È la solita vecchia storia: i pirati del Web assaltano in massa computer e smartphone per sottrarre informazioni alle loro vittime e ricavarne un guadagno. Fanno razzia di documenti, coordinate bancarie, numeri di carte di credito, oppure paralizzano i nostri dati, li rendono inaccessibili finché non ricevono un riscatto in denaro. È il cosiddetto ransomware, il rapimento al tempo della rete: non di una persona, ma del suo corpus digitale di foto, video, strumenti per lavorare e ricordi.
Secondo l'ultimo rapporto del Clusit, l'associazione italiana di riferimento per la sicurezza informatica, nel primo semestre del 2019 queste manovre hanno rappresentato l'85% degli attacchi a livello globale. È una tendenza in aumento dell'8,3% rispetto allo stesso periodo del 2018 ed è facile prevedere che non si arresterà nel corso del 2020, viste le inedite armi virtuali, le vie d'ingresso supplementari a disposizione dei malintenzionati per violare la nostra vita di bit.
Nel terzo trimestre del 2019, la società di cybersecurity Kaspersky ha rilevato che il 37% dei personal computer e dei server su cui sono installate le sue soluzioni e che vengono usati per salvare dati biometrici, hanno subito almeno un tentativo d'infezione. Significa che le impronte digitali, le geometrie della mano, del viso o dell'iride, la nostra voce, fanno parecchio gola a chi trama per usarli contro di noi. È il prezzo della comodità: con discreto sollievo, ci stiamo liberando dall'assillo di memorizzare sequenze complesse di lettere o di numeri, o dall'ingenuità di usare ovunque le stesse stupide parole chiave: basta un dito appoggiato sullo schermo, uno sguardo distratto rivolto alla webcam, per sbloccare il telefonino o il pc, per pagare online oppure prelevare al bancomat senza nemmeno estrarre la carta. Accaparrarsi queste scorciatoie per adoperarle per orchestrare attacchi sarà il bottino più ambito dell'anno che verrà.
Prima computer, tablet e cellulari avevano l'esclusiva dell'accesso a Internet, adesso è un patrimonio condiviso da una pluralità di oggetti che convivono con noi: elettrodomestici da comandare con un'app, telecamere di sorveglianza pronte alla notifica al minimo movimento sospetto, televisori smart, diffusori che rispondono a qualsiasi domanda (non sempre in maniera efficace). Vista la loro comune capacità di ascoltare ciò che accade negli ambienti circostanti, saranno soprattutto gli ultimi due a essere presi di mira. A cominciare da quelli piazzati all'interno delle aziende: «Lo scopo è carpire conversazioni personali e non, da cui identificare possibili obiettivi per estorsioni o conquistare una base per attività di spionaggio industriale» spiega Gastone Nencini, country manager del colosso della sicurezza informatica Trend micro Italia.
Se i cervelloni presenti negli uffici sono scudati da sistemi di protezione a prova di hacker, per violarli occorre inventarsi percorsi alternativi. «Le aziende dovranno prestare attenzione ai rischi inerenti al lavoro da casa e ai dispositivi domestici connessi a internet», fa notare Nencini. Se svolgere il proprio impiego da remoto, sia dal salotto sia da uno spazio di coworking, è un'opzione gradita a molti dipendenti, il fatto che si colleghino all'ufficio da reti wifi più facilmente violabili può finire per esporre a occhi indiscreti file e contenuti sensibili. O intossicare un computer che poi propaga l'infezione in tutta la rete aziendale. Pericoli da cui scattano impatti concreti nel nostro quotidiano: la banca che ha difficoltà operative, la logistica impazzita di un corriere espresso che non sa più a chi consegnare i pacchi, un'impresa che espone i dati anagrafici dei propri clienti distruggendone la privacy.
Un punto, quest'ultimo, di maggiore rilevanza oggi che non vengono trasmessi via Web solo nome, cognome e altri dettagli su domicilio e dintorni, ma informazioni vitali presenti all'interno delle nostre cartelle cliniche. Secondo Kaspersky, nel corso del 2020 aumenterà il numero di attacchi a ospedali e strutture sanitarie, soprattutto a quelli che hanno da poco iniziato la transizione verso il digitale (per esempio i referti compilati su pc e tablet, anziché su carta) e dunque sono meno attrezzati a proteggersi a dovere. Il motivo è che sul mercato nero della rete, quello dove si possono acquistare tonnellate di dati di sconosciuti per ricattarli o derubarli, tali dettagli stanno diventando molto gettonati. «I nostri ricercatori hanno notato che a volte sono persino più cari dei numeri delle carte di credito», dicono da Kaspersky. Il fine è rafforzare un inganno con l'arma della verosimiglianza. Pensiamoci un attimo: vi sarà capitato di ricevere mail sospette da un parente sconosciuto che, fingendosi in difficoltà all'estero, vi chiede soldi che poi restituirà con il bonus di una lauta ricompensa. O messaggi di un presunto amico lontano che, chissà come mai, vi vuole rendere partecipe di un'eredità se dividete le spese del notaio. Naturalmente non cadete nella trappola, li cestinate subito. Ma come reagireste se qualcuno che vi scrive pare conoscervi benissimo, al punto da sapere se un vostro caro sta soffrendo per una qualche malattia? È probabile che provereste almeno a saperne di più, ad approfondire. Così arretra la cautela del sospetto, viene meno una ragionevole prudenza.
Siamo al nodo cruciale. La vera falla della sicurezza informatica per il 2020 sarà l'espansione, anzi l'esplosione, di quanto ha cominciato a intravedersi nel 2019: il deep fake. L'inautentico, ma plausibile. Complici strumenti come l'intelligenza artificiale, le truffe via Internet saranno sempre più raffinate. Non solo attraverso email scritte in apparenza da qualcuno che potreste davvero conoscere, ma tramite stratagemmi di fronte ai quali c'è scarso rimedio: software in grado di imitare il modo di parlare e persino il viso di qualcun altro. «L'intelligenza artificiale», conferma Nencini di Trend micro, «viene utilizzata per creare immagini, video o audio altamente credibili, in cui determinate persone dicono o fanno cose in realtà mai avvenute».
Un esempio, raccontato dal quotidiano The Wall Street Journal, è quello di un'azienda elettrica derubata da truffatori che hanno riprodotto in modo pressoché perfetto il tono e l'accento dell'amministratore delegato della società. Durante una chiamata, il grande boss intimava di versare a un fornitore ungherese circa 220.000 euro e di farlo con la massima urgenza, al massimo entro un'ora. Una finestra strettissima, per impedire alle vittime di svolgere le verifiche del caso e consentire ai cybercriminali d'incassare il malloppo e volatilizzarsi. Un pasticcio, con almeno una consolazione: in attesa che arrivi l'antivirus infallibile contro le voci farlocche, nel 2020 possiamo reclamare il diritto di dubitare del nostro capo se per telefono ci fa una richiesta assurda. O meglio, più assurda del solito.
