Le segnalazioni di violazioni di dati personali, come account di posta elettronica e relative password, si contano ormai in milioni.
Abbiamo indagato gli ultimi dati su questo fenomeno, così come i consigli per proteggersi, con Dario Fioravanti, Senior Director Banking di CRIF, in un episodio di #define banking next, il podcast sulla banca del futuro che AziendaBanca realizza insieme a CRIF, di cui questo articolo è un adattamento testuale.
AG. Dario, iniziamo dallo scenario generale. Che cosa è successo nel 2024 per quanto riguarda la sicurezza dei dati degli utenti?
DF. Allora. A livello globale nel 2024 abbiamo visto una fortissima crescita delle minacce informatiche. Ci sono stati oltre 2 milioni di alert relativi a segnalazioni di dati che sono stati esposti nel dark web.
Abbiamo riscontrato invece un calo per quanto riguarda le esposizioni sul web pubblico. Parliamo, però, di 59mila alert in totale, quindi di un ordine di grandezza molto diverso.
AG. Ecco, facciamo chiarezza su questo punto, anche a beneficio dei meno esperti: che differenza c’è se i nostri dati sono esposti nel dark web oppure nel web pubblico?
DF. Il web pubblico è la parte di internet a cui tutti possiamo facilmente accedere e che viene anche indicizzata dai motori di ricerca. Il dark web è, invece, una parte di internet non accessibile tramite i tradizionali motori di ricerca e browser.
Se i dati circolano nel dark web è più pericoloso perché sono spesso ottenuti illegalmente e venduti per scopi malevoli, ad esempio possono essere utilizzati per frodi finanziarie, furti di identità, e altre attività criminali.
Se i miei dati sono sul web pubblico, significa che sono accessibili a chiunque tramite una semplice ricerca su Internet. Può trattarsi di informazioni condivise volontariamente, come sui social media, o informazioni che sono state rese pubbliche da altre fonti. Questo può rappresentare un rischio per la privacy, anche se generalmente meno grave rispetto alla presenza dei dati nel dark web.
Quindi nel dark web abbiamo le attività illecite ed illegali, con moltissimi dati sottratti agli utenti di internet. Mentre nel web pubblico abbiamo anche una serie di disattenzioni relative alla sicurezza dei nostri dati.
AG. Ok, ottimo. E che cosa è successo, invece, in Italia?
DF. I dati dell’Osservatorio Cyber di CRIF confermano che anche nel nostro Paese la criminalità informatica è cresciuta.
Il numero di consumatori che ha ricevuto almeno un alert perché i loro dati sono stati individuati nel dark web è aumentato del 13,5% solo durante lo scorso anno.
C’è un dato che fa capire molto bene la minaccia: il 48,4% degli utenti italiani ha ricevuto almeno un alert. In pratica, uno su due.
Anche qui vediamo il prevalere delle attività criminali: per l’88% degli utenti le segnalazioni riguardano dati individuati sul dark web, per il restante 12% i dati erano sul web pubblico.
AG. Di che tipologia di persona stiamo parlando? Qual è il profilo medio della “vittima” che emerge dai vostri dati?
DF. I dati a nostra disposizione riguardano gli utenti privati italiani che hanno ricevuto un alert dai servizi di protezione di CRIF.
Le fasce d’età maggiormente coinvolte sono tutte sopra i 40 anni. Al primo posto troviamo persone tra i 51 e i 60 anni di età con il 26% delle segnalazioni e seguono, con percentuali molto simili, gli over 60, con il 25,8% delle segnalazioni, e le persone tra i 41 e i 50 anni, con il 25,3%.
Gli uomini costituiscono la maggioranza degli utenti allertati, pari al 63,3%.
Le regioni con il maggior numero di alert inviati sono Lazio (18,1%), Lombardia (14%), Sicilia (8,6%) e Campania (8,5%). Il dato non sorprende perché sono anche le regioni più popolose.
Se guardiamo, invece, al numero di alert ogni 1.000 abitanti, le regioni con più segnalazioni sono state Molise, Umbria, Emilia-Romagna, Piemonte e Valle d’Aosta.
AG. Guardiamo allora al tipo di dati. Quali sono le informazioni che vengono sottratte agli italiani e rese poi disponibili online?
DF. Anche qui distinguiamo tra dark e open web. Iniziamo dall’open, quindi dai dati accessibili pubblicamente, anche solo per una mancanza di buon senso e di privacy da parte dell’utente. Nel 54,6% dei casi è il codice fiscale, seguito dall’email con il 34,6%. Più raramente si trovano numero di telefono, circa il 7% dei casi, poi username di varie tipologie di servizi e il proprio indirizzo fisico.
Diversa è la situazione sul dark web. I dati più frequenti sono l’indirizzo email, la password, nomi utente di diversi servizi, il numero di telefono, e la combinazione nome e cognome di una persona. Sono comunque disponibili anche altre informazioni, come l’indirizzo di residenza, i dati delle carte di credito, documenti di identità e codici identificativi personali.
AG. Perché il fatto che questi dati siano disponibili nel web, dark o pubblico che sia, è un pericolo per la nostra sicurezza?
DF. Perché è proprio grazie a questi dati che truffatori e criminali informatici possono costruire degli attacchi, ad esempio phishing via e-mail o SMS, molto personalizzati e quindi credibili.
La combinazione di nome, cognome, indirizzo e-mail e numero di telefono permette di inviare messaggi o telefonate mirate per spingere a cliccare su un link malevolo oppure a inviare del denaro.
Più informazioni si hanno, più il tentativo di ingannarci può essere costruito in modo mirato. E, infatti, nel dark web si vedono veri e propri pacchetti di informazioni. Nell’89,6% dei casi, ad esempio, gli indirizzi email sono accompagnati dalla relativa password.
Se un criminale ha a disposizione sia lo username sia la password, che sia della posta elettronica o di un account social, allora potrà impersonare qualcun altro, inviando messaggi ai contatti o pubblicando post per ingannare amici e conoscenti della vittima.
Un’altra combinazione frequente è quella tra indirizzo residenziale e indirizzo e-mail, nel 51,9% dei casi, e col numero di telefono, nel 65,5%. Un messaggio ricevuto su Whatsapp che contiene anche il mio indirizzo fisico, quindi un’informazione apparentemente slegata dal mondo di internet, e in cui magari vengo chiamato per nome e cognome, sembra molto più realistico e affidabile di un messaggio generico.
AG. Prima hai citato la grande popolarità, sul dark web, delle combinazioni username/password: quali sono gli account che vengono trovati più di frequente?
DF. La posta elettronica è al numero uno, ovviamente. Seguono i servizi di VPN, seguiti dagli account di social network e alle credenziali per accedere a siti internet. Troviamo anche account di siti di commercio elettronico, oppure di istituti finanziari. Sono invece in calo i servizi finanziari e di pagamento.
Guardiamo adesso ad alcuni di questi dati.
La presenza nel dark web di account VPN è un indicatore della crescente domanda di anonimato e sicurezza anche tra i criminali informatici. Questi account possono essere venduti (essendo a pagamento), utilizzati per nascondere le attività e proteggere l’identità, bypassare restrizioni geografiche e condurre attacchi informatici.
D'altra parte, il calo dei servizi di pagamento tradizionali, dovuto ai maggiori controlli di sicurezza implementati da tutti gli attori, anche quelli digitali, riflette un cambiamento nelle preferenze dei criminali verso metodi di pagamento più anonimi e difficili da tracciare, come le criptovalute.
Le credenziali rubate possono quindi essere utilizzate dai criminali per diversi scopi: per accedere abusivamente agli account delle vittime, con lo scopo di raccogliere informazioni su di loro. Oppure di impersonarle, per inviare richieste di denaro o link di phishing. O, ancora, per diffondere malware o ransomware da un account di cui altri utenti si fidano, aumentando le probabilità che un attacco abbia successo.
E poi c’è il caso, come per le VPN, in cui si usano le credenziali altrui per usare illecitamente dei servizi. Senza pagare e nascondendo la propria identità.
AG. Insomma, gli attacchi si fanno sempre più personalizzati e mirati. Quali sono le tecniche emergenti a cui fare più attenzione?
DF. Non c’è dubbio che gli attacchi si stanno facendo sempre più sofisticati e mirati, utilizzando proprio tutti questi dati personali disponibili online per creare delle frodi evolute.
Ci sono i classici smishing e phishing, quindi l’utilizzo di servizi di messaggistica o e-mail per inviare falsi messaggi e spingerci a condividere informazioni e dati personali.
Sono poi abbastanza noti di Deepfake, cioè video, immagini o audio falsi, ma davvero realistici, realizzati dall’intelligenza artificiale. Anche qui l’intento è farci credere che qualcosa di falso sia in realtà vero.
Il numero di casi è cresciuto così tanto che si è coniata una nuova espressione, CEO WhatsApp deepfake, per indicare i casi in cui i criminali sfruttano l’intelligenza artificiale per ricreare la voce del CEO di un’azienda. E poi contattare via WhatsApp, con un vocale o una chiamata, i dipendenti dell’azienda stessa, in genere per chiedere di inviare denaro.
Si tratta di attacchi che vengono realizzati in modo sempre più automatizzato, sfruttando tecnologie come gli “stealers-as-a-service”, cioè del malware pronti all’uso che rubano informazioni, dati sensibili e contestuali, facilitando moltissimo la vita ai criminali.
AG. Come possono i singoli utenti difendersi da tutto questo?
DF. La tecnologia da sola non basta: l’elemento che consente a criminali e truffatori di colpire è molto spesso il fattore umano. Spesso è la nostra disattenzione a spianare loro la strada.
Utilizziamo troppo spesso password deboli, oppure le stesse su più account. E poi dobbiamo imparare a dare più attenzione ai nostri dati e proteggerli. Molti utenti danno spontaneamente le proprie credenziali a servizi che sembrano innocui: magari ci promettono musica in streaming gratis, oppure elementi da utilizzare in un gioco online. Ma nulla è gratis e stiamo pagando con i nostri dati personali.
E, ancora, proteggiamo i nostri dispositivi e impariamo che le tecniche di attacco non sono più quelle di una volta. Qualche anno fa, i messaggi di phishing presentavano ancora errori grammaticali o di sintassi. Oggi, grazie all’intelligenza artificiale, riceviamo messaggi fraudolenti scritti in un italiano perfetto, in cui sono presenti nostre informazioni personali.
Lo stesso vale per le telefonate, i vocali, gli SMS o i messaggi in cui i criminali possono impersonare un amico o un parente, ricostruendone persino la voce, oppure un operatore della banca.
AG. E che cosa possono fare, invece, le aziende?
DF. Circa il 90% delle e-mail che sono disponibili nel dark web riguarda utenze private. Questo vuol dire che gli investimenti che le imprese hanno fatto per formare i dipendenti sono serviti, almeno in parte.
Oggi il panorama cyber è molto più complesso e serve la capacità di anticipare le minacce informatiche, prima ancora di contrastarle. E quindi servono strumenti predittivi e di monitoraggio, oltre a una formazione continua di dipendenti e clienti. Per insegnare un maggiore controllo sulla diffusione delle nostre informazioni personali e migliorare la resilienza dell’ambiente digitale.
