Due attacchi cyber che rivelano la fragilità delle nostre difese digitali
Nel mondo sempre più connesso della cybersicurezza i più vulnerabili sono spesso i bersagli più appetibili. La sicurezza digitale è solida quanto il suo anello più debole. E quell’anello è quasi sempre umano.
Il furto del bonus cultura: 500mila euro sottratti ai diciottenni e allo Stato
Immaginate di compiere diciotto anni, di ricevere finalmente il tanto atteso bonus cultura – quel piccolo tesoretto digitale di 500 euro pensato per aprire le porte della conoscenza – e scoprire che qualcuno ve lo ha rubato prima ancora che possiate spenderlo.
È ciò che è accaduto a centinaia di giovani italiani iscritti alla piattaforma 18app che veicola i bonus. Una maxi truffa ai danni dei ragazzi ma, di fatto, dello Stato.
Un’operazione che ha coinvolto almeno quindici persone in diverse regioni italiane, tutte indagate per concorso in frode informatica e truffa aggravata. I criminali hanno agito con precisione chirurgica, fingendosi enti affidabili come fornitori di identità digitali o istituti bancari. Hanno clonato le credenziali SPID dei neomaggiorenni per poi creare SPID paralleli con i quali accedere alla piattaforma e incassare il bonus, che veniva poi speso in esercizi commerciali fittizi, riconducibili agli stessi autori della truffa.
Il passaggio successivo della truffa ha visto la produzione di fatture false con cui si chiedevano e ottenevano rimborsi dal Ministero della Cultura, trasformando così i buoni in denaro liquido.
Non si è trattato di un attacco casuale, ma di un’operazione mirata che ha sfruttato la relativa inesperienza digitale di chi si affaccia per la prima volta al mondo dell’identità digitale ufficiale.
Lo SPID, Sistema Pubblico di Identità Digitale, dovrebbe essere il nostro passe-partout sicuro per i servizi pubblici online. Eppure, questa violazione dimostra che anche i sistemi più robusti possono crollare quando l’anello debole è l’essere umano: phishing, credential stuffing, ingegneria sociale; gli strumenti del crimine digitale sono tanti e in continua evoluzione.
L’innocenza violata: 8.000 volti di bambini nel dark web
Se il furto del bonus cultura ha colpito i giovani adulti, il secondo caso ci porta in un territorio ancora più inquietante: quello dell’infanzia violata digitalmente. La piattaforma educativa britannica Famly, utilizzata da asili nido e scuole materne per condividere foto e aggiornamenti con i genitori, è stata teatro di una violazione che ha esposto le immagini di circa 8.000 bambini.
Il gruppo hacker Radiant ha rivendicato l’attacco, e in un gesto tanto insolito quanto controverso, ha successivamente chiesto scusa per aver diffuso le fotografie dei bimbi sul dark web.
Un mea culpa digitale che solleva più domande di quante ne risolva: si può davvero chiedere scusa dopo aver esposto migliaia di bambini ai rischi del web sommerso?
Senza peraltro intraprendere alcuna azione concreta per ripristinare il danno?
Una cosa però è certa: la dinamica dell’attacco rivela ancora una volta il tallone d’Achille della cybersicurezza moderna: il fattore umano.
La violazione è infatti avvenuta attraverso la compromissione della password di un singolo dipendente. È bastata una sola credenziale debole, frutto di scarsa conoscenza, di superficialità o, forse, di vera e propria corruzione, per far crollare l’intera fortezza digitale come un castello di carta e aprire i varchi a criminali senza scrupoli.
Che poi, la stessa piattaforma Famly ha peccato di molta leggerezza non oscurando i volti di tutti quei bambini immortalati. Due errori umani che sommati insieme hanno generato un danno irreparabile.
Le scuse del gruppo Radiant suonano vuote di fronte alla gravità di quanto accaduto. Una volta che le immagini di un bambino finiscono sul dark web, non esiste nessuna combinazione di tasti né alcun rewind che possano cancellare quella violazione.
Allo stesso modo, i giovani italiani derubati del loro bonus cultura hanno perso non solo denaro e l’opportunità di acquisire nuovi strumenti di conoscenza, ma anche un po’ di fiducia nel sistema digitale che dovrebbe proteggerli.
Il fattore umano: la falla più importante da colmare
Questi due casi, apparentemente distinti, raccontano la stessa storia: la tecnologia può essere sofisticata quanto vogliamo, ma la sicurezza digitale è solida quanto il suo anello più debole. E quell’anello è quasi sempre umano.
Nel caso dello SPID clonato, sono stati probabilmente i giovani utenti – inesperti nella gestione delle credenziali digitali – a cadere nelle trappole dei truffatori. Nel caso Famly, è bastato un dipendente per aprire involontariamente le porte al gruppo di criminali senza scrupoli.
La lezione è chiara ed è sempre la stessa: non basta costruire sistemi sicuri se poi le persone non sono adeguatamente formate a usarli in modo consapevole. Password complesse, autenticazione a più fattori, vigilanza costante contro il phishing – queste, nell’era digitale, non sono più opzioni, ma necessità.
È dunque sempre più necessaria una rivoluzione culturale nella cybersicurezza che coinvolga le singole persone, le aziende e le istituzioni.
I singoli individui devono diventare consapevoli di essere parte di un sistema complesso e connesso e di non potersi più permettere carenze di conoscenze troppo gravi del mondo informatico. Le aziende e le istituzioni, soprattutto quelle che gestiscono dati sensibili, devono adottare protocolli di sicurezza che vadano ben oltre il minimo sindacale e impegnarsi a formare in modo accurato, capillare, continuo, personalizzato, interattivo i loro dipendenti e collaboratori. Sono proprio questi ultimi, infatti, che devono trasformarsi da anello debole della catena a principale sentinella.
Oggi, in questo mondo connesso, non esistono spettatori: siamo tutti potenziali vittime, o inconsapevoli complici, del crimine digitale che può mettere a rischio le vite dei singoli individui, l’economia di un’azienda, la reputazione di un’istituzione e addirittura la sicurezza di un intero Stato…
