sicurezza digitale

Furto di identità aziendale: cosa fare per prevenirlo o limitare i danni economici

Il furto d’identità è un reato che ha interessato più della metà delle aziende globali negli ultimi 2 anni. Quali sono le contromisure che un’azienda può adottare, le soluzioni da applicare per limitare i danni economici, le lezioni da trarre dai due casi recenti più eclatanti

Pubblicato il 21 Feb 2023

Enrico Frumento

Cybersecurity Research Lead

Luciano Gavoni

 Cefriel - Politecnico di Milano

Francesco Morano

Cefriel - Politecnico di Milano

password sicurezza privacy

Il furto d’identità in un’azienda avviene quando i criminali si fingono proprietari, funzionari o dipendenti di un’azienda per ottenere illegalmente contanti, credito e prestiti, lasciando all’azienda vittima i debiti.

Gli agenti malevoli possono rubare l’identità di un’azienda accedendo ai conti bancari e alle carte di credito dell’impresa o sottraendo informazioni aziendali sensibili, come il codice fiscale e i dati personali dei proprietari. I ladri aprono poi linee di credito o ottengono prestiti aziendali basandosi sull’identità e sull’affidabilità creditizia dell’impresa.

Password, come gestirle per evitare problemi: miti da sfatare, regole da seguire

In genere, i ladri incassano rapidamente e passano inosservati fino a quando le fatture e gli avvisi di riscossione non arrivano alla porta dell’azienda vittima, lasciando dietro di sé debiti, credito danneggiato e una reputazione distrutta. Per la legge italiana il furto d’identità costituisce il reato di sostituzione di persona, punito dalla legge con la reclusione sino a un anno[1]. Si tratta di un reato procedibile d’ufficio; pertanto, chiunque potrà sporgere denuncia, anche il soggetto che non sia stato direttamente vittima del reo. Nel caso in cui l’identità trafugata venga sfruttata chi se ne è appropriato rischia di incorrere anche in un altro reato: quello di frode informatica[2].

Perché il furto dell’identità aziendale è diventito così diffuso

Da alcune fonti di dati (PWC) è stato stimato che il 52% delle aziende di tutto il mondo ha subito frodi negli ultimi 24 mesi.

Il furto di identità è una preoccupazione crescente sia per gli individui che per le organizzazioni. In ambito aziendale, è importante che le imprese proteggano le informazioni personali dei propri dipendenti e clienti dal furto da parte di malintenzionati.

Il furto di identità aziendale è diventato sempre più comune per i seguenti tre motivi:

  • Gli estratti conto delle carte di credito, delle banche e di altri tipi di conti aziendali hanno generalmente molte più voci rispetto ai conti delle persone fisiche medie e, pertanto, sono più complessi e meno facilmente riconciliabili.
  • I conti delle carte di credito aziendali hanno di solito limiti di spesa più elevati rispetto ai conti individuali.
  • Spesso molti dipendenti sono autorizzati a utilizzare un unico conto aziendale. In questo caso, il furto e l’uso fraudolento del numero di conto sono meno facilmente individuabili nell’estratto conto della carta di credito aziendale che in un estratto conto individuale.

Le contromisure che le aziende possono adottare

In generale le organizzazioni possono adottare alcune misure di seguito elencate per prevenire il furto di identità[3]:

  • Implementare misure di sicurezza rigorose: le organizzazioni devono implementare misure di sicurezza rigorose per proteggere dall’accesso non autorizzato alle informazioni personali. Queste possono includere firewall, sistemi di rilevamento delle intrusioni e crittografia.
  • Condurre regolari controlli di sicurezza: regolari controlli di sicurezza possono aiutare le organizzazioni a identificare le vulnerabilità dei loro sistemi e adottare misure per risolverle. Ciò può includere una formazione regolare sulla sicurezza per i dipendenti e il personale IT, nonché test di penetrazione per identificare potenziali punti deboli nel sistema.
  • Utilizzare l’autenticazione a più fattori: l’autenticazione a più fattori aggiunge un ulteriore livello di sicurezza, richiedendo agli utenti di fornire, oltre alla password, altre forme di identificazione, come l’impronta digitale o un codice una tantum inviato al telefono[4].
  • Utilizzare un sistema di gestione delle identità centralizzato: un sistema centralizzato di gestione delle identità può aiutare le organizzazioni a gestire e proteggere le informazioni personali in modo più efficace. Ciò può includere la creazione e l’applicazione di policy per la gestione delle password e il controllo degli accessi.
  • Monitorare le attività sospette: le organizzazioni devono monitorare le attività sospette e adottare misure per identificare e prevenire il furto di identità. Ciò può includere il monitoraggio di tentativi di accesso insoliti o transazioni sospette.
  • Istruire i dipendenti su come prevenire il furto di identità: i dipendenti sono spesso la prima linea di difesa contro il furto di identità; quindi, è importante che le organizzazioni li istruiscano su come identificarlo e prevenirlo. Ciò può includere una formazione su come riconoscere le truffe di phishing e le e-mail sospette, nonché le migliori pratiche per la gestione delle password.
  • Controllare regolarmente l’accesso di terzi: molte volte le violazioni dei dati avvengono a causa di accessi non autorizzati da parte di terzi; le organizzazioni dovrebbero controllare e monitorare regolarmente l’accesso di terzi ai loro sistemi, in modo da evitare l’accesso non autorizzato alle informazioni personali.

Le soluzioni da applicare per limitare i danni economici

Con particolare attenzione alle carte di credito aziendali, riportiamo le seguenti possibili soluzioni da applicare per limitare il danno economico:

  • Carte di debito precaricate: un’alternativa alle carte di credito, le carte di debito consentono al personale di spendere fondi pre-autorizzati per tipologie di spesa specificamente approvate (ad esempio, viaggi, alloggi o catering). Questo riduce il potenziale uso improprio dei fondi e offre ai membri del personale, chiarezza e coerenza sulle spese.
  • Carte di credito virtuali a emissione singola: un sistema di gestione delle spese consente al personale di generare carte di credito virtuali, producendo un numero di carta di credito a emissione singola da utilizzare solo per pagare una spesa specifica. In questo modo si riduce quasi a zero il rischio di frodi con la carta di credito, che non può essere utilizzata per acquisti diversi da quelli approvati.
  • Controllo dettagliato delle spese aziendali: l’elaborazione in tempo reale delle spese rispetto a specifiche categorie di spesa fornisce un quadro completo e dettagliato delle spese aziendali in qualsiasi momento del mese, compresi i saldi totali per membro del personale e per categoria di spesa. Questo livello di dettaglio aiuta a individuare tempestivamente potenziali frodi nelle note spese e a mantenere il controllo dei fondi aziendali.

Tuttavia, è bene ricordare che nessun sistema può essere completamente sicuro, quindi la vigilanza continua e un approccio a più livelli sono fondamentali.

L’autenticazione a più fattori

L’autenticazione a due fattori (2FA) è un metodo di autenticazione che vuole aumentare il livello di sicurezza rispetto ad un’autenticazione a singolo fattore. Quest’ultima richiede di dimostrare di possedere, avere o conoscere una sola informazione, in genere la password.

L’autenticazione a due fattori richiedere di possedere, avere o conoscere una seconda informazione, qualora si possedesse più di una informazione si inizia a parlare di Multi-Factor Authentication (MFA).

Il possesso di un’informazione significa poter dimostrare di servirsi di un oggetto che al suo interno contiene un’informazione: una smartcard oppure, ad esempio, una pen drive come Yubikey o gli smarttags di Apple.

La conoscenza di un’informazione si dimostra immettendo tale informazione, nella quasi totalità dei casi digitando una password. Infine, si può utilizzare la biometria che si pone come scopo di verificare che la persona abbia una determinata caratteristica che lo distingua univocamente: in genere l’impronta digitale, l’iride, il volto.

Chart Description automatically generated

Il vantaggio principale dell’MFA è quello di migliorare la sicurezza dell’organizzazione richiedendo agli utenti di identificarsi con qualcosa di più di un nome utente e una password. Pur essendo importanti, nomi utente e password sono vulnerabili agli attacchi di forza bruta e possono essere rubati da terzi. Imporre l’uso di un fattore MFA come l’impronta del pollice o una chiave hardware fisica significa aumentare la fiducia che la vostra organizzazione sarà al sicuro dai criminali informatici.

Opportunità con il web 3.0

Il Web3 è ancora immaturo, tuttavia si è già affermato nello spazio delle identità, con gli utenti che creano un unico portafoglio digitale per autenticarsi in più applicazioni. Molte aziende stanno iniziando a cogliere i vantaggi dell’identità decentralizzata per il SSO. L’identità sulla blockchain offre potenti opportunità di interoperabilità. Alcune entità Web3 utilizzano blockchain e portafogli digitali accanto ai metodi di autenticazione tradizionali per gestire i dati degli utenti e delle applicazioni. L’utente finale può potenzialmente utilizzare lo stesso portafoglio per autenticare la propria identità in più applicazioni Web3, per un’esperienza di login senza soluzione di continuità[5].

Un’opportunità chiave che Web3 presenta nello spazio dell’identità è la capacità di interagire con i dati della blockchain di un utente. Questo presenta due vantaggi: arricchire i profili degli utenti e semplificare il processo di login con login federati utilizzando i portafogli di archiviazione.

Un ulteriore passo in avanti: passwordless

Nel mondo dell’informatica è da diverso tempo che si stanno studiando metodologie per evitare all’utente l’immissione della password, riuscendo quindi a identificarlo senza la conoscenza pregressa di alcune informazioni. Lo scopo è ovviamente quello di riuscire a migliorare la sicurezza dei sistemi personali, ma ancora di più in ambito business.

Quando i sistemi passwordless saranno a regime e disponibili per tutti gli utenti accedendo ad un sito web o a un’applicazione sul telefono, sarà sufficiente sbloccare il telefono e l’account non avrà più bisogno di una password.

Lo smartphone sarà in grado di memorizzare una credenziale FIDO chiamata Passkey, utilizzata per sbloccare l’account online. La Passkey rende l’accesso molto più sicuro, in quanto si basa sulla crittografia a chiave pubblica e viene mostrata all’account online solo quando si sblocca il telefono.

Per accedere a un sito web sul computer, è sufficiente avere il telefono nelle vicinanze e verrà chiesto all’utente di sbloccarlo per accedere. Una volta fatto questo, non sarà più necessario il telefono e si potrà accedere in maniera automatica. Anche in caso di smarrimento del telefono, i vari passe-partout verranno sincronizzati in modo sicuro sul nuovo telefono basandosi sui backup presenti sulle tecnologie cloud, consentendo all’utente di riprendere le informazioni che erano presenti sul vecchio dispositivo.

Il fattore umano della security: i casi Lastpass e Norton

In conclusione, oltre alle misure che un’impresa può mettere in pratica per difendersi dai cybercriminali, il primo fattore da considerare è sempre il lato umano.

L’awareness e l’insegnamento sono le chiavi primarie per poter evitare scenari catastrofici. La dimostrazione di ciò può essere ritrovata anche nel recente attacco subito da Lastpass. Lastpass, azienda operante nel campo dei password manager, ha annunciato di essere stata colpita da un secondo attacco criminale all’interno del 2022. L’azienda ha annunciato di essere stata violata in agosto e ha dichiarato di non ritenere che i dati degli utenti fossero stati accessibili. Poi, a novembre, LastPass ha dichiarato di aver rilevato un’intrusione, che a quanto pare si basava sulle informazioni rubate nell’incidente di agosto.

L’intrusione ha permesso di “accedere ad alcuni elementi” delle informazioni dei clienti. L’azienda afferma che “non ci sono prove che sia stato effettuato l’accesso a dati di carte di credito non criptati”. Tuttavia, i cyber criminali sono stati in grado di copiare un backup dei dati delle casseforti in cloud, memorizzato in un formato binario proprietario che contiene sia dati non crittografati, come gli URL dei siti web, sia campi sensibili completamente crittografati, come nomi utente e password dei siti web, note protette e dati compilati nei moduli.

LastPass ha dichiarato che l’unico attacco possibile alle password memorizzate dagli utenti nei loro portafogli digitali che sono stati trafugati, è tramite un attacco a forza bruta. Questo comporta che una root password sufficientemente complessa possa essere una misura sufficiente a scongiurare problemi nel breve tempo (perché l’attacco a forza bruta richiede molto più tempo).

Il punto critico è però lo scenario di everlasting cryptography, scenario nel quale gli attaccanti possono decifrare dati precedentemente trafugati con tempi inferiori al passato, a causa delle aumentate capacità di calcolo. In questo scenario i dati di LastPass potrebbero essere decifrati anche a distanza di qualche anno.

La situazione, a gennaio 2023 è emersa in tutta la sua gravità: l’amministratore delegato di GoTo, Paddy Srinivasan, proprietario di LastPass, ha confermato che la violazione della sicurezza è stata decisamente peggiore di quanto inizialmente segnalato e ha incluso il furto di nomi utente dell’account, password con salting e hash, una parte delle impostazioni di autenticazione a più fattori (MFA), nonché alcune impostazioni del prodotto e informazioni sulle licenze.

Un altro caso per certi versi analogo è capitato a Norton per il suo servizio di Password Manager NortonLifeLock. In questo caso, stando a quanto dichiarato dall’azienda non c’è stato un data breach dei sistemi aziendali, ma un attacco di credential stuffing verso gli utenti. Il credential stuffing è un metodo di attacco informatico in cui gli aggressori utilizzano elenchi di credenziali utente compromesse, recuperati ad esempio da attacchi ad altri siti, per violare un sistema. L’attacco utilizza bot per l’automazione e la scalabilità e si basa sul presupposto che molti utenti riutilizzino nomi utente e password su più servizi.

Come indicato nel comunicato stampa, è stato effettuato un tentativo di accesso agli account dei clienti Norton intorno al 1° dicembre 2022 da parte di un utente malintenzionato utilizzando le combinazioni di nome utente e password acquistate dal dark web. L’attacco è continuato per tutto dicembre. L’indagine interna dell’azienda è stata completata poco prima di Natale 2022 e ha dimostrato la compromissione di un numero imprecisato di account dei clienti, facilitato anche dalla mancata adozione della autenticazione a più fattori.

In questo caso ovviamente il problema non è di Norton, ma rappresenta bene un altro tipo di problema, l’uso scorretto dei password manager da parte degli utenti.

Conclusioni

I due casi illustrati, sebbene interessino entrambi dei prodotti di password manager online, hanno dei contorni del tutto differenti, dai quali si possono trarre due importanti considerazioni.

  • Attenzione al prodotto che viene scelto come password manager. Il caso LastPass dimostra come l’attenzione degli attaccanti verso questo tipo di prodotti stia crescendo notevolmente. LastPass è stato forse il caso più eclatante, ma ci sono stati altri casi minori. Anche i password manager sono programmi e servizi potenzialmente vulnerabili.
  • L’importanza di scegliere una password adeguata e della MFA anche per i password manager. Il secondo caso che ha interessato Norton sottolinea invece l’importanza di dover scegliere una password adeguata per i propri sistemi di memorizzazione delle password. Per adeguata si intende lunga e memorizzabile. Inoltre, questo caso sottolinea l’importanza di dover attivare la MFA anche per questi servizi. Le minacce di credential stuffing e in generale quella di everlasting cryptography possono essere mitigate in questo modo.

Note

  1. Art. 494 cod. pen
  2. Art. 640-ter cod. pen
  3. Collins, J. M. (2016). “Preventing Identity Theft in Your Business: How to Protect Your Business, Customers, and Employees”. Wiley.
  4. L’uso degli SMS come secondo fattore di autenticazione è stato deprecato dal NIST. Si veda ad esempio “NIST reccoments SMS two-factor autentication deprecation”, Disponibile online: https://threatpost.com/nist-recommends-sms-two-factor-authentication-deprecation/119507/
  5. Identity and Web3. (2022, September 12). Auth0, Disponibile online: https://auth0.com/blog/identity-and-web3/

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • la guida

    Azure marketplace di Microsoft: caratteristiche e casi pratici

    14 Mar 2024

    di Alessandra Talarico

    Condividi

Prossimo

Azure marketplace di Microsoft: caratteristiche e casi pratici

Articolo 1 di 2