i dati riservati si dovranno allora mettere in atto protezioni che siano appropriate, alcune delle quali dovrebbero essere presenti nativamente all’interno dei sistemi di gestione dati, si pensi ad esempio a tutto ciò che riguarda le regole di autenticazione e autorizzazione nell’accesso ai dati. Ancora, si può parimenti garantire una maggiore confidenzialità adottando meccanismi di crittografia: metodo efficace per proteggere e rendere sicure le informazioni, tramite loro conversione in testi cifrati di modo che solo i soggetti autorizzati possano decrittografarli, impendendone al contempo accessi esterni non autorizzati.

Per esemplificare, un attacco informatico diretto a minare la confidenzialità risulta essere il keylogger, un tipo di malware che opera sullo sfondo di un sistema informatico, in modalità nascosta, di modo che tutte le informazioni

inserite dall’utente vengano catturate e trasmesse all’aggressore, senza che l’utente stesso autorizzato ne abbia consapevolezza.

L’integrità mira a garantire invece che i dati siano mantenuti in uno stato corretto, che non vengano manomessi e che dunque risultino affidabili. Oltre a controllare l’accesso ai dati invero le misure di sicurezza dovrebbero anche limitare ciò che le persone possono fare coi dati stessi: l’asset informatico potrà essere modificato cioè solo tramite autorizzazione (la possibilità ad esempio di spostare, copiare, alterare i dati verrà limitata). Ed è proprio tale autorizzazione ad individuare un livello di accesso alle risorse a cui sono associate un insieme definito di operazioni permesse: ad esempio, un utente potrebbe accedere in lettura ad un file, ma non in scrittura.

Esemplificando, un attacco diretto all’integrità può essere il data diddling, ovvero una alterazione, una manipolazione illegale o non autorizzata dei dati, e nel caso in cui i nuovi dati sovrascrivano i precedenti senza lasciare traccia, il danno risulterebbe irreversibile, a meno che non vi siano copie di sicurezza adeguate.

La disponibilità infine implica che i dati siano costantemente disponibili per gli utenti autorizzati, ogni qualvolta essi lo richiedano, ciò racchiude il dover mantenere sistemi, reti e dispositivi sempre attivi e funzionanti, di modo che la data organizzazione possa continuare ad operare anche di fronte ad un attacco informatico, o che non si renda ad ogni modo indisponibile a causa di guasti, malfunzionamenti, errori umani, calamità naturali etc.

Per garantire la disponibilità le organizzazioni dovranno utilizzare reti, server, storage, meccanismi di replica e protezione dati, nonché dotarsi di opportuni piani di backup/recovery per rispristinare l’operatività e la disponibilità di un sistema.

Tipici attacchi alla disponibilità risultano essere il DoS ed il DDoS, per mezzo dei quali i criminali si introducono illecitamente nelle reti informatiche e/o interrompono o danneggiano la funzionalità di computer e reti.

Chiare appaiono le conseguenze laddove il target dell’attacco sia una struttura ospedaliera ed oggetto della compromissione siano proprio i server dell’infrastruttura informatica: gravi problemi tecnici, disservizi nell’accesso dei pazienti alla stessa struttura, possibilità di eseguire prestazioni ospedaliere solo attraverso modulistica cartacea, con tutto ciò che ne consegue in tema di qualità dell’assistenza, nonché tempestività delle cure e/o di soccorso.

Date tali conseguenze devastanti ed impattanti non solo sui sistemi sanitari, ma anche su ciò che più propriamente attiene alla salute dei pazienti, le strutture ospedaliere dovrebbero iniziare a considerare in via proattiva e preventiva la sicurezza dei propri sistemi informatici, al fine di proteggere adeguatamente, e fin dalla progettazione del sistema, non solo i dati sanitari in essi conservati, ma anche l’operatività dei servizi.

Si tornerà comunque sull’argomento nell’avanzare della trattazione, ma già in questa sede si può anticipare come consapevolezza, formazione ed investimenti in termini di sistemi e di personale specializzato possano costituire elementi portanti di un piano strategico adottabile da parte delle strutture ospedaliere al fine di tutelarsi al meglio nei confronti dei rischi derivanti dalle cyber-compromissioni.

Sette principi di sicurezza

Si vogliano ora passare celermente in rassegna sette principi generali sulla sicurezza, di natura non tecnica, ma anzi di carattere generale, evolutisi nel tempo sino a diventare largamente accettati nonché fondamenta per la costruzione di sistemi sicuri e codificati, quali i sistemi operativi.[35]

Essi sono:

1. Minimo privilegio: è probabilmente uno dei principi fondamentali della sicurezza delle informazioni, indica come ogni risorsa (informatica, umana etc.) debba avere soltanto le autorizzazioni di cui ha bisogno per compiere il proprio lavoro, nulla di più. Così ad esempio ad un utente verranno concessi livelli, o permessi, minimi di accesso, nei limiti in cui siano necessari per svolgere le proprie mansioni;
2. Difesa in profondità: suggerisce come non si debba far affidamento soltanto su di un unico meccanismo di sicurezza, per quanto questo sia ritenuto estremamente valido ed affidabile. L’adozione infatti di molteplici sistemi di sicurezza che siano in grado di coprire eventuali malfunzionamenti di altre contromisure consente proprio di evitare la compromissione dell’intero sistema;
3. Anello debole: la sicurezza, proprio in forza del principio previamente enunciato, è rappresentabile come una catena di contromisure tanto forte quanto l’anello più debole: chiunque intenda attaccare il sistema lo farà infatti nella parte maggiormente vulnerabile, ovvero quella con la contromisura più fragile;
4. Fallimento in regime di sicurezza: quando una contromisura fallisce, lo deve fare comunque in maniera “sicura”. Ciò significa che se un sistema di sicurezza ha un malfunzionamento, non dovrà ad ogni modo consentire l’accesso ad eventuali intrusi, anche a costo di negare l’accesso stesso ai legittimi utenti;
5. Security through obscurity: è un principio largamente seguito nella vita di tutti i giorni e allude al voler proteggere gli oggetti, nascondendoli. In campo informatico si riferisce al mantenere segrete le informazioni relative ad un sistema di sicurezza, si tenga comunque bene a mente che è una tattica da accompagnarsi necessariamente ad una reale protezione adottata, altrimenti da sola risulterebbe inefficace;
6. Semplicità: principio che richiede di dotarsi di strumenti di semplice utilizzo e, per quanto possibile, anche di semplice progettazione, ciò invero consente una larga e veloce comprensione di ciò che accade, rendendo molto più facile capire se si è concretamente sicuri;
7. Partecipazione universale: la maggior parte dei sistemi di sicurezza richiede infatti la partecipazione universale (o, almeno l’assenza di opposizione attiva) delle risorse umane coinvolte. Di qui l’importanza di un corretto training in ambito di politiche di sicurezza: i dipendenti sono infatti la prima e la più forte linea di difesa contro la stessa criminalità informatica. Questo perché ancora numerosi attacchi informatici si basano sul trarre in inganno o sul convincere vittime mirate a compiere qualcosa che non dovrebbero (fare click su di un collegamento infetto od aprire un allegato di posta elettronica sospetto), invece con una corretta formazione del personale suddetti tentativi di manipolazione potrebbero essere agilmente individuati e segnalati ai corrispondenti team di sicurezza.

A tal proposito si richiamano a seguire le parole di Pierguido Iezzi, CEO e fondatore della cybersecurity company Swascan: “Imparare a riconoscere e-mail e messaggi sospetti è assolutamente vitale per la tenuta di qualsiasi organizzazione.[…] Per farlo è consigliabile implementare regolari e periodiche sessioni di formazione nei confronti di queste minacce. La migliore tecnologia, infatti, è inutile se non è affiancata ad un lavoro di riduzione del rischio umano.”[36]

Il tema dell’awareness dunque, ovvero il grado di conoscenza e formazione dei dipendenti rimane ad oggi un punto fermo, sicuramente al pari di quello della resilienza e della resistenza tecnologica.

Nuovi autori: i cyber-criminali

Le dimensioni del fenomeno dei computer crimes destano ormai notevole allarme sociale, le manifestazioni patologiche legate all’uso dell’informatica si vanno moltiplicando, studi, ricerche, dibattiti e statistiche evidenziano sempre più che il problema esiste e che sta assumendo dimensioni sempre più vaste.

Sembra esser necessario applicare nell’analisi del fenomeno un approccio multidisciplinare: ossia uno sforzo congiunto di ricerca da parte di criminologi, scienziati dell’informazione ed esperti di cyber-sicurezza.

Oltre all’analisi su natura e caratteristiche delle nuove condotte criminose legate al mondo digitale, la letteratura criminologica si è a lungo soffermata anche sullo studio in merito al profilo dei criminali informatici.

Risulta in questa sede interessante ricordare la comparazione operata da Weulen Kranenbarg fra l’autore di criminalità cyber-dipendente ed il criminale tradizionale.[37] Da tale analisi si ricavano le seguenti considerazioni: [38]

1. I reati cyber-dipendenti garantiscono l’anonimato, mentre ciò non viene altrettanto assicurato nei reati tradizionali;
2. I cybercriminali hanno una minore probabilità di essere scoperti e perseguiti rispetto ai criminali tradizionali, con conseguenti tassi di arresto notevolmente più bassi;
3. Le conseguenze sociali negative derivanti dalla commissione di un crimine cyber-dipendente sono molto meno pesanti. Ciò è dovuto al fatto che l’ambiente sociale può non essere consapevole del comportamento tenuto online da parte del criminale informatico che perciò non si attende di per sé alcuna conseguenza sociale negativa per le proprie condotte illecite;
4. Chi agisce nel mondo digitale si sente in qualche modo disconnesso dal mondo fisico, il contesto digitale infatti può portare ad un fenomeno definito da Suler “disinibizione online”.[39] Il cybercriminale potrebbe dunque non sentire alcuna responsabilità per aver commesso azioni illecite online, specialmente se si tratta di crimine cyber-dipendente, dove l’obiettivo principale è un computer e la vittima umana dietro a quel computer può essere totalmente sconosciuta;
5. Le opportunità, come già si è intuito, per i criminali cyber-dipendenti si manifestano in situazioni completamente diverse rispetto a quanto avviene per i criminali tradizionali;
6. Sono necessarie svariate competenze di diversa natura, alcune essenziali al fine di commettere crimini cyber-dipendenti. Va tuttavia ricordato che anche individui che siano provvisti di minori competenze informatiche possono sempre di più perpetrare reati altamente tecnici, in conseguenza del diffondersi del “cybercrime-as-a-service” (servizi e kit “pronti all’uso” acquistabili per portare avanti attacchi complessi anche senza il know-how tecnico necessario);
7. È indubbio che servano pazienza e scrupolosità per ottenere tali abilità tecniche specifiche. Mentre è stato dimostrato come la maggior parte dei criminali tradizionali non abbia un alto livello di autocontrollo e disciplina, ciò non è altrettanto vero per i criminali cyber-dipendenti, i quali devono spesso investire lunghi periodi di tempo nell’acquisizione di competenze altamente specialistiche.

Una lacuna presente nella letteratura criminologica attuale risulta essere la mancanza di indagini approfondite su come gli autori di criminalità fisica-tradizionale facciano uso dello spazio digitale, o semplicemente della tecnologia per la commissione dei loro reati offline. Nessun ricercatore poi si interroga sugli spostamenti, più o meno possibili, dei criminali tra lo spazio fisico e quello propriamente digitale: non ci sono cioè tracce di lavori scientifici incentratisi su come un attore tradizionale, ad un certo punto possa intraprendere una carriera criminale online e sul ruolo delle competenze digitali, tecnologiche, nonché informatiche in questo tipo di spostamenti.

Ed è proprio rispetto a tale tema che si può prendere in considerazione il periodo pandemico da Covid-19, quale fenomeno sociale totalizzante, che è stato in grado di toccare e plasmare ogni aspetto della vita umana organizzata.

A fronte infatti di una generale e decisa contrazione della criminalità tradizionale, specialmente appropriativa, gli anni pandemici (il 2020 e il 2021) sono stati spettatori di un forte ed incontrollato aumento della criminalità legato al mondo online, in tutti i Paesi industrializzati: la crisi sanitaria mondiale ha, in altri termini, innescato una sorta di “criminalità digitale pandemica”, aggressiva, predatoria, ed anche organizzata.[40]

Ovvio è che fra i suoi effetti la pandemia abbia messo in luce come la sanità di per sé sia estremamente frammentata e vulnerabile: il forte stress che ha colpito il personale medico, l’esigenza di velocizzare ed intensificare il processo di trasformazione digitale, ritenuto ormai indispensabile, e la necessità di rispondere prontamente all’emergenza, hanno senza dubbio messo a dura prova tutti i sistemi sanitari.

Si tornerà approfonditamente sul tema nel discorrere dei prossimi capitoli ma già qui si noti come si sia assistito in tale periodo ad una escalation di attacchi informatici contro ospedali, strutture sanitarie e società biotecnologiche: i cyber-criminali hanno opportunisticamente fatto leva sul senso di instabilità e di incertezza generato dalla pandemia, lanciando ripetute aggressioni proprio nel momento in cui tutte le risorse erano concentrate sul salvataggio di vite umane e sulla gestione di un flusso di pazienti di gran lunga superiore rispetto alle capacità ricettive ordinarie.

Nel concludere tali generali, quanto necessarie, considerazioni, si voglia sottolineare come la pandemia, quale esperimento naturale criminologico, abbia chiarito che è il livello di digitalizzazione diffuso a determinare il posizionamento della criminalità e dei suoi autori lungo lo spettro della criminalità digitale, e che questi riposizionamenti lungo tale spettro da parte degli stessi autori criminali possono avvenire molto rapidamente.

Sempre più allora, la ricerca criminologica si dovrà occupare di criminali posizionati lungo lo spettro della criminalità digitale ed in particolare di tutte quelle variabili soggettive ad essi riferite che possono in qualche modo andare ad influenzare il loro collocarsi in una posizione piuttosto che in un’altra lungo lo spettro stesso.

Di certo si può annoverare come ulteriore fattore caratterizzante i crimini informatici tutti una analisi circa le tipologie, le caratteristiche, l’evoluzione dei cyber-autori coinvolti, e di conseguenza in materia di innovative forme di schemi criminali associativi che si stanno nel tempo via via evidenziando.

Si vogliano approfondire tali tematiche proprio nell’immediato prosieguo della trattazione.

Dagli hacker alle cyber-gang

“Il termine hacker indica l’esplorazione intellettuale a ruota libera delle più alte e profonde potenzialità dei sistemi di computer, o la decisione di rendere l’accesso ai computer stessi ed alle informazioni quanto più libera ed aperta possibile”, così Bruce Sterling, uno dei padri della letteratura cyberpunk[41], nella sua opera, a metà fra narrativa e saggistica, “The hacker Crackdown”, con cui ritraeva il mondo della Rete degli anni Novanta. [42]

La storia dell’hacking ha inizio nell’inverno tra il 1958 e il 1959, grazie alle prime “esplorazioni” tecnologiche degli studenti del Massachussetts Institute of Technology (MIT) di Cambridge, più precisamente in un club studentesco di modellismo ferroviario (Tech Model Railroad Club), al cui interno per la prima volta cominciò a circolare il termine di “hacker”.[43]Quest’ultimo aveva in origine una connotazione del tutto positiva: nel gergo usato dai membri del club soleva indicare tutti coloro che erano dotati di eccezionali abilità informatiche, capaci di “spingere” i programmi al di là delle funzioni per le quali erano stati progettati (come peraltro, il significato del verbo to hack).[44]

Ed è proprio al MIT che nel 1959 furono istituiti i primi corsi di informatica, dedicati allo studio del linguaggio di programmazione, e dove giunsero i primi mainframe (ossia elaboratori in grado di archiviare una grande mole di dati ed eseguire prestazioni molto complesse), grazie ai quali gli hacker poterono per la prima volta operare direttamente sulle macchine. Si trattava dunque di questo: un gruppo di studenti brillanti, intelligenti e versatili, che dedicarono anima e corpo all’informatica, con l’obiettivo, sentito quale sfida tecnologica, di realizzare programmi sempre migliori utilizzando il minor numero possibile di istruzioni e righe di codice.

Gli eccezionali risultati ottenuti convinsero i protagonisti di quella prima rivoluzione informatica che nozioni come il libero accesso alle informazioni, la disponibilità della tecnologia e l’utilizzo dei computer, potessero consentire di apportare miglioramenti alla società tutta.[45]

Per i precursori del MIT dunque, i principi ed ideali sui quali si basava la pratica dell’hacking erano i seguenti:

1. l’accesso ai computer ed alle reti deve essere libero ed illimitato;
2. lo scambio delle informazioni privo di ostacoli è una essenziale libertà e nessuna considerazione di natura politica, economica e tecnica deve impedire l’esercizio di tale diritto fondamentale;
3. i sistemi informatici possono contribuire al miglioramento della società, grazie alla loro capacità di diffondere le informazioni in modo veloce e capillare.
4. le informazioni stesse sono considerate patrimonio dell’umanità, al pari delle risorse naturali, e pertanto, ove vengano imbrigliate o filtrate dai governi al fine esercitare il controllo sulla collettività, queste dovranno essere recuperate e diffuse.

È da qui che trae origine l’etica hacker, assieme ad una loro raffigurazione prettamente “romantica”: mossi da quella che essi stessi definiscono un’eroica passione antiburocratica, gli hacker aspirano ad ergersi quali paladini di una informazione libera e priva di condizionamenti esterni. Pertanto i sistemi protetti da misure di sicurezza non vengono violati col fine di danneggiarli o provocarne un malfunzionamento, ma per recuperare e diffondere le informazioni in essi contenute.[46]

La caratteristica pertanto che più appare permeare la complessa struttura psicologica degli hacker è proprio il sentimento di onnipotenza derivante dal rapporto instaurato col computer: il controllo completo di hardware e software, la consapevolezza di poter dominare pienamente la tecnologia e di poterla sfruttare per portare a termine qualsiasi iniziativa, radicano negli hacker la convinzione di appartenere ad un corpo d’élite, così infatti Bruce Sterling nella sopracitata opera: “quando si è un hacker è l’intima convinzione di appartenere ad un’élite ciò che autorizza a violare le regole, o piuttosto a trascenderle”.

Può essere qui di interesse ricordare il breve quanto eloquente monologo pubblicato nel 1986, intitolato “The Conscience of a hacker” (conosciuto anche come “The hacker Manifesto”) scritto da Loyd Blankenship, hacker statunitense, passato alla storia con lo pseudonimo di The mentor, il quale fu membro della Legion of Doom, uno dei gruppi più famosi dell’underground digitale degli anni Ottanta.[47]

Suddetto saggio viene considerato una pietra miliare della cultura hacker, d’altronde presenta innumerevoli spunti di riflessione relativamente agli aspetti psicologici dei primi hacker: la passione, la curiosità , la sete di conoscenza per una realtà che chiede solo di essere esplorata, la frustrazione di vivere in un mondo imperfetto che priva di informazione e risorse chi vuole elevarsi sopra la media, l’idea di appartenere ad una distinta e peculiare comunità, quella che popola il ciberspazio e che combatte una propria “battaglia” sulla “frontiera elettronica”, ed ancora uno spirito fortemente antiautoritario ed antiburocratico, come anche l’avversione per tutto ciò che viene sentito come imposto, quali le facili etichette.[48]

Il passo tuttavia sarà alquanto breve nel transitare verso una connotazione di hacker del tutto negativa: passando da “eroi della rivoluzione informatica” secondo Steven Levy, a criminali informatici tout court secondo i mass media, l’opinione pubblica ed altresì l’immaginario collettivo.[49] Il timore e l’apprensione per gli hacker sembra ormai diffondersi con impeto in tutto il globo: la facilità con cui appare possibile portare a termine una azione delittuosa per mezzo di un elaboratore è difatti la spinta che porta numerosi soggetti a delinquere.

L’indirizzare se stessi verso la carriera criminale non è dunque un raptus momentaneo, od un salto improvviso, ma anzi si figura quale un avvicinamento progressivo: una presa di coscienza graduale delle potenzialità dello strumento informatico, che conduce lentamente l’individuo a valutare l’opportunità di perpetrare il crimine restando impunito, fino a raggiungere la piena convinzione di riuscire a rendersi irreperibili, sfruttando l’anonimato, e di non essere in alcun modo perseguibili.

È da qui che prendono il via diverse elaborazioni teoriche circa possibili classificazioni riguardanti le tipologie di hacker esistenti, basate sulle tecniche di intrusione utilizzate e sulle motivazioni che le sottendono.

Si elenchi a seguire la tassonomia delineata dal criminologo M. Strano:[50]

1. Hacker distruttivo vandalico: il suo agire risulta caratterizzato da operazioni di danneggiamento operate mediante l’impiego di virus, che comportino una corruzione dei dati, una loro cancellazione, o ancora il blocco generale del sistema operativo. La motivazione sottostante a condotte di tal genere è paragonabile, per certi versi, a quella di certe forme di violenza contro le cose e le persone, ossia apparentemente senza un vero e proprio vantaggio pragmatico per l’autore, ma anzi per pura valenza comunicativa indirizzata sia verso l’ambiente esterno, mostrando agli altri cosa si è in grado di fare, sia verso il sé dell’autore, infondendosi così un intimo senso di autostima.
2. Hacker distruttivo professionista: le intrusioni, seppur nuovamente caratterizzate di finalità distruttive e operate tramite l’utilizzo di virus informatici, sono sorrette in tal caso da una logica di tipo pragmatico-utilitaristica, nonché lucrativa: l’accesso illegale costituisce infatti una opportunità di effettuare un danneggiamento programmato, che sia su commissione, e che venga retribuito da una entità antagonista a quella proprietaria del sistema danneggiato (aziendale, politica, militare etc.).
3. Hacker tradizionale: per questa categoria le intrusioni rappresentano per lo più un vezzo o un gioco, oltre ad un sistema per dimostrare a sé e agli altri la perizia acquisita in campo informatico. Alla base dall’agire non risiede dunque una motivazione di lucro, quanto piuttosto il “gusto della sfida”, come anche una certa ostilità verso gli “steccati normativi”, sentiti come imposizioni da parte dei detentori della leadership tecno-giuridica.[51]
4. Hacker spia: per questa figura l’attività di intrusione illecita è legata alla sottrazione, sempre su commissione, di informazioni circolanti sulle reti telematiche o memorizzate all’interno di sistemi informatici. Ovvio è che le informazioni costituiscano uno dei beni di maggior valore nella società terziarizzata, in campo aziendale, militare ed istituzionale, così un hacker un grado di “bucare” e penetrare in un determinato sistema può senza dubbio imbattersi in notizie che siano di ingente valore.
5. Hacker antagonista: si tratta di una tipologia di hacker animata da forti spinte motivazionali ideologiche: i c.d. “tecnocrati capitalisti” gestiscono il potere tramite la creazione di banche dati virtuali, dove concentrano informazioni di natura politica, economica e giudiziaria, impedendone l’accesso al popolo, che rimane così in una condizione di inferiorità.

Per contrastare tale stato di cose l’hacker antagonista progetta e porta a compimento alcune tattiche di sabotaggio elettronico, in particolare mediante l’introduzione di virus e tramite varie tecniche di cracking dei sistemi centralizzati, una sorta di “guerriglia virtuale” combattuta nel ciberspazio.

Tuttavia di indifferibile necessità appare ora tracciare un sommario profilo circa le nuove ed odierne forme di criminalità informatica.

Invero episodi criminali che un tempo erano esclusivo appannaggio di soggetti dotati di elevate capacità tecnico-informatiche, operanti in forma isolata ed autonoma, e spesso, come si è visto, senza alcuna diretta finalità di lucro, ad oggi vengono ricondotti sempre più a composite organizzazioni che, ricorrendo a specifiche forme di arruolamento di indispensabili esperti tecnici, gestiscono fila di “imprese” che assicurano enormi introiti finanziari, delineandosi così nuovi schemi associativi e modelli strutturali criminali, dalle sfumature marcatamente transnazionali.[52]

In sostanza il profilo del delinquente informatico sembra ormai discostarsi dalle figure “classiche” dei sopracitati hackers, o meglio crackers[53], tipiche del primo evo della criminalità informatica, per indirizzarsi piuttosto verso innovative fenomenologie, da collocare in più ampi contesti di associazionismo criminale.

Ovvio è che le sempre più vaste offerte di servizi online tocchino oramai tutti gli aspetti della vita sociale (si pensi all’e-government, all’e-commerce, o proprio all’e-health), figurandosi quale terreno fertile di recenti scorribande poste in essere da gang di cyber-criminali, contraddistinte dal raffinato know-how tecnologico: la minaccia, la compromissione ed il danneggiamento dei sistemi informatici, così come la sottrazione illecita di dati ed informazioni ivi contenute al fine di ricavarne un immediato profitto, o di utilizzarli indebitamente per ulteriori scopi illeciti, rappresentano difatti le condotte che maggiormente infondono una sensazione di insicurezza generale, esponendo al pericolo la prosperità del sistema sociale nel suo complesso.[54]

Peraltro la suddetta rinnovata criminalità informatica si presenta proprio con le tipiche caratteristiche di impresa, andando a gestire in forme tutt’affatto che innovative, il business del malaffare informatico: boss, ossia raffinate menti con spiccate capacità manageriali, individuano, arruolano ed ingaggiano abilmente ed in varia forma[55], facendoli ruotare attorno a sé, sia tecnici esperti (ad esempio nell’allestimento di siti clone, nell’utilizzo di botnet[56], od ancora nella creazione e diffusione di malware), sia stuoli di gregari con mansioni meramente esecutive, destinati cioè alle attività di monetizzazione degli ingenti proventi derivanti dalle ruberie informatiche.

Allora si capirà come da un lato i vecchi cracker non appaiano più come i principali ed autonomi autori dei crimini informatici, ma piuttosto quali meri prestatori d’opera (a volte stabilmente inseriti nelle imprese criminali, altre volte ingaggiati all’occasione), dall’altro lato come affiorino poi nuove figure, centinaia di “soldatini” inseriti in nuovi schemi di riciclaggio, che si prendono cioè carico di ricevere le somme truffate, di rigirale ad altri sconosciuti “commilitoni”, andando ad avviare così un tortuoso iter di “lavaggio” del denaro sporco, che renderà particolarmente arduo il risalimento ai reali beneficiari.[57]

È quindi di questo che si tratta: abili “burattinai” che muovono al meglio le proprie schiere di “marionette” (quali tecnici informatici, riciclatori e gregari vari), seguendo svariati disegni criminali, che siano orientati all’esclusivo e ben noto scopo dell’illecito arricchimento.

Seppur ricondotte nell’alveo criminologico classico delle attività finalizzate al mero scopo di lucro, le sopradette nuove devianze presentano tuttavia alcune particolari connotazioni: in primis il singolare rapporto tra boss e gregari, molto spesso infatti questi ultimi non hanno mai veramente l’occasione di conoscere i primi, in secundis innovativo risulta essere altresì il rapporto autore-vittima, appare infatti allontanarsi sempre più il diretto contatto tra criminale-aggressore e vittima del raggiro.

Per chiarire tale ultimo aspetto si pensi all’evoluzione del fenomeno del phishing: da forma frodatoria in cui la “leggerezza” della vittima giocava un ruolo cardine nell’agevolare la conclusione dell’iter truffaldino si sta progressivamente transitando verso nuove modalità di infezioni informatiche (si pensi al keylogging) in cui l’identity theft prescinde del tutto da atteggiamenti “colpevolmente negligenti” del derubato, essendo in sostanza vittima diretta dell’inganno solamente più lo stesso elaboratore elettronico, nella anzi più totale inconsapevolezza degli stessi utilizzatori.[58]

È indubbio che per contrastare efficacemente tali forme criminali servirà da una parte individuare un equilibrato punto di fusione tra competenze tecnico-informatiche e capacità investigative classiche, d’altra parte si paleserà sempre più imprescindibile una risposta su ampia scala, orchestrata cioè tra forze di polizia ben collegate e coordinate in ambito internazionale. Ovvio è infatti che tali nuove imprese criminali non conoscano barriere territoriali, ogni concetto di territorialità invero si dissolve proprio in ragione della dimensione mondiale del fenomeno e della natura stessa del mezzo utilizzato (ossia Internet e le reti telematiche in generale), per questa ragione risulta oltremodo essenziale e doverosa una stretta e concreta sinergia fra omologhe strutture investigative operanti in differenti contesti nazionali.

Chiaro è che i nuovi fenomeni criminali che minacciano la popolazione internauta, nonché le stesse infrastrutture tecnologiche siano della natura più svariata: truffe via internet, clonazioni di carte di pagamento, azioni di hacking, pedopornografia online, diffusione di codici malevoli, spamming, phishing, o altresì diffusione di opere dell’ingegno in violazione dei diritti d’autore.

Ciononostante cercando di accostarsi al nodo centrale della qui presente trattazione, si vorrà, più avanti, spostare l’attenzione verso l’analisi del modus operandi, nonché delle peculiarità tipiche delle cyber-gang criminali che ad oggi siano operative nello specifico settore dell’health system. Prima di fare questo si concluda il suddetto capitolo con qualche, doverosa, riflessione circa il venire alla luce di una nuova categorie di vittime: le cyber vittime.

Nuove vittime: le cyber-vittime

Più della metà della popolazione mondiale è online: un abitante su due del pianeta è a rischio di divenire vittima di criminalità online,[59] eppure si conosce davvero molto poco a proposito vittime di cybercriminalità, e questo perché le statistiche sul tema sono piuttosto rare.

In piena società digitale possiamo così affermare quanto non si siano sviluppati ancora, come è accaduto invece per altre forme di vittimizzazione, questionari standard, con domande al passo coi tempi, calibrate e ritagliate ad hoc rispetto alla cyber-criminalità, inoltre non esistono esperienze di indagini di vittimizzazione sulla cybercriminalità comparate a livello sovranazionale, ed ancora le indagini esistenti riguardano principalmente individui e non aziende, nonostante anch’esse risultino in egual misura nel mirino di svariati attacchi informatici.[60]

Allo stato dei fatti dunque continua ad avere ragione Wall, il quale ritiene esserci larga confusione su chi siano le vittime del crimine informatico e su come vengano queste stesse vittimizzate: il problema alla base di tale confusione è che molte vittime di crimini informatici non vogliono riconoscere di esser state vittime o potrebbero non rendersi effettivamente conto di esserlo state.

A tal proposito si possono richiamare le parole di Jaishankar: “La maggior parte degli studiosi, escludendone pochi, ritiene che la cyber-vittimizzazione equivalga alla vittimizzazione da cyber-bullismo e da cyber-stalking. […] Ma non includere altri tipi di criminalità informatica nella prospettiva della vittimizzazione non è corretto. […] Inoltre ogni volta che viene analizzata la vittimizzazione informatica, viene esaminata solo da una prospettiva individuale e non da una prospettiva di massa o di sistema. Non solo gli individui possono essere vittime di criminalità informatica, ma anche i governi, le aziende e la società”.[61]

Così partendo dall’assunto che esistono diversi paradigmi interpretativi e svariati modelli teorici atti a decifrare i fenomeni della vittimizzazione ripetuta o della sua concentrazione spazio-temporale, si proverà ora a spiegare cosa potrebbe significare occuparsi di vittime nella società digitale.

Per far ciò si richiami qui brevemente il modello di Fattah[62], tendente a raggruppare i fattori rilevanti del rischio di vittimizzazione in dieci categorie, quale teorizzazione applicabile e ripensabile alla luce dell’architettura propria di una società digitale:

1. Opportunità. Le caratteristiche dei target (persone, famiglie, imprese etc.) e delle loro attività definiscono la struttura delle opportunità con conseguenze sui rischi di vittimizzazione. Ed è proprio così che la società digitale arriva a modificare la struttura delle opportunità nel mondo sia fisico che virtuale: quali persone, quali famiglie, quali aziende e quanto, come, per quali attività usino Internet e come questo cambi i loro stili di vita può determinare occasioni per eventi criminali offline ed online.
2. Fattori di rischio altamente specifici. L’alfabetizzazione tecnologica o le competenze di guardianship di carattere tecnologico, collegate a caratteristiche socio-demografiche quali età, sesso, livello di reddito, trasformano senza dubbio i rischi di vittimizzazione per reati a basso ed alto contenuto tecnologico.
3. Reo motivato. I potenziali autori non scelgono i loro target casualmente ma in base ad una attenta ed accurata selezione alla luce di criteri specifici, ciò vale anche per i criminali tecnologici che scelgono difatti le potenziali vittime attraverso processi razionali e sempre più oggettivi. Oggi un cyber-criminale può sapere quanto un sistema informatico sia vulnerabile, quanti “buchi” presenti, oppure potrebbe servirsi di analisi avanzate di Big Data per identificare le sue vittime allo scopo di rendere più efficace e meno rischiosa la sua attività criminale.
4. L’esposizione a potenziali criminali e a situazioni o ambienti ad alto rischio accresce indubbiamente la vittimizzazione: così anche il tempo passato online può essere un fattore di rischio nuovo per i reati cibernetici, come anche per specifici reati offline.
5. Individui che sono in contatto personale, sociale o professionale con potenziali delinquenti hanno un rischio maggiore di subire reati. Al tempo di internet le nuove associazioni fra criminali e vittime possono essere virtuali, potendo passare reciprocamente molto tempo assieme ed instaurando anche forti relazioni sociali, senza incontrarsi mai fisicamente.
6. Spazi e tempi pericolosi. Il rischio di vittimizzazione non è equamente distribuito nello spazio e nel tempo. Ci si potrebbe domandare se rispetto ad una vittimizzazione digitale esistano tempi più pericolosi o luoghi digitali più imprudenti da frequentare e che rapporto vi sia fra luoghi e tempi offline ed online rispetto ai rischi stessi.
7. Comportamenti a rischio. Nel mondo fisico alcuni comportamenti possono accrescere il rischio di vittimizzazione, esistono infatti azioni che dispongono colui che le mette in atto in situazioni pericolose, riducendo notevolmente la capacità di difendersi. Ciò si può traslare agilmente sul piano digitale: si pensi al lasciare informazioni personali sui social media, prassi con cui ci si sottopone al rischio di divenire vittima di alcuni reati fisici, quali i furti di identità.
8. Attività ad alto rischio. Il coinvolgimento in attività ad alto rischio può accrescere i livelli di vittimizzazione. Se nel mondo fisico ciò può accadere nel compiere attività ricreative o di ricerca di divertimento, nel mondo digitale questi concetti potrebbero dover in parte esser rimodellati.
9. Comportamenti di difesa. Una larga parte della vittimizzazione può essere evitata efficacemente tramite attitudini e comportamenti difensivi. Allora ci si può chiedere quali siano i nuovi comportamenti di difesa da mettere in campo online e offline e come possano questi rappresentare estensioni dei comportamenti di difesa abituali.
10. Propensione strutturale/culturale. La povertà, la marginalità, la deprivazione sono correlate positivamente a certi tipi di vittimizzazione. Ci si chiede allora se ciò abbia un qualche valore anche nel mondo delle tecnologie, se cioè determinati processi di marginalizzazione e stigmatizzazione possano nascere anche nel mondo online.

Risulta ormai, a questo punto della trattazione, chiaro come gli effetti della digitalizzazione della società si esplichino anche sul versante delle vittime della criminalità e sugli stessi processi di vittimizzazione: alla criminologia allora, e più specificatamente alla vittimologia, non resta che prenderne atto e provare a muoversi abilmente di conseguenza.

L’articolo ha tracciato un quadro introduttivo della cybercriminalità nel settore sanitario, soffermandosi sull’allarmante crescita degli attacchi informatici, sulla complessità del fenomeno e sulle difficoltà di analisi e definizione. Per un inquadramento completo del tema, invitiamo a consultare il white paper gratuito di Maria Vittoria Zucca “La cybercriminalità nel settore sanitario: anamnesi, diagnosi e prognosi di una ‘patologia’ informatica”.

Fonti:

[1] R. Corcella, “Attacchi informatici in aumento nel settore sanitario”, in Corriere Salute, Raffaello Cortina Editore, 10 Marzo 2022, p. 16

[2] Per una approfondita panoramica degli eventi di cybercrime avvenuti a livello globale nel 2021, confrontandoli con i dati raccolti negli anni precedenti, si rimanda al Rapporto Clusit sulla sicurezza ICT in Italia, edizione Marzo 2022.

[3] W. Gibson, Neuromante, Mondadori, Milano, 2003.

[4] G. Macilotti , “La criminalità informatica e telematica fra antichi dilemmi e nuove sfide”, in A. Balloni, R. Bisi, R. Sette (a cura di), Principi di criminologia applicata. Criminalità, controllo, sicurezza, Wolters Kluwer-Cedam, Milano, pp. 251-277.

[5] M. Castells, La nascita della società in rete, Egea, Milano, 2022.

[6] G. Macilotti, “Studiare la cybercriminalità: alcune riflessioni metodologiche”, in Rivista di criminologia, vittimologia e sicurezza, Vol. XII, N. 1, 2018, pp. 52-80.

[7] G. Marotta, Tecnologie dell’informazione e comportamenti devianti, Edizioni Universitarie di Lettere Economia Diritto, Milano, 2004, p.19

[8] A. Di Nicola, Criminalità e criminologia nella società digitale, FrancoAngeli, Milano, 2021, p. 19

[9] Per una sintesi si veda Gallino L., Dizionario di sociologia, Utet, Torino, 2006, p. 182.

[10] G. Macilotti, op. cit. supra a nota 54, pp. 58-60

[11] L. D’Alessandro, “Prefazione”, in A. Pitasi (a cura di), Webcrimes. Normalità, devianze e reati nel cyberspace, Guerini e Associati, Milano, 2007, p. 13.

[12] S. Aterno, F. Cajani, G. Costabile, D. Curtotti, Cyber forensics e indagini digitali: manuale tecnico giuridico e casi pratici, Giappichelli Editore, Torino, Aprile 2021.

[13] Sull’estensione geografica in materia di criminalità informatica, in base ai dati offerti dall’Internet Crime Complaint Center nel Report 2007 inerente ai primi dieci Paesi al mondo per tali illeciti penali, al primo posto si vedono gli Stati Uniti d’America, quindi a seguire il Regno Unito, la Nigeria, il Canada, la Romania ed al sesto posto l’Italia.

[14] G. Macilotti, op. cit. supra a nota 54, pp. 75-76

[15] E. Colombo, “La cooperazione internazionale nella prevenzione e lotta alla criminalità informatica: dalla Convenzione di Budapest alle disposizioni nazionali”, in Ciberspazio e diritto: Internet e le professioni giuridiche, Vol. 10, n. 3/4, 2009, pp. 285-304.

[16] P. Lorusso, L’insicurezza dell’era digitale: tra cybercrimes e nuove frontiere dell’investigazione, FrancoAngeli, Milano, 2011, p. 15.

[17] G. Ponti, Compendio di criminologia, Cortina, Torino, 1994, pp. 161-163

[18] Wall, S. David, Crime and the internet, Routledge, New York, 2001, pp.1-7

[19] G. Macilotti, op. cit. supra a nota 54, p. 53

[20] Consiglio d’Europa, Convenzione sulla criminalità informatica, firmata a Budapest il 23 Novembre 2001, entrata in vigore il 1 Luglio 2004.

[21] F. Fortin, Cybercriminalité Entre inconduite et crime organisé, Presses internationales Polytechnique et Sûreté du Québec, Canada, 2013, p.10

[22] G. Macilotti, op. cit. supra a nota 54, p. 54

[23] G. Ceccacci, Computer crimes, Fag, Milano, 1994.

[24] C. Sarzana, Informatica e diritto penale, Giuffrè Editore, Milano, 1994.

[25] M. McGuire, S. Dowling, Cybercrime a review of the evidence. Research report 75, Home Office, Londra, 2013.

[26] A. Di Nicola, op. cit. supra a nota 58, p. 41

[27] D. S. Wall, “Digital realism and the governance of spam as cybercrime”, in European journal on criminal policy and research, 10(4), 2005.

[28] A. Di Nicola, op. cit. supra a nota 58, p. 37

[29] I virus sono software che possono causare da lievi disfunzioni al computer sino ad effetti notevolmente gravi in termini di danneggiamento o cancellazione di file, software, o hardware. Si auto-replicano all’interno dei computer e fra i computer, e hanno sempre bisogno di un ospite (quale un file) che agisca come portatore. Per infettare un computer necessitano comunque di una azione umana, consistente nell’eseguire o aprire il file infetto.

[30] I worm sono programmi auto-replicanti che possono diffondersi autonomamente all’interno e tra i computer, senza un ospite o alcune azione umana.

[31] Lo spyware è un software che invade la privacy degli utenti raccogliendo informazioni sensibili o personali dai sistemi infetti e monitorando i siti web visitati. Tali informazioni possono poi essere trasmesse a terze parti.

[32] Il ransomware è un tipo di virus che prende il controllo del computer di un utente ed esegue la crittografia dei dati, impedendo, una volta installato, agli utenti di accedere ai propri dati che risiedono nel computer o di usare la macchina stessa. Di regola viene chiesto un riscatto per ripristinarne il normale funzionamento.

[33] H. Brar, G. Kumar, “Cybercrimes: a proposed taxonomy and challenges”, in Journal of computer networks and communication, 2018.

[34] G. Me, “La sicurezza dei sistemi informatici aziendali”, in Tecnologie dell’informazione e comportamento devianti, Milano, 2004, pp. 101-135.

[35] J. Saltzer, “The protection of Information in Computing System”, in Proceedings of the IEEE, v. 63 n.9, 1975, pp. 1278-1308.

[36] Intervista a Pierguido Iezzi, pubblicata il 14.05.2022, ad opera di Massimo Canorro, sul quotidiano sanitario nazionale Nurse24.

[37] M. Weulen Kranenbarg, “Contrasting cyber-dependent and traditional offenders. A comparison on criminological explanations and potential prevention methods”, in E.R. Leukfeldt, T. Holt (a cura di), The Human factor of cybercrime, Routledge, Londra, 2020, pp.194-215.

[38] A. Di Nicola, op. cit. supra a nota 58, p. 62

[39] J. Suler, “The Online Disinhibition Effect”, in Cyberpsychology & behavoir, 7(3), pp. 321-326.

[40] A. Di Nicola, op. cit. supra a nota 58, pp. 65-66

[41] Il Cyberpunk è un genere narrativo, affermatosi negli Stati Uniti nel corso degli anni Ottanta, in cui i temi legati alla realtà delle società post-industriali (robotica, realtà virtuale, cibernetica, telematica etc.) vengono elaborati in chiave fantastica nel segno di una ideologia contestataria, di ribellione e di critica sociale.

[42] B. Sterling, Giro di vite contro gli hacker (The hacker crackdown), Shake Edizioni Underground, Milano, 1996.

[43] I. Corradini, C. Di Fede, “Hacker e internet crime”, in G. Marotta (a cura di), Tecnologie dell’informazione e comportamenti devianti, Edizioni Universitarie di Lettere Economia Diritto, Milano, 2004.

[44] Si riportino le parole di S. Levy, “Hacker, gli eroi della rivoluzione informatica”, Shake Editore, Milano, 1996: “La tecnologia era il loro parco giochi. I membri anziani stavano al club per ore, migliorando costantemente il sistema, discutendo sul da farsi, sviluppando un gergo esclusivo, incomprensibile per gli estranei che si fossero imbattuti in questi ragazzi fanatici con le loro camice a maniche corte a quadretti e matita nel taschino”.

[45] G. Pomante, Hacker e computer crimes, Volume 41/15, Edizioni Simone, Napoli, 2000, pp. 22-29.

[46] Ivi, pp. 30-37

[47] M. Warren, S. Leitch, “Hackers Taggers: A new type of hackers”, in School of Information Systems, Deakin University press, Springer, 7 August 2009, pp. 425-431.

[48] The Mentor, The conscience of a Hacker, e-zine Phrack, Volume 1, Issue 7, Phile 3, 8 January 1986: “[…] Ma avete mai guardato dietro agli occhi di un hacker? Non vi siete mai chiesti cosa abbia fatto nascere la sua passione? Quale forza lo abbia creato, cosa può averlo forgiato? Io sono un hacker, entrate nel mio mondo. Il mio è un mondo che inizia con la scuola. Sono più sveglio di molti altri ragazzi, quello che ci insegnano mi annoia. […] Ho fatto una scoperta oggi, ho trovato un computer. Fa esattamente quello che voglio. Se commetto un errore, è perché io ho sbagliato, non perché io non gli piaccio. […] Questo è il luogo a cui appartengo, io conosco tutti qui, non ci siamo mai incontrati, non abbiamo mai parlato faccia a faccia, non ho mai ascoltato le loro voci, però conosco tutti. […] Ora è questo il nostro mondo. Noi facciamo uso di un servizio già esistente che non costerebbe nulla se non fosse controllato da approfittatori ingordi, e voi ci chiamate criminali. Noi esploriamo, e ci chiamate criminali. Noi cerchiamo conoscenza, e ci chiamate criminali. […] Voi costruite bombe atomiche, finanziate guerre, uccidete, ingannate e mentite, e cercate di farci credere che lo fate per il nostro bene, e poi siamo noi i criminali. Si, io sono un criminale. Il mio crimine è la mia curiosità. Il mio crimine è quello di scovare qualche vostro segreto, qualcosa che non vi farà mai dimenticare il mio nome. Io sono un hacker e questo è il mio manifesto. Potete anche fermare me, ma non potete fermarci tutti , dopo tutto, siamo tutti uguali.”

[49] Così Steven Levy: “Il problema cominciò con arresti molto pubblicizzati di adolescenti che si avventuravano elettronicamente in territorio digitali proibiti […] la parola hacker divenne rapidamente sinonimo di “trasgressore digitale”, e con la comparsa dei virus informatici fu letteralmente trasformato in una “forza del male”.

[50] M. Strano, opera citata supra a nota 267, pp. 56-60.

[51] Ne è un esempio il caso di Tappan Morris, studente americano di ventidue anni della Cornell University che, nel 1988, mise “per gioco” su internet un virus da lui scritto che, nel giro di poche ore, bloccò più di 6000 computer, compreso quello della NASA e dell’US Air Force.

[52] A. Apruzzese, “Autori e vittime nella criminalità informatica”, in Rivista di Criminologia, Vittimologia e Sicurezza, Vol. III, n. 3 – Vol. IV, n. 1, Settembre 2009 – Aprile 2010, pp. 101-106.

[53] Intendendosi quei soggetti ben lontani dai principi e dagli ideali della cosiddetta “etica hacker”, ossia coloro che operano system-cracking al puro scopo di violare i sistemi informatici, per acquisire informazioni riservate o anche per puro vandalismo.

[54] D. Vulpiani, “La nuova criminalità informatica. Evoluzione del fenomeno e strategie di contrasto”, in Rivista di Criminologia, Vittimologia e Sicurezza, Vol. 1, n.1, Gennaio – Aprile 2007, pp.1-9.

[55] Sotto questo profilo la stessa “Rete delle reti” Internet presenta notevoli potenzialità relazionali, basti pensare alle stanze di chat, ai forum, come anche alle reti di social network quali pratici mezzi per selezionare e reclutare i migliori esperti di informatica, o altresì per entrare in disponibilità dei virus più raffinati.

[56] Il termine, crasi dei due vocaboli inglesi robot e network, sta ad indicare un insieme di programmi informatici (bot) in grado di auto replicarsi ed auto diffondersi, installati su pc di ignari utenti tramite i quali prendere il controllo del computer. I bot possono restare inattivi anche a lungo, in attesa di ordini impartiti dai botmaster che li controllano, finché non viene ordinato loro di agire, magari insieme ad altri milioni di bot. Un tale esercito di bot prende il nome di botnet.

[57] A. Apruzzese, “Dal computer crime al computer-related crime”, in Rivista di Criminologia, Vittimologia e Sicurezza, Vol. I, n.1, Gennaio 2007 pp. 1-6.

[58] Ibidem.

[59] C.M.M Reep-van den Bergh, M. Junger, “Crime science”, in Victims of cybercrime in Europe: a review of victim surveys, 7(5), 2018, pp. 1-15

[60] A. Di Nicola, op. cit. supra a nota 58, p. 77

[61] K. Jaishankar, “Cyber victimology: a new sub-discipline of the twenty-first century victimology”, in J. Joseph, S. Jergenson (a cura di) An international perspective on contemporary developments in victimology, Springer, Cham, 2020, pp. 3-19.

[62] E.A. Fattah, “Victimology: past, present and future”, in Criminologie, 33(1), 2020 pp. 17-46.