Il cybercrime è una minaccia in costante crescita per le aziende di ogni dimensione. Dalle intrusioni informatiche ai reati commessi con strumenti digitali, i rischi per la sicurezza aziendale sono sempre più rilevanti.
In questo articolo analizzeremo le principali tipologie di crimini informatici, le conseguenze sulle imprese e l'importanza di strategie di protezione efficaci.
1. Cybercrime: di cosa si tratta
Negli ultimi anni, il cd. Cybercrime è diventato un problema sempre più rilevante per le aziende di ogni dimensione.
Con questo termine si indicano forme di criminalità che possono essere divise in due categorie:
- Computer crime: criminalità informatica che ha come obiettivo l’attacco o l’intrusione alle infrastrutture digitali delle imprese, mettendone a rischio non solo i dati sensibili, ma anche la reputazione e l'efficienza operativa.
- Computer facilitated crime: ovvero crimini “comuni” che sono realizzati mediante l’impego di strumenti informatici (in questo ambito rientrano ad esempio il furto, il trattamento illecito di dati, la froda informatica, il phishing ecc).
Per comprendere l'entità di questa minaccia, è utile prendere in considerazione gli attacchi informatici più frequenti nei confronti delle aziende. Si pensi, ad esempio, al phishing, un metodo attraverso il quale gli aggressori cercano di ottenere informazioni confidenziali, come password o dati finanziari, tramite email o siti web contraffatti. Altre tipologie di attacchi includono il ransomware, tramite il quale viene bloccato l'accesso ai dati aziendali e richiesto un riscatto per ripristinarlo, e gli attacchi DDoS (Distributed Denial of Service), che sovraccaricano i server aziendali, causando interruzioni dei servizi e perdite economiche.
Tra le tecniche utilizzate dai cybercriminali nel veicolare le minacce via e-mail, si registra un aumento delle campagne fraudolente ai danni delle figure apicali di grandi aziende italiane e non solo (il cosiddetto whaling phishing). Si tratta di una particolare frode che utilizza le modalità del phishing per l’operatività delle e-mail malevole e quelle del social engineering per rendere credibile il raggiro che, solitamente, culmina con perdite economiche anche rilevanti per le aziende prese di mira[1].
Nel 2023 gli attacchi sono aumentati dell’11% a livello globale, ma in Italia sono aumentati ben del 65%. Anche la gravità degli attacchi rilevati è peggiorata anno dopo anno: nel 2023, gli attacchi classificati come “critici” o “gravi” rappresentano ormai oltre l’81% del totale (erano il 47% nel 2019). Secondo il Global Data Protection Index (GDPI) 2023 di Dell Technologies, il 76% delle aziende italiane ha subito almeno un’interruzione dei sistemi informatici legata a incidenti o attacchi nel 2023, con un costo medio stimato tra 500 mila e 1 milione di dollari.
Questi numeri evidenziano perché il cybercrime rappresenti un grave danno per le aziende, specialmente per le piccole e medie imprese (PMI). Le PMI, infatti, spesso hanno risorse limitate per investire in sicurezza informatica e pertanto corrono il rischio di diventare bersagli particolarmente appetibili per i criminali informatici.
Un attacco può causare gravi conseguenze economico/finanziare per le aziende: si pensi ad esempio alla perdita di clienti, al danno relativo ai costi di ripristino dei sistemi e ai danni alla reputazione aziendale. Pertanto, è fondamentale che le aziende comprendano l'importanza di proteggere i propri dati e implementare misure preventive efficaci per mitigare il rischio di attacchi cyber e garantire la sicurezza delle proprie operazioni.
2. I rischi più rilevanti per le aziende
Come visto nel paragrafo precedente, è evidente come negli ultimi anni le imprese siano sempre più soggette alle minacce cyber provenienti da attacchi esterni.
Si consideri, però, che l’aumento dello smart working e della digitalizzazione del lavoro ha aumentato il rischio di commissione di reati informatici all’interno dell’impresa stessa, con importanti conseguenze in termini economici e operativi.
Atal proposito, si ricorda che nel 2008[2] i reati informatici sono stati inseriti nel novero dei reati presupposto del D.Lgs. 231/2001[3], quindi tra quei reati per cui anche l’Ente, oltre che la persona fisica, può esser ritenuto responsabile. Per reato informatico si intende una condotta prevista e punita dal Codice penale in cui lo strumento informatico o telematico rappresenta un elemento determinante ai fini della qualificazione del fatto di reato.
Con riguardo alle aree aziendali più esposte al rischio di commissione di tale categoria di reato presupposto, è bene evidenziare che l’accesso alla tecnologia ha fortemente dilatato il perimetro dei potenziali autori di condotte delittuose, sebbene vi siano aree aziendali maggiormente a rischio di commissione di reati informatici che possano determinare un interesse o un vantaggio economico per l’azienda. Si tratta, ad esempio dell’area amministrazione, finanza e controllo, dell’area marketing, dell’area ricerca e sviluppo, dell’area ICT e dell’area acquisti e appalti[4].
Nella quotidianità delle attività aziendali non è improbabile il verificarsi di questo tipo di reati, ad esempio:
a) art. 615ter c.p. Accesso abusivo ad un sistema informatico o telematico: questa fattispecie individua come reato la condotta di accesso o di mantenimento nel sistema, posta in essere da un soggetto che non abilitato o che, pur essendo abilitato, ponga in essere operazioni di natura diversa da quelle per le quali l'accesso è consentito. Il reato si realizza “ogniqualvolta l’ingresso abusivo riguardi un sistema informatico in cui sono contenute notizie riservate, indipendentemente dal tipo di notizia eventualmente appresa”: si pensi ad esempio alla violazione dei sistemi informatici dei concorrenti per acquisire a scopo di spionaggio industriale la documentazione relativa ai loro prodotti/progetti. Tale condotta assume particolare rilievo per gli enti la cui attività è basata su brevetti/disegni/attività di R&S (es. automotive, design, moda, tecnologie, ecc.); oppure all’accesso abusivo a sistemi informatici di concorrenti allo scopo di acquisire informazioni concernenti la clientela utili, per esempio, per l'elaborazione di strategie di marketing (es. dati di consumo, aree geografiche di riferimento, banche dati, ecc). Questa norma tutela il “domicilio informatico”[5] e, in particolare, i sistemi protetti da misure di sicurezza, ovvero dispositivi idonei ad impedire l'accesso al sistema a chi non sia autorizzato, anche ove consistano in una password banale e facilmente aggirabile.
b) L’art. 615-quater c.p. detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici è una norma a più fattispecie che incrimina con identica sanzione un ampio novero di condotte (“procurarsi”, “detenere”, “produrre”, “riprodurre”, “diffondere, “importare”, “comunicare”, “consegnare”, “mettere in altro modo a disposizione di altri o installare apparati, strumenti, parti di apparati o di strumenti”), tutte singolarmente integranti il reato di detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici o telematici. Questa norma sanziona l’abusiva acquisizione e diffusione, con qualsiasi modalità, dei mezzi o codici di accesso preordinati a consentire a soggetti non legittimati l’introduzione nel sistema informatico o telematico altrui protetto da misure di sicurezza: sanziona ad esempio la detenzione ed utilizzo di password di accesso alle caselle e-mail dei dipendenti, allo scopo di controllare le attività svolte nell’interesse dell’azienda, anche in violazione dileggi sulla privacy o dello statuto dei lavoratori.. Il reato è configurabile anche nel caso in cui l’utente, pur in possesso delle autorizzazioni per accedere a un sistema informatico o telematico, utilizzi la facoltà di accesso per conseguire finalità illecite. Anche in questo caso, il bene giuridico tutelato è il domicilio informatico a cui si affiancano la tutela della segretezza dei dati e dei programmi.
c)La fattispecie residuale di cui all’art. 635-quater.1 c.p., detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, nella sua attuale e più estesa previsione, ricomprende una più ampia gamma di fonti di rischio, non solo il software, ma anche apparecchiature e dispositivi. Le condotte sanzionate sono il procurarsi, detenere, produrre, riprodurre, importare o, comunque, mettere in altro modo a disposizione di altri o installare detti oggetti con lo scopo o l’effetto di danneggiare sistemi informatici (nel senso più ampio di interrompere o alterare il funzionamento dei sistemi informatici o telematici oppure i dati o i programmi in esso contenuti o ad esso pertinenti). In questa fattispecie rientrano l’utilizzo di programmi come virus, worm, malware, backdoor, spyware, keylogger ecc. che nel più grave dei casi comportano la cancellazione totale dell’hard-disk, la modifica dei file ivi contenuti, l’alterazione del contenuto del video, la perdita di funzionalità specifiche dei programmi o di alcuni di essi fino alla sostituzione o alterazione di funzioni.
***
Come sopra ricordato, i rischi cyber si possono tradurre, come è facile immaginare, in danni significativi per un'azienda. Come, ad esempio: la perdita di clienti, il danno relativo ai costi di ripristino dei sistemi e ai danni alla reputazione aziendale. Prossimamente pubblicheremo altri contenuti su questo tema, in particolare forniremo una serie di suggerimenti utili per le imprese per gestire questo tipo di rischi. Torna a trovarci quindi!
Ti ricordiamo che è possibile richiedere via email copia in .pdf della guida. Nel frattempo, se hai dei dubbi su questo tema scrivici pure, saremo lieti di risponderti.
____________________________________
Note:
[1] Rapporto Clusit 2024;
[2] L. 48/2008 che ha ratificato la Convenzione di Budapest del Consiglio d’Europa sul cyber crime;
[3] Tra i reati recepiti dall’art. 24bis D.lgs. 231/2001[3] rientrano: Art. 491 bis c.p.: falsità in un documento informatico; Art. 615 ter c.p.: accesso abusivo ad un sistema informatico o telematico; Art. 615 quater c.p.: detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici; Art. 635quater.1 c.p.: detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico; Art. 617quater c.p.: intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche; Art. 617 quinquies c.p.: detenzione, diffusione e installazione di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche; Art. 635 bis c.p.: danneggiamento di informazioni, dati e programmi informatici; Art. 635 ter c.p.: danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità; Art. 635 quater c.p.: danneggiamento di sistemi informatici o telematici; Art. 635 quinquies c.p.: danneggiamento di sistemi informatici o telematici di pubblica utilità; Art. 640 quinquies c.p.: frode informatica del certificatore di firma elettronica; art. 629, comma 3, estorsione.
[4] Linee Guida Confindustria 2021;
[5] Lo spazio ideale, i cui confini “virtuali” (ma anche fisici in cui sono contenuti i dati informatici) sono rappresentati da informazioni di pertinenza della persona, a cui viene estesa la tutela della riservatezza della sfera individuale.