dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 29-10-2020

La prima ondata di Covid-19 ha generato, come nefasto effetto collaterale, un’epidemia di spam a tema coronavirus. Una tempesta di email veicolanti indebiti messaggi di direct marketing (lesivi anche della concorrenza leale) ed una variegata moltitudine di cyberattacchi si è abbattuta su cittadini, aziende e PA in preda ad ansia e disorientamento: tra vendite di presidi sanitari scadenti o inutili, truffe e frodi di vario genere, phishing, infostealer, e malware in grado di sequestrare dispositivi e infrastrutture IT, sono incalcolabili i danni arrecati ai singoli e alla comunità.

Il ritorno dell’emergenza sanitaria è destinato a cagionare un ulteriore momento di vulnerabilità, collettiva e individuale che molti di noi dovranno, di nuovo, vivere forzatamente in casa incollati ad un dispositivo connesso cui demandiamo la nostra capacità di approvvigionamento, la nostra dimensione sociale e professionale, il nutrimento della nostra infodemia, e l’interazione con entità governative, scolastiche e – non da ultimo – sanitarie. Il terreno ideale per una seconda ondata di agenti patogeni elettronici che potrebbe presto aggredire un tessuto socioeconomico già estremamente provato e una popolazione le cui “difese immunitarie” sono indebolite non solo dall’angoscia contingente ma anche da una “predisposizione genetica” all’analfabetismo digitale (ben superiore alla media occidentale).

Come nella lotta alla pandemia virale, l’individuo rimane la prima linea del fronte ed è chiamato a riconoscere il rischio, a proteggersi e distanziarsi. Ma, anche in quest’ambito, non tutta l’attività di contrasto può gravare sulle potenziali vittime (privati cittadini, smart worker e organizzazioni per cui questi lavorano): occorre che le Autorità intervengano e che il Garante Privacy faccia la sua parte perseguendo con maggiore decisione chi, violando la normativa sulla protezione dei dati, approfitta del contesto emergenziale per trarre ingiusto guadagno o arrecare danni. E’ una battaglia irrinunciabile da condurre – nei casi più gravi, in combinato con Forze dell’Ordine e Autorità Giudiziaria – a difesa di un Paese e di una popolazione in profonda difficoltà.  

Uno spunto di riflessione da oltremanica

Con un provvedimento dell’8 ottobre scorso, l’Information Commitioner’s Office (ICO) – l’Autorità per la protezione dei dati del Regno Unito – ha sanzionato con una multa da £ 40.000 un’azienda con base a Londra ritenuta colpevole di un massivo invio di messaggi promozionali indesiderati via posta elettronica. Segnatamente, il 30 aprile 2020 la società in questione aveva spedito in un solo colpo tra le 8.000 e le 9.000 email di direct marketing in violazione della normativa UK a tutela della privacy nelle comunicazioni elettroniche (PECR – Privacy and Electronic Communications Regulations del 2003).

La società aveva alimentato negli anni una lista di destinatari i cui recapiti erano stati reperiti in vario modo tra eventi, contatti LinkedIn, e corrispondenze varie. L’invio di migliaia di messaggi promozionali non sollecitati di fine aprile è stato giudicato illecito perché il titolare/mittente non disponeva di una valida base giuridica ai sensi dell’art. 22 del PECR che – in tema di Use of electronic mail for direct marketing purposes – prescrive quali condizioni di liceità:

  • la previa raccolta del consenso informato e specifico degli interessati;
  • o, in alternativa, la presenza di requisiti che consentano il ricontatto di soft-spam. Secondo la norma è, infatti, consentito il ricontatto promozionale verso l’interessato che, previamente informato del diritto di opposizione agevole e gratuita, abbia già rilasciato il proprio recapito email nell’ambito di precedente acquisto o negoziazione riguardante un prodotto/servizio analogo rispetto a quello che si intende ora proporre.

E’ bene notare che la disposizione violata – l’art. 22 del PECR – stabilisce dettami equivalenti a quelli enunciati dall’art. 130 del nostro Codice Privacy; un’affinità ovvia se si considera che entrambi gli articoli recepiscono nei rispettivi ordinamenti la disciplina europea sulle “Comunicazioni indesiderate” di cui all’art.13 della Direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche (Direttiva ePrivacy). Una Direttiva che – benché vetusta, tanto più se si considera la velocità con cui evolvono gli aspetti che disciplina – è tutt’oggi in vigore ed affianca/completa il legal framework europeo sulla protezione dati innovato dal GDPR (questo, finché la Direttiva non sarà soppiantata dal Regolamento ePrivacy che, come il Regolamento Generale, avrà forza direttamente applicativa senza necessità di recepimento su base nazionale). Per effetto di quanto sopra, una condotta come quella esaminata dall’ICO viola i medesimi principi di legge sia in Italia che nel Regno Unito (almeno fin a quando non saranno chiariti tutti gli effetti della Brexit e le normative UK resteranno in qualche modo “agganciate” a quelle UE).

La peculiarità del caso trattato dall’ICO risiede nel fatto che l’invio massivo di messaggi di marketing riguardava la vendita di mascherine anti Covid pur svolgendo la società mittente attività di consulenza software. Un’incoerenza commerciale che ha un portato diretto sull’applicazione della summenzionata disciplina di ePrivacy: non avendo l’azienda raccolto i consensi degli interessati al contatto di e-marketing, essa non ha potuto validamente invocare l’altro presupposto di legittimazione, quello del soft spam, perché – anche supponendo che la mailing list fosse stata alimentata in modo “pulito” (ossia includendo solo recapiti di soggetti che in passato avevano chiesto informazioni o fruito dei servizi informatici della società e che, avvisati della possibilità di invio di promozioni analoghe, non si erano opposti al ricontatto) – non v’è alcuna analogia tra un business di software development e la rivendita di dispositivi di protezione individuale.

La questione trattata dall’ICO non è, in sé e per sé, particolarmente eclatante né pone nuovi spunti interpretativi sul piano giuridico: trattasi, tutto sommato, di un classico caso di spam commerciale equamente sanzionato in ragione dell’elevato numero di email user coinvolti.

Quel che, invece, più interessa di questa vicenda è il contesto. L’invio delle comunicazioni indesiderate è avvenuto il 30 aprile scorso, ossia nella fase di massima diffusione oltremanica della prima ondata di Covid-19; un momento in cui la popolazione britannica era assai spaventata e confusa. Nonostante il provvedimento sanzionatorio non abbia tenuto conto del particolare scenario in cui è avvenuta la violazione, il funzionario del Commissioner che ha condotto l’investigazione non ha mancato di rimarcare questo aspetto: “L’ICO ha indagato su diverse aziende durante la pandemia con l’obiettivo di proteggere le persone dallo sfruttamento da parte di tentativi di marketing illegali. Le e-mail di disturbo non sono mai ben accette in qualsiasi momento, ma soprattutto quando le persone possono sentirsi vulnerabili o preoccupate e le loro preoccupazioni aumentano”. Tale considerazione ci fornisce spunto per una riflessione più ampia.

La piaga dello spam a tema coronavirus

La citata dichiarazione del funzionario dell’ICO, non solo è oltremodo condivisibile, ma offre l’addentellato per esprimere un profondo convincimento: occorre perseguire con particolare intenzione chiunque – violando la disciplina di privacy – tenti in qualsiasi modo di trarre vantaggio da una situazione di pubblica emergenza che rende vulnerabili le persone e labile la loro capacità di discernimento.

Poco importa se il soggetto agente si sia “soltanto” reso responsabile di aver arrecato nuisance agli interessati con messaggi non sollecitati – come nel caso della società londinese – e non abbia, invece, intentato altre e peggiori malefatte spesso perpetrate via email (che possono assumere rilevanza penale, come le truffe online e gli attacchi informatici). Premesso che il contatto non autorizzato eseguito con strumenti di comunicazione elettronica (email, SMS e altri servizi di messaggistica istantanea) realizza un condotta antigiuridica in ogni caso da sanzionare, l’indebito sfruttamento di un contesto altamente critico come quello occorso la scorsa primavera merita tempestiva e severa reprimenda da parte delle Data Protection Authority; questo a prescindere da quale che sia la volontà dell’agente di trarre guadagno e arrecare nocumento e indipendentemente dal verificarsi o meno degli effetti della condotta (tutti elementi che potranno, comunque, incidere sul quantum della sanzione).

Non diversamente che all’estero, nel nostro Paese in tempo di pandemia hanno prosperato i profittatori. L’impressione è che nella prima parte del 2020 non si sia fatto abbastanza per reprimere gli avvoltoi digitali che per mesi hanno puntato gli account di prede vieppiù sfiancate e disorientate. Non si è fatto a sufficienza benché, fin dall’alba della diffusione dell’epidemia, fosse sotto gli occhi di tutti l’avvio di innumerevoli campagne di mailing a tema Covid-19 facenti leva su una diffusa condizione di vulnerabilità psicologica e sulla scarsa reperibilità di presidi di protezione.

Il primo semestre dell’anno è stato un tripudio di Covid-spam. Quanti operatori, anche italiani, con cui non abbiamo mai avuto un contatto, ci hanno scritto per proporre mascherine, disinfettanti, guanti, supporti in plexiglass, vitamine, farmaci miracolosi, saturimetri, test molecolari, app per il contact tracing aziendale e altri presidi utili nel contrasto al coronavirus? Ebbene, a prescindere dalla veridicità delle singole proposte e dalla qualità dei prodotti/servizi pubblicizzati, costoro non solo hanno violato la disciplina dell’art. 130 del Codice Privacy ma hanno agito in modo sleale rispetto alla concorrenza rappresentata da quei rivenditori che, rispettando la normativa di data protection, si sono astenuti da forme non autorizzate di email marketing.

Ovviamente non sono mancate frodi e truffe. Quanti presunti filantropi ci hanno invitato a partecipare a false raccolte fondi per questo o quell’ente sanitario o benefico più o meno conosciuto? Quanti cittadini avranno abboccato all’amo del phishing calato con email camuffate (ad esempio, finte comunicazioni INPS contenenti istruzioni per ottenere indennità Covid da parte dell’Istituto)? E quando durante il lockdown ordinavamo solo online qualsiasi genere di prodotto, a quanti è stato chiesto da falsi retailer o corrieri di inserire i dati (talvolta anche della carta di credito) per seguire un ordine già processato o per sbloccare dei pacchi in giacenza perché, ad esempio, “non è stato possibile consegnare il pacco a causa di un errore di etichettatura” ? Ebbene, chi abbia anche solo cercato di truffare gli interessati via email, non solo ha commesso un grave reato specificamente previsto dal Codice Penale, ma ha anche violato la disciplina dell’art. 130 del Codice Privacy. E nel caso riesca ad acquisire fraudolentemente dati personali, opera anche un trattamento illecito sanzionato dal GDPR.

Infine non è mancata una moltitudine di cyber attacchi, buona parte dei quali connotati da tecniche di camouflage altamente sofisticate. Non si contano gli utenti che hanno ricevuto email da mittenti sconosciuti o sotto mentite spoglie, che invitano ad aprire un link o un allegato contenente importanti comunicazioni su questioni attinenti al Covid-19. Alcuni studi hanno rilevato che soltanto dal 25 marzo al 25 aprile 2020 sono state avviate 230.000 campagne di malspam a tema coronavirus nel mondo, il 6% verso l’Italia (vale a dire ben 13.800 campagne in due soli mesi). Un proliferare di virus e codici malevoli che hanno infestato dai semplici pc domestici fino a interi sistemi aziendali per carpirne i dati, prendere in ostaggio macchine e memorie, o per infiltrarsi surrettiziamente in una rete. Ebbene, chiunque abbia eseguito cyber incursioni via email, non solo ha commesso un grave reato informatico sanzionato dal Codice Penale, ma ha anche violato la disciplina dell’art. 130 del Codice Privacy. E se si è appropriato di dati o ha bloccato sistemi o banche dati contenenti informazioni personali, ha anche operato un trattamento illecito ai sensi del GDPR.

Come visto, le condotte che realizzano i fenomeni anzi descritti hanno come minimo comune denominatore la violazione dell’art. 130 del Codice Privacy e in virtù di ciò sono perseguibili dal Garante per la Protezione dei Dati Personali. Ma ad oggi non si ha notizia di provvedimenti dell’Authority a contrasto delle infrazioni che hanno cercato di approfittare del contesti pandemico.

Eppure, lo si ripete, il fenomeno si è palesato a tutti rendendo ben intellegibile il suo ordine di grandezza. Difficile trovare nel nostro Paese un cittadino, un professionista, un’impresa, una pubblica amministrazione o altra entità che – chi più chi meno – non abbia subito indebite sollecitazioni intente a sfruttare il fattore ansiogeno della pandemia per trarre un profitto o arrecare nocumento. Molti avranno fiutato il pericolo e cestinato le email sospette e tante minacce saranno state neutralizzate da protezioni di cybersecurity, ma quando una piaga aggredisce milioni di persone ciò che conta è il saldo complessivo; e, purtroppo, la prima ondata di Covid-spam ha disseminato su larga scala problemi, disservizi, lesioni e perdite di ogni genere ed entità. Difficile stimare i danni complessivi, ma una cosa è certa: sono stati ingenti.

Ora che abbiamo a che fare con una nuova burrasca sanitaria, questa problematica collaterale deve essere tempestivamente rimessa a fuoco da tutti – cittadini ed autorità competenti – prima che si mieta un’ulteriore messe di vittime digitali.

Una popolazione digitale con scarse difese immunitarie

La questione dello spam a tema coronavirus offre la facile tentazione di ricorrere ad un parallelismo epidemiologico che, seppur azzardato, per alcuni versi ha ragion d’essere (un fenomeno è conseguenza dell’altro) e, per altri versi, ha un senso metaforicamente compiuto. E’ come se, a ruota di quello biologico, si manifestasse un altro virus che aggredisce le difese immunitarie indebolite del corpo digitale del cittadino e, in qualche misura, anche quelle del cosiddetto “sistema Paese”.

Trattasi di un agente patogeno in grado, come detto, di causare gravi danni: la proposta di un presidio medico inadatto può compromettere la salute delle persone, il blocco di un pc può affossare l’attività di un libero professionista o impedire ad uno studente di seguire le lezioni, un furto di dati può rivelarsi deleterio sia dal punto di vista patrimoniale (ed esempio, un breach della carta di credito) che psico-sociale (si pensi, ad esempio, ai furti di immagini intime ai fini di sextortion), la compromissione di un sistema informatico può mettere economicamente in ginocchio un’impresa, l’attacco ad un’infrastruttura IT amministrativa può cagionare ingenti disservizi e quello ad infrastruttura sanitaria può mettere a repentaglio la vita stessa delle persone (come nel caso dell’incursione subita a marzo 2020 dall’Ospedale Universitario di Brno e a causa della quale, nel bel mezzo della pandemia, il nosocomio fu costretto a sospendere interventi chirurgici, a dirottare i pazienti altrove e a interrompere le attività di uno dei più grandi laboratori di analisi Covid-19 della Repubblica Ceca).

Per cercare di tenere alla larga i problemi si possono prendere precauzioni individuali, imparando a riconoscere i portatori di infezione (ad es., mittenti sconosciuti o testi dal lessico zoppicante), mantenendo sistematico distanziamento da situazioni di rischio (non toccare link o allegati sospetti, riconoscere siti clone), adottando dispositivi di prevenzione (firewall, antivirus, etc.) e di ristoro (back-up e sistemi di ripristino). Insomma, non v’è dubbio che esistano prassi di “igiene digitale” e “protocolli” di protezione individuale in grado di eliminare o mitigare il rischio e di abbassare il tasso di cyber-morbilità, ed è per questo fondamentale che ognuno di noi si sforzi di adottare contromisure proporzionate alla propria esposizione alle minacce correnti.

Ma quando una piaga aggredisce un’intera popolazione, la questione passa dal piano individuale a quello collettivo ed occorre ampliare le strategie di contrasto. Perché le vittime possono essere molteplici e i primi ad infettarsi saranno i più deboli o sprovveduti. Che sono tanti, troppi.

Ciò che rende la popolazione italiana particolarmente esposta ai rischi da spam, phishing, scam ed altre minacce informatiche che approfittano della pandemia, è l’elevato tasso di analfabetismo digitale. Questo è un punto nodale della questione, quindi è bene “snocciolare” qualche dato che sintetizzi una disfunzione endemica acclarata da una moltitudine di studi e statistiche. Secondo l’OCSE, solo il 21% degli italiani ha un livello di alfabetizzazione digitale sufficiente. Sotto questo aspetto, siamo da tempo i quart’ultimi in Europa e, se ci atteniamo alle ultime rilevazioni pre-pandemiche, tale infelice posizione deriva dal fatto che:

  • il 31% degli italiani non utilizza Internet;
  • solo il 13% (contro media UE del 30%) fruisce delle procedure rese disponibili dall’amministrazione digitale;
  • soltanto l’8% delle PMI ha uno sbocco e-commerce (contro media in Germania del 23%);
  • il 40% del personale di imprese private non sa utilizzare correttamente i software di automation (Office, CSM, CRM, etc.), una percentuale che peggiora se riferita agli skill dei dipendenti del comparto pubblico.

La prima tra le percentuali sopra elencate merita specifica attenzione: quasi un terzo degli italiani non accede a Internet o non lo usa. Il dato ben rappresenta il cosiddetto “digital divide di primo livello” che notoriamente affligge il nostro Paese e a causa del quale un’ampia porzione della cittadinanza non usufruisce di opportunità e benefici riconnessi allo sviluppo dell’information society e della data economy: un condizione che relega una moltitudine di persone a pletora di “esclusi digitali”, possibili – se non probabili – vittime di nuove forme diseguaglianza e discriminazione sociale. E’ un fenomeno di cui, superfluo dirlo, non ci si dovrebbe in alcun modo rallegrare. Ma, ai fini della presente analisi, si potrebbe pensare che – almeno in questo caso – non tutto il male venga per nuocere: se una grande quota di nostri compaesani vive quasi esclusivamente offline, essa dovrebbe esser al riparo dalle minacce che viaggiano in Rete. E’ come se una parte della popolazione fosse afflitta da una tara genetica che in generale penalizza la loro esistenza ma che, di contro, abbatte la possibilità di contrarre un particolare morbo.

Il problema è che, con l’avvento della pandemia di Covid-19, del lockdown e altre restrizioni, un intero popolo si è ritrovato improvvisamente chiuso in casa alle prese con smart working, didattica a distanza, acquisti online, istanze all’amministrazione digitale, e quant’altro abbiamo sperimentato la scorsa primavera anche con riguardo al mantenimento dei rapporti sociali con parenti e conoscenti. In quell’inatteso cambio di scenario, milioni di persone sono state costrette ad una digitalizzazione frettolosa e forzata partendo da una condizione di totale analfabetismo digitale o, quantomeno, di scarsissima dimestichezza con l’ecosistema di Internet e con le insidie che lo caratterizzano. Un manna piovuta dal cielo per i cyber-approfittatori che hanno immediatamente aperto il fuoco sulla folla virtuale, sicuri che buona parte dei colpi avrebbe centrato i più indifesi. Così purtroppo è stato, e sarebbe intollerabile che la cosa si ripetesse senza che foglia si muova.

Un possibile seconda ondata di Covid-spam

Proseguendo nel parallelismo epidemiologico, con l’avvento dell’estate, il proliferare del Covid-spam è sembrato in netto regresso, quasi seguisse lo scemare dell’emergenza pandemica. Terminate le vacanze, è bastato riprendere le nostre usuali attività e il coronavirus ha prontamente riguadagnato il centro del proscenio con un vigore – se non inatteso – sicuramente inauspicato. Siamo certi che alla rinnovata diffusione dell’agente biologico non seguirà, un’altra volta, una corrispondente pestilenza di email indesiderate o malevole?

Soffermiamoci a riflettere. Ora che fronteggiamo la seconda ondata dell’emergenza sanitaria, siamo già alle prese con forti restrizioni, con lockdown parziali e forse totali, gran parte di noi sta tornando in smart working con tutte le problematiche del caso (spesso utilizzando device domestici), avremo minori che passano ore frequentando/studiando online, torneremo ad acquistare sul web ogni genere di consumo, dialogheremo con la PA solo da remoto e decine di migliaia di soggetti in quarantena attenderanno spasmodicamente via email comunicazioni come “il risultato del Suo test è pronto, per consultarlo clicchi qui o acceda a…”. In altre parole, si sta di nuovo approntando lo scenario operativo ideale per i profittatori: tutti a casa attaccati alle nostre appendici elettroniche (computer, tablet e smarphone) senza le quali sembriamo tagliati fuori da tutto.

Si potrebbe pensare che ormai abbiamo imparato a riconoscere i pericoli e che comunque sono i singoli individui a dover autotutelarsi discernendo i contatti informatici sani da quelli a rischio. Ma siamo sicuri di essere così avveduti? Come non abbiamo imparato la lezione impartita dalla prima ondata pandemica, potremmo rivelarci, come collettività, meno pronti di quel che crediamo ad un nuovo assedio di spam e phishing sotto forma comunicazioni Covid-centriche.

E’ altamente probabile che, man mano che le cose si metteranno peggio sul versante della salute pubblica, torneremo ad essere psicologicamente più fragili. E – mentre gli analfabeti digitali continueranno ad essere un facile bersaglio – molti tra coloro che si reputano buoni detector perderanno la propria capacità di ravvisare dove si nasconde il cyber-sciacallo che nel frattempo si sarà evoluto e avrà affinato le proprie arti. Se un rivenditore estero di cui non abbiamo mai sentito parlare, ci inviasse un’offerta per spedirci velocemente a domicilio 50 kit per test antigenici rapidi “di nuova generazione e responsivi al 98,9%”, siamo sicuri che resisteremo alla tentazione di effettuare l’ordine (salvo poi scoprire, una volta arrivati pacco e istruzioni, che il grado di affidabilità non era misurato sul Covid-19 ma su altra tipologia di Coronavirus)? Se un hacker dovesse mai approntare un’email malevola con una “Comunicazione urgente dal Ministero delle Finanze” o dall’Agenzia delle Entrate oppure una “Importante comunicazione dal Ministero dell’Istruzione”, sapremmo davvero riconoscere la minaccia? Sapremmo fare altrettanto se un fake INPS ci invitasse a cliccare un link per poter richiedere un bonus Covid? Come si comporteranno gli esercenti che dovessero ricevere un’email che invita a visionare in allegato le rivoluzionare procedure bancarie per ottenere subito un prestito garantito dallo Stato? E se i contatti di un soggetto positivo (e, stante il numero di contagiati, sparando nel mucchio è ormai facile trovarli) ricevessero una urgente comunicazione in tema di contact tracing da una finta Azienda Sanitaria Territoriale?

In questi giorni, molti utenti di Whatsapp stanno ricevendo il messaggio “Poste Italiane distribuisce il Bonus Famiglia di 500 euro. Verifica se il tuo nome è nella lista” accompagnato da un link malevolo con URL chiaramente non riconducibile alle Poste. In molti ignoreranno il messaggio perché palesemente truffaldino, ma tanti altri cadranno nella trappola (perché anziani o minorenni “neo-digitalizzati” o semplicemente perché meno avvezzi a questi raggiri). Altri ancora ci cascherebbero se solo il messaggio fosse stato più sofisticato e credibile.

Dunque, qualche avvisaglia di un possibile seconda ondata già si vede. Il punto nodale della presente riflessione è questo: non siamo al sicuro, occorre reagire prima che le cose si complichino.

Riprendere le misure di prevenzione e protezione

Specularmente alle logiche di contrasto alla pandemia di Covid-19, in caso di (seconda) ondata di spam/phishing a tema coronavirus il primo presidio è affidato alle potenziali vittime; ossia agli individui e alle organizzazioni per cui lavorano.

Una maggiore consapevolezza, unitamente ad una estrema prudenza nella gestione delle e-mail di provenienza sospetta, potrebbe evitare tanti problemi ad aziende, PA, associazioni e studi professionali nonché ai lavoratori e ai semplici cittadini che fungono da entry point delle indebite sollecitazioni e che, per primi, possono cadere in una cyber-imboscata.

Per tali ragioni, ciascuno deve essere fortemente motivato a prestare massima attenzione a:

  • la provenienza dei messaggi. Occorre verificare se il mittente (e/o l’organizzazione cui appartiene) esiste davvero, cercando conferme sul web o sui social media, e se abbia una valida ragione per cercare un contatto con il destinatario (o l’organizzazione cui questi appartiene). Anche un vaglio sull’indirizzo di posta elettronica può essere importante: si deve diffidare di indirizzi astrusi e individuare quelli assomigliano a quelli conosciuti pur senza coincidervi. Appurato che il mittente non sia un hacker e che il messaggio non veicoli phisihing o malware, si valuti se il mittente non stia comunque operando in violazione dell’art. 130 del Codice Privacy perché non legittimato al contatto;
  • il tenore del testo. L’analisi dell’identità del mittente non basta perché il messaggio può provenire da un indirizzo reale e conosciuto (ad esempio, un nostro amico o un fornitore di fiducia) che è stato hackerato o clonato. Anche eventuali loghi e intestazioni fisse possono essere fedelmente riprodotti. Ecco perché è sempre importante scrutare i contenuti del messaggio: spesso da una semplice ma attenta lettura, è possibile cogliere errori di formattazione del testo, incongruenze logiche e carenze di linguaggio (spesso dovute a traduttori automatici) incompatibili con la credibilità millantata dal mittente. Ciò detto, ciascuno – dal neofita digitale allo smart worker provetto – deve essere consapevole che gli odierni cybercriminali sono in grado di produrre testi e documenti dall’apparenza assolutamente credibile, riuscendo a personalizzare il messaggio in relazione al contesto specifico. Infine, occorre diffidare di messaggi che – ricorrendo a toni intimidatori, allarmistici o, di contro, entusiastici o enfatici – invitano l’utente ad un’azione frettolosa;
  • la presenza di link sconosciuti o di allegati sospetti. E’ questa la circostanza che deve esser oggetto del vaglio più scrupoloso perché è tramite apertura di link o allegati che si spalancano le porte al malware. Per quanto concerne i link è possibile valutare la credibilità dell’URL passando il cursore sopra il testo che funge da collegamento ipertestuale. Se il link appare credibile e viene cliccato, si analizzi la pagina web per appurare che non sia il clone di una conosciuta. Per quanto riguarda gli allegati, è importante verificarne l’estensione: la presenza di un file eseguibile, ad esempio con estensione .exe, dovrebbe essere di per sé motivo di allarme così come la presenza di cartelle compresse (.zip, .rar, etc.). Questo non significa che le estensioni più comuni non siano pericolose: il file dannoso più comune è quello di Excel, che – secondo alcuni studi – costituisce il 42% di tutti gli allegati malevoli.

In caso di dubbi su qualunque delle summenzionate situazioni, sarà opportuno che l’utente domestico si fermi e semmai chieda lumi a qualche conoscente che ne sa di più, mentre il lavoratore dovrà essere istruito a contattare nessun altro che i referenti IT aziendali, evitando qualsiasi iniziativa personale.

Per quanto concerne gli user privati, sarà importante che le misure di protezione automatizzata dei propri dispositivi (antivirus, firewall e simili) siano aggiornati così come il Sistema Operativo dovrà essere sempre up to date. Sarà anche importante organizzare un logica di back-up per qualsiasi evenienza.

E’ bene sottolineare che i messaggi contenenti le sollecitazioni scorrette e/o malevoli qui in analisi possono pervenire non solo via email ma, sebbene in misura minore, anche tramite altri sistemi di comunicazione elettronica quali SMS, MMS e applicazioni di instant messaging quali Whatsapp e simili. La sostanza non cambia: si tratta sempre di violazioni dell’art. 130 del Codice Privacy e occorre proteggersi con la stessa attitudine da applicarsi alla posta elettronica.

Chi lavora in modalità agile non solo dovrà adottare il mix di conoscenza, ragione e buon senso che ogni cittadino deve applicare per riconoscere il pericolo, ma dovrà seguire pedissequamente le policy che il datore è tenuto a conferire in tema di corretto utilizzo degli strumenti IT, di sicurezza e confidenzialità delle informazioni; istruzioni che dovranno essere modulate in riferimento alla condizione in cui opera lo smart worker. Il particolare contesto di lavoro richiede l’assunzione di contromisure ad hoc per fronteggiare i pericoli (sul punto vedasi i Tips for cybersecurity when working from home dell’ENISA, l’Agenzia UE per la cybersicurezza) e va da sé che – come avevamo sottolineato in un precedente focus in tema di smart workingil datore di lavoro deve aver già implementato un sistema in grado di intercettare e gestire la grande maggioranza delle minacce. Più si ricorre al lavoro agile, maggiore è il cyber-rischio e, dunque, massimamente calibrate dovranno risultare le iniziative di formazione, le misure di protezione e le procedure di incident management.

Ogni organizzazione deve considerare l’evoluzione delle minacce, lavorare sulle propria criticità e investire quanto più possibile in cybersecurity: un “mantra” che ogni struttura dovrebbe recitare incessantemente a prescindere dal contesto. Ma in un Paese che già non brilla per investimenti in sicurezza IT, la concreta applicazione di questo paradigma può essere inficiata dalla stretta economica conseguente alla pandemia. Molte aziende stanno riconsiderando le proprie priorità eseguendo una complessa opera di bilanciamento d’interessi che restituisce esiti disomogenei. Ci sono management che a fronte dell’emergenza Covid hanno aumentato gli stanziamenti ed agito rapidamente per riorientare la cybersecurity in modo da gestire e proteggere adeguatamente il lavoro remoto e la continuità aziendale (i più avveduti sono andati oltre le prospettive di breve periodo ed hanno rimodulato policy e dotazioni per approntare ambienti di sicurezza che consentano un ricorso più flessibile allo smart working anche in futuro). Altri, intimoriti da forecast recessivi, hanno invece preferito salvaguardare altri asset critici sacrificando così importanti quote del budget dedicato alla sicurezza informatica. Le speranza è che siano più numerose le organizzazioni in cui i decision maker (ad esempio, CFO e CISO) abbiano convenuto che, anche nelle difficoltà, i tagli di cybersecurity non sono mai un buon investimento, tanto più in un momento in cui esposizione al rischio aumenta esponenzialmente per via dell’ampio ricorso allo smart working e dell’iperattivismo di hacker e altri approfittatori.

Chi può permetterselo deve puntare al non plus ultra ed evitare di fare economia su questi aspetti. Oggi il paradigma dell’e-mail security sta cambiando grazie a prodotti basati sull’intelligenza artificiale che forniscono una comprensione unificata e machine learning del traffico di rete, del cloud e della posta elettronica: i messaggi e i comportamenti incongrui con l’intero contesto informatico aziendale sono bloccati preventivamente e, nel tempo, i falsi positivi sono normalizzati dal sistema quando questi ne coglie autonomamente la coerenza o quando appositamente informato dal personale IT.

La diffusione del lavoro agile potrebbe, nel breve/medio, periodo stimolare ulteriormente l’offerta del mercato di cybersecurity e consentire, a chi non l’avesse già fatto, di adottare soluzioni basate sull’A.I. per meglio monitorare e proteggere i propri sistemi dalle minacce correlate all’utilizzo di e-mail, intranet e Internet. In tal caso, occorre sempre vagliare tutti gli aspetti in gioco: spesso si tratta di soluzioni sviluppate fuori dalla UE che propongono funzionalità che, se interamente dispiegate, potrebbero consentire una sorveglianza pervasiva degli utenti violando specifiche tutele accordate ai lavoratori dalla normativa giuslavoristica in coerenza con i principi di data protection. Per questo, prima di introdurre tool ad impatto privacy è sempre indispensabile sottoporre il prodotto ad un adeguato assessment che consideri ogni riflesso applicativo e regolamentare. Sarebbe assurdo, oltre che frustrante, investire somme rilevanti in soluzioni di ultima generazione per poi scoprire che la legge non consente di utilizzarne, in toto o in parte, le feature che avevano indotto all’acquisto. Parimenti, sarebbe paradossale che per combattere intrusioni che contravvengono la normativa sulla protezione dei dati si adottassero strumenti che violano la privacy dei lavoratori.

L’attenzione degli email user privati, la formazione e istruzione degli smart worker, le procedure dei datori di lavoro e il continuo investimento in sicurezza delle infrastrutture IT: tutto può, anzi, deve concorrere a far sì che non debba si ripetere l’ecatombe informatica della scorsa primavera.

La necessità di un cambio di passo nella repressione

Come abbiamo visto, l’autodifesa è il principale strumento di contrasto al Covid-spam. Qual è allora il ruolo delle istituzioni competenti?

Il primo apporto è di tipo informazionale e divulgativo: per rafforzare la capacità di autodifesa, occorre innalzare la pubblica consapevolezza circa i connotati della problematica. Su questo aspetto le Autorità competenti hanno cercato di dare il loro contributo: la Polizia Postale ha emanato nel 2020 diversi informative su specifiche cyber-minacce a tema Covid (vedasi qui un esempio), mentre il Garante Privacy il 20 settembre scorso ha reso disponibile sul proprio sito una pagina tematica con un infografica divulgativa intesa ad illustrare le insidie del phishing e dispensare consigli per l’autotutela. Purtroppo sono fonti di informazione scarsamente consultate dal grande pubblico e probabilmente una qualche campagna di larga scala avrebbe giovato (ad esempio, sarebbe stato utile dispiegare sui media una sorta di “pubblicità progresso”, magari a cura del Ministero per l’Innovazione Tecnologica e la Digitalizzazione).

Ma informare non basta, le Autorità hanno il compito di intercettare e perseguire quante più violazioni possibili. E, come detto, la sensazione è che finora non si sia fatto abbastanza. Se infatti è vero che la Polizia Postale è intervenuta in relazione ad alcuni casi di una certa gravità (vedasi qui un esempio), salta all’occhio come ad oggi il Garante Privacy italiano non abbia ancora sanzionato alcuna condotta perpetrata dai “cyber-approfittatori” della pandemia di coronavirus. E’ necessario che la nostra Data Protection Authority assuma maggiore tempestività e massima risolutezza per colpire i trasgressori della normativa di propria competenza.

Sia chiaro:

  • nessuno ignora che l’Autorità, oggi presieduta dal Prof. Stanzione, sia costantemente alle prese con un ingente mole di lavoro e che – oltre l’ordinario – l’organizzazione debba fronteggiare ogni settimana una sequenza di nuove questioni ad alta complessità;
  • si è consapevoli di quanto la struttura costituisca un’eccellenza nel panorama europeo ed internazionale quanto ad alacrità e spirito di iniziativa, pur operando da anni con organigramma sotto-staffato;
  • nessuno afferma che andare a colpire le condotte qui in esame sia opera facile perché buona parte dei contatti di cui stiamo parlando provengono da server ubicati in paesi terzi azionati da esperti che usano tecnologie avanzate per depistare o complicare un’indagine tesa all’identificazione dei responsabili.

Ma nel mare magnum di rilevazioni d’ufficio, reclami, segnalazioni, e ispezioni con cui il Garante ha ogni giorno a che fare, occorre che si innalzi il livello di priorità dedicato alla repressione di azioni deprecabilmente intese a sfruttare le altrui vulnerabilità in un momento emergenziale. A costo di partire dai casi più semplici, bisogna incominciare a sanzionare; non foss’altro per dare un segnale sia alla cittadinanza che, in qualche misura, ai malintenzionati. E, ovviamente, nei casi in cui la condotta illecita denoti un particolare disprezzo verso condizioni di diffusa fragilità, la punizione dovrà essere esemplare e dissuasiva grazie ai meccanismi sanzionatori degli art. 83 e 85 del GDPR (sanzioni amministrative pecuniarie) e del Capo II del Codice Privacy (sanzioni penali) che consentono di assumere maggiore severità di giudizio in considerazione di elementi soggettivi, contestuali e circostanziali. In tali casi, sarà anche opportuno che il Garante disponga la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione (ex artt. 166 e 172 del Codice Privacy) e vi dia massimo risalto tramite comunicati sul proprio sito e i propri profili social.

I dati sono chiari: un’infinità di soggetti ha cercato di capitalizzare la paura dei cittadini. Non si contano i rivenditori, anche italiani, che – scavalcando i concorrenti ligi alle norme – hanno cercato di guadagnare quote di mercato inviando messaggi promozionali a tema Covid in violazione dell’art. 130 (spesso vendendo per adeguati presidi scadenti che mettono a repentaglio la salute). A questi si devono sommare gli spaventosi numeri del cyber-crime. A livello globale si stima che:

Se consideriamo che, nella lista delle nazioni più colpite da cyber-incursioni, l’Italia è quarta per spam ricevuto e sesta per numero di file maligni rilevati, è facile arguire che la nostra cittadinanza e le nostre aziende hanno dovuto fronteggiare un enorme problema in un momento di estrema vulnerabilità. Ed ora che la pandemia ci sta di nuovo mettendo all’angolo, il nefasto fenomeno potrebbe ripetersi. Sono tutti motivi sufficienti per pronunciare un convincimento: oltre che difendersi, la nostra popolazione merita di essere difesa.

Il Garante ha competenza su queste condotte e deve fare la sua parte, innanzitutto sanzionando gli sciacalli che hanno agito semi-indisturbati a primavera, ed ora conferendo alta priorità a nuove segnalazioni e reclami su queste problematiche, agendo tempestivamente per bloccare e punire esemplarmente i protagonisti di un’eventuale seconda ondata di Covid-spam. Non è opera facile, ma lo sforzo dev’esser massimo.

Una lezione oltre il presente

Può darsi – quantomeno lo si auspica – che alla seconda ondata della pandemia non corrisponda una seconda ondata di Covid-spam di portata simile a quella osservata da febbraio fino all’estate. Se l’assedio informatico non dovesse ripetersi, converrà comunque tenere a mente la lezione evitando meccanismi di rimozione.

Grazie alle crescenti opportunità concesse dalla tecnologia saremo indotti a condurre esistenze sempre più iper-connesse. Fruiremo di nuovi, immensi benefici, ma saremo sempre più trasparenti agli occhi del resto del mondo e saremo sempre raggiungibili da chiunque nel mondo, purtroppo anche dai malintenzionati.

La pandemia di Covid-19 ci ha dimostrato come, in un mondo a forte propensione digitale, i cyber-approfittatori siano estremamente reattivi nell’individuare un’emergenza sociale quale occasione perfetta per avventarsi con massima ferocia su una popolazione stremata e disorientata. Non sappiamo cosa ci riserva il futuro, ma la Storia ci insegna che dietro l’angolo potrebbero aspettarci nuove pandemie, recessioni economiche, rivolte sociali (o, peggio, guerre), attacchi terroristici su vasta scala, migrazioni di massa, catastrofi naturali, emergenze ambientali, e chissà cos’altro ancora. Ognuno di questi grandi eventi può destabilizzare intere comunità e ingenerare nelle persone stati d’ansia che possono in un Amen polverizzare quelle difese individuali che, in tempi di normalità, riteniamo incrollabili.

Ci saranno, dunque, nuovi contesti emergenziali in cui saremo estremamente vulnerabili come collettività e come individui. Saranno quelli i momenti in cui un schiera di sconosciuti varcherà, magari senza bussare, la nostra soglia digitale per offrirci quello che necessitiamo o che pensiamo di necessitare nel momento del massimo bisogno. E c’è da aspettarsi che – anche grazie all’evoluzione dell’intelligenza artificiale, a nuovi strumenti di profilazione dell’individuo e di customizzazione del linguaggio – i cyber-approfittatori sapranno assumere in maniera sempre più credibile le sembianze dell’interlocutore appropriato al momento di difficoltà. Non mancheranno poi, come già avviene, i professionisti delle fake news che – oltre ai social network – invaderanno i nostri recapiti elettronici nell’intento di strumentalizzare l’opinione pubblica per fini propri o di committenti occulti.

Dovremo farci trovare pronti, armati di quelle conoscenze indispensabili a prevenire e riconoscere i pericoli nonché degli strumenti tecnologici atti a neutralizzarli. Al nostro fianco dovremo però trovare schierate ed agguerrite tutte le forze cui demandiamo la nostra protezione. Contro aggressori che ricorrono a tecniche subdole, che si camuffano da amici, che si mimetizzano nel Dark Web, e che aprono fuoco sulle folle premendo pulsanti da war room spesso ubicate oltreconfine, ci sarà bisogno di tutti: Autorità di Pubblica Sicurezza (Interpol, Europol, Forze nazionali di Polizia), Magistratura e – non da ultimo – Data Protection Authority.