Attacchi hacker, dai gruppi filo-russi alle multinazionali del cyber-crime: "Si chiede in media il 15% del fatturato per 'sbloccare' i sistemi. In Trentino? Pmi le più esposte"

TRENTO. Tra le molte novità arrivate negli scorsi giorni dagli Stati Uniti, dove venerdì è andato in scena il disastroso scontro tra Donald Trump (ed il suo vice J.D.Vance) ed il presidente ucraino Volodymyr Zelensky, una in particolare mette in luce l'ampiezza del processo di avvicinamento che la nuova amministrazione americana ha inaugurato con la Russia: domenica infatti, il segretario alla difesa Pete Hagseth ha ordinato allo U.S. Cyber Command di bloccare tutte le operazioni informatiche offensive ai danni di Mosca. Curiosamente la notizia, riportata dal New York Times, è arrivata proprio mentre l'Italia si trovava invece alle prese con un'ampia campagna di attacco che, nelle ultime settimane, è stata portata avanti dal gruppo di hacker filo-russi NoName057(16) e ha preso di mira i portali di Regioni e Comuni ma anche di infrastrutture e società critiche. Gli attacchi sarebbero una sorta di rappresaglia dopo le parole del Capo dello Stato Sergio Mattarella, che in un discorso il 5 febbraio scorso aveva paragonato il ruolo di Mosca nel conflitto ucraino a quello del Terzo Reich, e mettono chiaramente in luce le dinamiche di una guerra 'invisibile', ma con effetti ben chiari a tutti, sempre più centrale nei programmi di difesa anche in Italia.

ZERO DAY, TRA SERIE E REALTA'

Recentemente le possibili conseguenze di un attacco informatico su larga scala sono state al centro di una nuova serie prodotta da Netflix, Zero Day, nella quale il protagonista (interpretato da Robert De Niro) si trova alle prese proprio con gli effetti di un devastante cyber-attacco contro il sistema energetico, dei trasporti e delle telecomunicazioni negli Stati Uniti: mutatis mutandis – e, visti gli standard hollywoodiani, le dovute distinzioni sono parecchie – gli obiettivi presi di mira dai cybercriminali filorussi di NoName057(16) nelle ultime settimane non sono poi tanto diversi, dagli aeroporti alle banche fino a realtà critiche nel ramo della difesa come Leonardo. Nel complicato e fluido mondo digitale però, gli attori (para)statali non sono gli unici attaccanti né le grandi imprese gli unici bersagli: l'universo che si muove dietro il termine 'hacker' è poliedrico e sta vivendo da diversi anni una crescita vertiginosa anche per quanto riguarda gli attacchi agli attori privati (ne abbiamo parlato in occasione di una serie di incontri realizzati dalle camere di commercio di Trento e Verona sul tema Qui, Qui e Qui Articolo). Gli stessi privati possono poi afferire a supply chain considerate critiche – proprio i settori colpiti in Zero Day: per intenderci energia, infrastrutture, trasporti, difesa – confermando la necessità di una difesa ad ampio spettro di fronte a minacce che possono mettere seriamente in crisi un sistema Paese.

“ORMAI SIAMO DI FRONTE A MULTINAZIONALI DEL CYBER-CRIME”

Ma qual è, di fronte a questa situazione, lo stato dell'arte per quanto riguarda la difesa digitale? Quali le iniziative messe in campo in Italia (e in Europa)? E, in particolare, quanto è esposto il territorio trentino? Per rispondere a queste domande il Dolomiti ha contattato Ivan Pilati, managing director di Be-Innova, azienda del gruppo Seac che si occupa di cybersecurity dal 2011. “Innanzitutto – spiega – bisogna sottolineare come il cyber-crime si sia evoluto negli anni: siamo passati dall'immagine del 'nerd' che agisce in solitudine a vere e proprie realtà criminali organizzate come delle multinazionali. I 'lupi solitari' poi non mancano, ma ormai il panorama degli attacchi digitali è dominato da gruppi organizzati. Le operazioni degli enti di difesa pubblici e privati e di law enforcement nazionali e internazionali ci hanno permesso di svelare una realtà variegata, nella quale trovano spazio modelli di business diversi: alcuni sviluppatori per esempio vendono ransomware (un programma informatico malevolo che inibisce l'accesso ai dati ed alle risorse dell’infrastruttura che colpisce, richiedendo un riscatto da pagare per la rimozione ndr), altri li affittano richiedendo un pagamento diretto per il 'noleggio' o una percentuale legata agli introiti derivanti dagli attacchi. All'interno delle organizzazioni stesse troviamo vari settori, dalle risorse umane all'ambito finanziario per investire o riciclare i proventi delle azioni. Nel corso di una di queste operazioni, per dare una dimensione del giro d'affari cui si fa riferimento, sono stati sequestrati beni per 44 milioni di dollari”. In altre parole, l'acquisto di strumenti digitali malevoli è oggi alla portata (quasi) di tutti. E gli affari vanno alla grande.

RUSSIA, UCRAINA E LA GUERRA DIGITALE

“In questo caso – continua Pilati parlando della campagna di attacchi organizzata contro il nostro Paese – ci troviamo davanti a gruppi organizzati, talvolta gestiti o manovrati da governi, talvolta attivisti interessati a supportare l'una o l'altra parte, realtà che hanno registrato un'impennata nei numeri dopo l'invasione russa dell'Ucraina e dopo lo scoppio del conflitto in Medio Oriente”. Stando ai dati del gruppo CyberKnow, che monitora lo stato 'digitale' del conflitto tra Russia e Ucraina, nel novembre del 2023 erano oltre 150 i gruppi di hacker legati ai due Paesi: 93 pro-Russia e 61 pro-Ucraina. Nel febbraio del 2025 il totale era sceso a 80: 47 pro-Russia e 32 pro-Ucraina, a seguito di fusioni tra gruppi e take down da parte delle forze di contrapposizione e difesa. “Ma la stessa dinamica – continua il manging director di Be-Innova – si può osservare nel conflitto in Medio Oriente tra gruppi pro-Israele e pro-Hamas. Se guardiamo agli ultimi attacchi contro l'Italia va detto che si tratta di una piccola percentuale se raffrontata all'enorme numero di azioni che ogni giorno monitoriamo”. In generale si parla infatti di cifre che si muovono nell'ordine dei milioni e che comprendono dalle operazioni più banali, come la scansione di un server per raccogliere informazioni - una sorta di 'sopralluogo' -, ransomware, Ddos (un tipo di attacco informatico che mira a sovraccaricare un sito web, utilizzato per buona parte delle azioni malevole dei gruppi filo-russi in azione in Italia), furto di informazioni, password e via dicendo.

“Gli attacchi portati avanti da attori 'schierati' – dice Pilati – vengono poi ovviamente rivendicati e l'effetto dell'annuncio è spesso più importante degli effetti dell'attacco stesso. In altre parole se un gruppo di hacker prende di mira un'importante realtà industriale, è difficile che l'attacco porti conseguenze pesanti per una società che ha il personale, le tecnologie e le competenze per gestire minacce del genere. Spesso si tratta di attacchi dimostrativi”. Lo schieramento degli attaccanti, però, non è mai ben definito: gli effetti vanno infatti ben al di là dell'interruzione (peraltro temporanea) della funzionalità di un sito: “Colpire una determinata azienda – sottolinea Pilati – può avere effetti importanti dal punto di vista finanziario, una delle leve che le grandi multinazionali del cyber-crime sfruttano ampiamente, e l'effetto ricercato non è tanto quello dell'attacco ma, come detto, quello legato all'annuncio stesso. In questi casi, le multinazionali del crimine lucrano sulle variazioni nel valore di borsa delle aziende colpite, gestendo di fatto la variazione e speculando sulla stessa”.

LA SITUAZIONE IN ITALIA E LA NORMATIVA NIS 2

Parlando a livello generale, l'Italia è uno dei Paesi che subisce più attacchi nel mondo vista la presenza di un folto tessuto industriale e aziendale: “Da anni si parla di sicurezza di fronte a minacce sistemiche – continua l'esperto – e recentemente l'Unione europea ha messo in campo nuovi strumenti per la gestione della problematica, a partire dalla direttiva Nis 2, recepita nell'ottobre del 2024 dal nostro Paese. Si tratta in sostanza di uno strumento per rafforzare la resilienza del sistema Italia di fronte alle minacce informatiche con la previsione, entro febbraio 2025, della registrazione all'Autorità per la cybersicurezza nazionale (Acn) per le aziende che operano in settori critici (dai trasporti all'energia alla sanità fino alla pubblica amministrazione, alle banche e al sistema finanziario) e hanno più di 50 occupati o un fatturato superiore ai 10 milioni di euro. Si parla quindi in generale di aziende di medie dimensioni, ma gli obblighi riguardano anche quelle realtà, come Be-Innova per esempio, che pur non superando il numero limite di dipendenti o la soglia di fatturato erogano servizi critici, come la cyber-security per soggetti destinatari della norma”.

Gli obblighi previsti per queste realtà vanno dall'impegno all'analisi dei rischi dei propri sistemi fino alla definizione delle procedure di gestione e comunicazione di eventuali incidenti, dalla formazione dei propri dipendenti fino alla garanzia di continuità operativa e di sicurezza della supply chain: come anticipato infatti, uno dei grandi rischi cui spesso fanno riferimento gli esperti è che un attacco mirato possa minare la stabilità di una catena di approvvigionamento critica nel contesto nazionale. “Proprio per questo – dice Pilati – anche le piccole aziende che oggi non ricadono direttamente nella direttiva Nis 2 prima o poi si troveranno, probabilmente, ad averci a che fare. Anche per i fornitori dei soggetti attualmente interessati infatti sarà necessario uniformarsi ai livelli di sicurezza”. Tra gli addetti ai lavori si tratta comunque di temi ben noti da diversi decenni ormai e che, finalmente, vengono messi nero su bianco e normati a livello europeo e nazionale (si parla anche di sanzioni interdittive per chi non dovesse rispettare le prescrizioni della direttiva). Un passo in avanti importante di fronte a un mondo digitale che, come visto, sembra sempre più minaccioso (ma anche un rischio, dice il managing director di Be-Innova, rappresentato "dalla proliferazione di pseudo esperti di sicurezza a cui assisteremo nei prossimi mesi").

“In Zero Day – aggiunge Pilati facendo riferimento alla citata serie prodotta da Netflix – si presentano scenari chiaramente 'hollywoodiani', ma di fatto verosimili. L'elemento più fantasioso è la capacità di mettere contemporaneamente in crisi tutti i sistemi in ambiti diversi (e separati, anche a livello di rete) tra loro. Ma attacchi con effetti sistemici sono assolutamente realistici. Tra i vari settori attenzionati, per esempio, c'è quello nucleare: è noto come i governi di Stati Uniti e Israele abbiano sviluppato un virus informatico, Stuxnet, con lo scopo di sabotare l'impianto di arricchimento dell'uranio di Natanz, in Iran. L'operazione ha avuto un successo tale da emergere solo quando il virus, che ha rallentato di almeno 10 anni il processo nucleare iraniano, è 'uscito' dalla rete del Paese compromettendo diverse centrali in Australia. Si tratta solo di un esempio, ma se pensiamo che da una parte stiamo rendendo le nostre città sempre più 'smart' e interconnesse e dall'altra lo sviluppo dell'intelligenza artificiale moltiplica le capacità di attacco, è facile capire come gli scenari di rischio siano in continua crescita”.

IL CONTESTO TRENTINO

E il Trentino, ovviamente, non è immune. “Le piccole-medie imprese costituiscono la stragrande maggioranza del tessuto imprenditoriale trentino – dice Pilati – e si tratta di realtà che spesso hanno capacità di difesa inferiori per una serie di ragioni”. Da una parte infatti, le ridotte dimensioni impediscono investimenti importanti nella difesa dei sistemi, dall'altra “c'è ancora un atteggiamento poco razionale e consapevole dei rischi” spiega il managing director di Be-Innova: “E la tendenza ad affidarsi alla probabilità o ancora a reagire solo in presenza di obblighi o, ancor peggio, dopo che l'attacco si è già verificato. Parliamo di realtà che spesso si affidano a persone non specializzate, limitandosi all'installazione di anti-virus: il consiglio che diamo noi è invece di affidarsi a una valutazione sterna sullo stato di sicurezza dell'azienda, facendo collaborare i nostri tecnici di fiducia con chi è specializzato nella sicurezza informatica. Per quanto riguarda la nostra Provincia è doveroso anche dividere tra il settore pubblico e il privato: per quanto riguarda la Pa non abbiamo accesso a dati, numeri e statistiche sugli attacchi ma sappiamo che realtà come Trentino Digitale hanno competenze di e strumenti assolutamente adeguati per proteggere i loro clienti, la Pa trentina 'allargata' quindi. Come detto, sul privato si fa invece più fatica, in particolare con le Pmi. E teniamo conto che il totale degli attacchi è molto maggiore rispetto alle statistiche, visto che molto spesso non vengono denunciati”. Be-Innova, che ha sede a Trento ma opera in tutto il Paese e a livello internazionale, è intervenuta nel 2024 in 32 casi di attacchi ad aziende, tutti con effetti potenzialmente devastanti. 

“Parlando di piccole-medie imprese – dice Pilati citando il rapporto Generali Cyber Index Pmi – il 61% delle aziende ritiene di essere un potenziale obiettivo, il 92% teme delle conseguenze ed il 50% ritiene di avere sistemi di difesa adeguati. La sicurezza percepita è però diversa da quella reale: molte aziende, in altre parole, sottovalutano il rischio. La metà degli attacchi che abbiamo gestito lo scorso anno sono basati, per così dire, sull'ingegneria sociale: gli attaccanti hanno quindi sfruttato elementi 'umani' per introdursi nei sistemi. L'altra metà è invece legati ai ransomware: sulla base di un'analisi empirica relativa ai nostri dati, abbiamo rilevato come normalmente i criminali chiedano circa il 15% del fatturato annuo dell'azienda per sbloccarne i sistemi”. Le tipologie d'attacco però, come detto, sono varie: “C'è un'enorme asimmetria di competenze e mezzi a disposizione tra le Pmi e chi le attacca – conclude Pilati –. Lo scorso anno per esempio siamo intervenuti dopo che un'azienda trentina ha perso oltre 100mila euro pagando bonifici, di fatto, su conti falsi. L'attaccante in questo caso conosceva i rapporti dell'azienda con i fornitori, leggeva probabilmente la posta elettronica di questi ultimi. Ha quindi utilizzato delle fatture reali, ha inviato una mail chiedendo il pagamento da un indirizzo mail quasi identico, sfruttando delle differenze che, ad uno sguardo veloce, possono passare inosservate (typosquatting). Dopo il pagamento delle prime due fatture l'azienda si è accorta della cosa solo quando i fornitori 'veri' hanno chiesto il pagamento della merce. a quel punto però i cyber-criminali avevano già chiuso il conto ed erano spariti".