Non solo Merkel, Letta o Sarkozy. Ogni giorno sono migliaia le aziende italiane vittime, talvolta inconsapevoli, di spionaggio industriale perpetrato da hacker senza scrupoli per conto di governi, imprese concorrenti o addirittura dipendenti.
Impossibile fornire dati precisi sul fenomeno. Vuoi perché si tratta di informazioni difficili da monitorare.
«Visto il ricorso allo stoccaggio esterno di dati tramite internet (cloud), l’utilizzo di apparecchi mobili e l’impiego in azienda di apparecchi privati da parte del personale, le possibilità di subire attacchi si sono estese a vista d’occhio», ha aggiunto Holger Greif, partner di PwC. Per rendersi conto di quanto sia facile accedere a informazioni riservate è sufficiente farsi un giro in internet dove sono nati come funghi dei veri e propri servizi di hacking a pagamento. Con appena 5 dollari è possibile ottenere un’analisi dei siti internet che si vuole colpire e con meno di 50 dollari si ottiene un servizio chiavi in mano, con tanto di servizio post vendita e clausola del «soddisfatti o rimborsati». «In rete oggi si può acquistare di tutto. Come si compra un libro, un dvd o una viaggio è possibile anche acquistare un servizio di spionaggio industriale», ha spiegato Stefano Mele, avvocato specializzato in diritto delle tecnologie, privacy e sicurezza presso Carnelutti studio Legale Associato. «E questo è tanto più vero da quando si è iniziato a diffondere l’utilizzo dei bitcoin, una moneta virtuale che non permette tracciabilità pur in presenza di tassi di cambio reali con le principali valute». Facciamo l’esempio di un’azienda che volesse conoscere la lista clienti di un proprio concorrente.
Smanettando un po’ in internet, si può dunque trovare una «società» di hacker, sottoporre la richiesta e pagare con un semplice trasferimento di bitcoin, il tutto nel più totale anonimato e garantito al 100%. «Per uno spionaggio industriale di basso livello sono sufficienti oggi poche decine di dollari», ha continuato Mele. «Per informazioni di più alto livello i prezzi salgono e di molto. Non tanto per la difficoltà dell’operazione, quanto piuttosto per le richieste economiche da parte degli hacker. Un conto, infatti, è chiedere loro di rubare una lista clienti, per esempio, di una società di bottiglie di plastica poco nota a cui è difficile dare un valore economico. Un altro, potrebbe essere la richiesta di appropriarsi dei disegni della nuova Ferrari o dell’ultima collezione di Louis Vuitton». Ma non esistono limiti all’abilità degli 007 industriali. Basti guardare la similarità degli F35 realizzati dalla società americana Lockheed Martin con quelli realizzati in Cina. Copie praticamente perfette con l’unica eccezione dei colori e del motore. E non si parla di borse o di automobili ma di uno dei caccia militari più sofisticati e letali mai realizzati. Eppure, i due modelli sono lì, sotto gli occhi di tutti, quello occidentale e quello cinese, a dimostrazione del fatto che lo spionaggio industriale non è un concetto astratto ma pura realtà.
Stando così le cose, come sono messe le imprese della Penisola nello scacchiere delle società più hackerate al mondo? «Come è illogico pensare che l’Nsa americana potesse spiare tutti i Paesi fuorché l’Italia, è altrettanto illogico credere che le aziende dello Stivale possano essere immuni da queste pratiche», ha continuato Mele. «Non esistono società della Penisola che non siano state vittima di una qualsivoglia forma di attacco informatico. E chi lo sostiene, ha un problema ancora più serio: non si è nemmeno accorto di essere stato violato». Secondo l’esperto di Carnelutti, il 50% delle aziende italiane oggi fa orecchie da mercante sulla questione dello spionaggio industriale e degli attacchi informatici. E l’altro 50% non lo dice per evitare ripercussioni di immagine. La legislazione italiana prevede, infatti, un obbligo di comunicazione per le violazioni ai sistemi It da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico. E questo, a tutela dei propri clienti. Per tutti gli altri, zero totale. Ma da dove arriva la minaccia per le imprese? Esistono due vettori principali, uno interno, il più pericoloso; l’altro esterno e più controllabile. «Le imprese tendono a sottostimare i rischi di spionaggio industriale provenienti dall’interno. Si può trattare per esempio di un dipendente scontento o di un collaboratore in odore di licenziamento che si appropria di un database da vendere a società concorrenti o barattare in cambio di un nuovo posto di lavoro», ha spiegato Mele. «E se nemmeno la National Security Agency è stata in grado di bloccare il furto di dati da parte di Edward Snowden con qualche chiavetta Usb, non credo proprio che le nostre aziende possano fare di meglio». Esiste poi la minaccia esterna perpetrata dagli hacker che fanno del crimine la loro ragione di vita. «Questo genere di rischio, per lo meno, viene percepito da parte delle imprese al contrario delle minacce provenienti dall’interno. I manager devono però convincersi che la sicurezza non è solo un costo ma un valore per le aziende. E che non è sufficiente acquistare un programma di protezione dei sistemi informatici per mettersi la coscienza a posto. Bisogna mettere in piedi una strategia di contrasto ai rischi di spionaggio, predisporre delle procedure e definire delle policy in modo da tutelarsi dal rischio di un attacco informatico». Un paragone militare, in questo caso, può risultare molto utile. Se pensiamo alla società come a un fortino da difendere, un approccio tattico senza alcuna strategia a supporto non risulterebbe molto efficace. «I programmi firewall altro non sono che dei sacchi di sabbia a protezione delle mura. Ma se non si fanno piani di contrasto e non si mettono in atto azioni mirate per evitare la capitolazione, prima o poi i nemici entreranno». Secondo Mele, le imprese italiane stanno investendo molto, oggi, in software, spacciati come antidoti magici contro il rischio di intrusioni. In realtà si tratta di strumenti molto utili a creare barriere contro l’accesso degli hacker ma che da soli non bastano a scongiurare il problema. «Abbiamo assistito all’incapacità di delineare una strategia di protezione soprattutto a livello normativo, oltre che economico», ha concluso Mele secondo cui è più facile acquistare un software già pronto all’uso piuttosto che mettere in atto un piano strategico di contrasto al problema.
© Riproduzione riservata