l’analisi

Accesso abusivo ai sistemi informatici: pericoli, sanzioni, soluzioni

Home Sicurezza digitale
Indirizzo copiato

In un’era in cui le nostre informazioni sono disponibili a chiunque, le occasioni per entrare in possesso dei nostri dati personali sono numerose. Scandagliamo le conseguenze dell’accesso abusivo ai sistemi informatici e del furto di identità digitale, per chi lo subisce e per chi lo commette

Pubblicato il 28 set 2023
Mattia Siciliano

Adjunct Professor of Cybersecurity LUISS Guido Carli, Italian Society of studies on intelligence

A,Programmer,Is,Browsing,The,Internet,In,Smart,Phone,To

Gestire gli accessi ai sistemi informatici è uno degli elementi critici alla base della sicurezza informatica, in quanto prevede un’appropriata governance ed una relativa architettura di sistema sin dall’inizio della sua progettazione (security by design).

Accesso abusivo ai sistemi informatici: il punto nelle sentenze della Cassazione

Le soluzioni e i relativi servizi

Le soluzioni studiate ed i relativi servizi offerti debbono riguardare la gestione delle autorizzazioni all’accesso, il modello di governance con ruoli e responsabilità ben definite, la policy generale e le procedure, la gestione operativa dei rischi cibernetici, la revisione ciclica e continua della policy sulla sicurezza data la rapida evoluzione tecnologica del settore, la gestione dei rischi possibili lungo la catena logistica.

Difendere una infrastruttura critica

Per quanto riguarda specificatamente le infrastrutture critiche, dotate di sistemi informatici particolarmente sensibili, si potrebbe realizzare, ad esempio, un loro isolamento fisico (c.d. “airgap”) da altre reti e da internet, creando così un gap che deve consentire di prevenire attacchi cibernetici ed accessi non autorizzati. È una ulteriore misura di sicurezza nei casi in cui è applicabile, e non sempre lo è, specialmente laddove il rischio di una minaccia cibernetica è molto elevato o i costi per realizzarlo lo sono parimenti. Ciò dovrebbe garantire il sistema da malintenzionati che vorrebbero infiltrarsi e compromettere così i dati sensibili. Questa forma di isolamento non deve essere considerata però la panacea di tutti i problemi; ad essa debbono essere associate altre misure quali la cifratura, il controllo degli accessi, il costante monitoraggio, ecc..

I diritti di accesso

Ed ora addentriamoci nel mondo del computer, che, una volta acceso, avvia la sua sessione di lavoro attraverso il login[1]. L’inserimento del nome utente (User ID) e della password prima di entrare nel sistema servono per distinguere i vari diritti di accesso dell’utente. Tale diritto che vogliamo esercitare sulle risorse esterne al nostro computer, tablet, telefonino o altro simile marchingegno, come noto, è fornito da un “service provider” che – gratuitamente o dietro pagamento di un canone – lo concede esclusivamente alla propria rete di utenti ovvero ai suoi nodi server intermedi, dotati di strutture hardware e di configurazioni software adeguate. Ne consegue che quando accediamo con il login veniamo trasportati verso un determinato dominio[2], che altro non è che un fisico indirizzo IP (Internet Protocol) su internet e che spesso corrisponde al nome univoco che compare dopo il simbolo @ negli indirizzi email preceduto da www (world wide web) ovvero un insieme di computer che condividono un database di risorse di rete, che vengono amministrati in modo unitario con regole e procedure comuni.

Ci troviamo praticamente in una LAN (Local Area Network) di una organizzazione: azienda, Ente pubblico, scuola, università, ecc. ove la logica client-server (noi client e loro server) è supportata, oltre che da connessioni fisiche e relativi protocolli (ad esempio il comune indirizzo IP), anche da stringenti regole (policy) di connessione logica e autorizzative (regole di sicurezza). In questo contesto, un client (ossia noi) deve sottostare a procedure di autenticazione specifiche, definite dai servizi che risiedono su un server. Tali procedure, che solitamente sottendono una gerarchia di profili (in termini di permessi e di accessi alle risorse ed ai sistemi), determinano i diritti di accesso di ogni utente client (ossia i nostri diritti) all’interno del dominio[3] per poter determinare quali dati e strutture di distribuzione siamo in grado di vedere ed utilizzare.

Diventare proprietari di un dominio

Anche noi possiamo diventare “temporaneamente” proprietari di un dominio basta acquistarlo appiccicargli un “nome” che non sia stato già utilizzato e rivolgersi ad un host di dominio per acquistare risorse e servizi che ci permetteranno di pubblicarlo (ossia rendere visibile il “nome” nella rete internet), ovviamente mantenendone i diritti di proprietà fino a che continuiamo a pagare una piccola tariffa annuale. Ed eccoci dinnanzi al primo inghippo consistente nella facilità con la quale si può acquistare un dominio che potrà essere usato per i giusti scopi oppure semplicemente per attrarre i client (ossia noi) in un gioco/ in una trappola. Solo per accennare alla complessità degli approcci malevoli non dobbiamo pensare solamente alle false informazioni o pubblicità ma anche a siti tipo www.micr0soft.com ai quali veniamo spesso reindirizzati con un clic su un link (quelle righe sulle quali si può cliccare ci portano in un altro dominio) facendoci pensare di essere nel posto giusto dove poi decliniamo i nostri dati e facciamo acquisti. Attenzione che quella che sembra essere una “o” è invece uno “zero” e quindi non siamo sul sito di Microsoft.

A garanzia dell’accesso consentito vi è la presenza di un sistema di protezione da accessi abusivi; ciò implica una espressa volontà contraria del soggetto a far accedere altri al proprio sistema.

La registrazione dell’account

L’iscrizione poi dell’account[4] ovvero la registrazione presso un provider di un utente che voglia accedere ad un determinato servizio/sistema è la chiave di accesso al sistema da parte dello stesso, che gli fornisce i giusti diritti verso i dati (lettura, modifica, ecc.). Ma qui siamo di fronte ad un altro possibile inghippo consistente nella trafugazione/sottrazione/furto dell’identità digitale[5] che permetterebbe al ladro di identità di sostituirsi a noi in ogni operazione. Se lo User ID è facilmente ricavabile la password deve essere invece creata da noi con una struttura complessa e poi tenuta segreta e non divulgata. Spesso e volentieri però siamo noi stessi a divulgarla inserendola in presenza di terzi; ecco un altro motivo per cui addirittura potremmo essere noi a far nascere questo inghippo.

Il tema dell’identità digitale

Discorso a parte merita un altro tema scottante, quello dell’”identità digitale”, il cosiddetto SPID (Sistema Pubblico di Identità Digitale), creato dal Governo per permettere a tutti i cittadini di essere identificati digitalmente con la massima sicurezza ed integrità e che si sta rivelando invece, per la sua complessità, difficile da estendere al maggiore numero di abitanti possibile, pensiamo alla popolazione di anziani e dei meno digitali; peraltro sistema poi realizzato e gestito da società private. Ma questa è un’altra questione legata forse più al fatto che il mondo digitale viene sempre visto dalla parte degli esperti piuttosto che dalla parte degli utilizzatori. Fatte tutte queste operazioni preliminari ci si addentra nel mondo virtuale. Come pure non vogliamo evocare il Grande Fratello (non televisivo) e non vogliamo nemmeno accostarci ad un percorso già trappolato ma vorremmo procedere con cognizione di causa in questo mondo perché il nostro scopo è quello invece di indurre gli utenti a mettere in atto delle precauzioni, ciò in quanto il passo per scivolare nel penale è breve e per evitarlo nella maggior parte dei casi basterebbe educare gli utenti, spesso distratti o superficiali, su dove si annida il rischio.

L’accesso abusivo al sistema

L’accesso abusivo al sistema (terzo inghippo), detto anche furto dell’identità digitale, è contemplato come reato, che si può configurare sia come duplicazione di dati contenuti in un sistema informatico o telematico, in esso è anche assorbito anche il reato di appropriazione indebita, sia come sostituzione di persona. L’accesso abusivo è un’attività tipicamente attuata da un soggetto che si introduce senza autorizzazione in un computer o in un sistema di computer. L’articolo 615-ter del Codice penale prevede due fattispecie: chi si introduce abusivamente in un sistema[6] informatico o telematico protetto da misure di sicurezza ovvero chi vi permane contro la volontà espressa o tacita di chi detiene il diritto di escluderlo.

Il bene giuridico primario oggetto di tutela è la riservatezza dei propri dati informatici e l’indisturbata fruizione del sistema informativo, inteso come insieme di apparecchiature destinate a compiere una funzione utile all’uomo attraverso il ricorso a tecnologie informatiche da parte del gestore. Il nostro Codice penale prevede per le due suddette condotte perseguibili che colui che agisce in uno di questi modi può incorrere in una condanna con reclusione fino a 3 anni. Entità aumentata qualora tale accesso abusivo avvenga da parte di pubblico ufficiale o di un incaricato di un pubblico servizio che abusi di potere o violi i doveri attinenti alla sua funzione o al suo servizio nonché da parte di un investigatore privato che eserciti abusivamente la sua professione o di un operatore del sistema informatico che abusi della sua qualifica. Condanna ulteriormente incrementata qualora si usi violenza sulle cose e sulle persone danneggiando il sistema o interrompendo totalmente o parzialmente il suo funzionamento ovvero danneggiando o distruggendo dati, informazioni, programmi, ecc.. Qualora i fatti commessi riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità pubblica o alla protezione civile o a qualsiasi altra funzione che sia di interesse pubblico va anche peggio in termini di pena. In sintesi viene sanzionato l’accesso che non comporta condotte di aggressione fisica al sistema al quale si accede a distanza su reti telematiche ma quello virtuale.

Il tema della sicurezza dei dati

Atteso che la sicurezza e la protezione dei dati è uno degli aspetti più importanti, ingigantito peraltro dalla diffusione massiccia di ICT (Information Communication Technology) che ha infatti condizionato e quindi ha avuto effetto non solo sulle realtà produttive ed istituzionali ma anche sulla società in senso più ampio del termine. Il tema della sicurezza dei dati solo ultimamente ha ricevuto l’attenzione che merita perché le informazioni costituiscono una risorsa ed un patrimonio di inestimabile valore, difficilmente quantificabile, è enorme sia dal punto di vista quantitativo, per la massa di informazioni raccolte, sia da quello qualitativo per il valore che l’informazione assume nelle imprese. La stessa Comunità europea nel 2016 è scesa in campo istituendo il GDPR (General Data Protection Regulation) che definisce regole e sanzioni e che è stato subito recepito e armonizzato attraverso specifiche leggi nell’ambito degli ordinamenti giuridici di ogni nazione.

Identificazione dei danni

È quindi necessario rilevare dapprima i rischi e provvedere alle misure di cautela per evitare l’insorgenza di danni ingenti che possano essere identificati in:

  • danno emergente ovvero i costi da sostenere per ripristinare le componenti danneggiate (hardware, software, data-base, ecc.);
  • lucro cessante, identificabile nei danni derivanti dalla sospensione o rallentamento delle attività produttive, dalle cadute d’immagine, dagli eventuali danni provocati a terzi.

A prescindere dai rischi legati all’ambiente (terremoti, alluvioni, ecc.) e da quelli connessi con l’hardware (guasti tecnici soprattutto), limiterei qui l’attenzione sui rischi legati al software ed al personale delle aziende. Questi si possono identificare in malfunzionamenti che danneggiano l’attività aziendale, il patrimonio di dati detenuti – che potrebbe risultarne alterato o addirittura compromesso da cancellazioni e talvolta da distruzione di interi archivi – ed errori spesso a carattere involontario ma anche provocati volontariamente (vandalismo, sabotaggio, frode, ecc.).

Le misure per prevenire accessi abusivi

Per fare fronte a queste insidie è necessario predisporre delle misure preventive, che costituiscono ancora la chiave di volta per ridurre i rischi e che comportano ovviamente dei costi ma danno un vantaggio economico nel sopportare l’eventuale perdita di operatività. Tali misure possono essere distinte a seconda che proteggano la componente fisica del sistema (ossia il cosiddetto contenitore) o quella logica (la componente ICT propriamente detta). Peraltro, non è sufficiente disporre di centri operativi di sicurezza che allertano per difendere gli affari, le infrastrutture critiche, ecc. al fine di difendersi da incidenti informatici significativi.

La protezione della componente ICT

Tralasciando quella fisica, consistente nella gestione della sicurezza del luogo, nell’elaborazione di piani di emergenza e nel controllo delle vie d’accesso, focalizziamo l’attenzione su quella logica che comprende:

  • la salvaguardia dei dati e delle procedure software anche attraverso copie di backup degli archivi. C’è chi, come le banche, addirittura hanno doppie strutture di archiviazione distanti tra di loro per evitare la perdita totale dei dati;
  • l’inoculazione di antivirus per evitare che qualcuno saboti i programmi caricati visto che questi stessi viaggiano anche attraverso l’informatica distribuita ed internet.

Come risolvere i problemi

È giunto ora il momento di riassumere gli inghippi che di primo acchito abbiamo notato.

Problemi legati alla facilità di acquisto e pubblicazione di un dominio

La facilità nell’acquisto e nella pubblicazione di un dominio sembra apparentemente remota; eppure, è più semplice di quanto possiamo immaginare con l’espansione dell’informatica distribuita. Va fatto un esame approfondito dell’host proponente non solo sulla base del prezzo ma soprattutto ai fini dell’identità dell’acquirente, della sicurezza e dell’affidabilità che non hanno prezzo e generano addirittura un costo sociale. Vanno analizzati i termini del contratto, il referente, le opportunità offerte, i servizi resi, ecc.. In questo caso andrebbe chiesto un consiglio a qualcuno di fidato (advisor) e che abbia già esperienza nel settore.

Problemi legati alla trafugazione/sottrazione/furto della propria identità digitale

L’altro inghippo consiste nella trafugazione/sottrazione/furto della propria identità digitale. Lo sviluppo della tecnologia ci ha resi più vulnerabili esponendoci ai rischi del cyber crimine. Chi lo fa commette un reato punito dal nostro Codice penale agli articoli 494 e 640. Il primo dei 2 articoli contempla la “sostituzione di persona”, per la quale un individuo finge di essere qualcun altro per compiere atti illeciti dopo averne carpito alcuni dati essenziali.

L’altro articolo riguarda la “frode informatica” che consiste nello svolgimento di un’azione attraverso la quale il malintenzionato entra in possesso illegalmente dei dati di una persona, accedendo in modo illecito all’interno dei suoi sistemi informatici, ad esempio il computer, lo smartphone o il tablet. Le pene commisurate per questi casi sono molto severe, oscillanti tra 1 e 6 anni di carcere e con sanzioni amministrative partenti da 600 fino a 3.000 euro.

Le occasioni per entrare in possesso dei nostri dati personali sono numerose. Viviamo in una era nella quale le nostre informazioni sono disponibili a chiunque. Basti pensare a quante tracce lasciamo sui social, sulle app, su varie piattaforme/società/e-commerce/banche. Il modo più semplice per rubare i dati di qualcuno è visualizzare il suo profilo social, dove sono presenti tutte le informazioni principali. Allo stesso modo il furto può avvenire anche in modo tradizionale, con la manomissione della cassetta delle lettere o con il frugare nell’immondizia cartacea prodotta. Un malintenzionato ci impiega poco ad impersonare on-line un altro individuo (nome, cognome, indirizzo, data di nascita dai quali è possibile risalire al codice fiscale oppure i dati possono essere ricavati da un hacker su un sito web all’interno del quale ci sono i dati delle carte di credito). Ci sono delle best practices al riguardo che consistono, ad esempio, nel privatizzare le informazioni visibili sui social rendendole così non accessibili a tutti, nella composizione di password complesse con simboli, maiuscole, minuscole, ecc. da cambiare frequentemente, almeno mensilmente, nella gestione delle autorizzazioni sulle app, specie di quelle che si presentano gratuite perché potrebbero celare secondi fini, nell’evitare ad esempio il phishing dei propri dati bancari non cliccando su link di dubbia provenienza. Ogni utente deve essere dotato di un efficace antivirus e di un sistema di autenticazione a 2 o più fattori. Ci sono inoltre parecchie reti wi-fi aperte sulle quali occorre porre molta attenzione. Qualora tutto ciò non dovesse sortire i risultati auspicati non ci resta che rivolgerci alla Polizia Postale e denunciare i reati telematici oppure a sistemi di blockchain disponibili anche a basse tariffe sul mercato. Gli scopi di questi malintenzionati sono molteplici: postare contenuti offensivi sui social a sfondo razziale, antisemita, ecc., realizzare azioni illecite, rubarci i soldi sul conto corrente, chiederci dei prestiti, diffondere fake-news, ecc..

Problemi legati all’accesso abusivo ad un sistema informatico

L’altro inghippo è l’accesso abusivo ad un sistema informatico o telematico che è condannato dal succitato articolo 615-ter del nostro Codice Penale con le 2 già citate fattispecie. In questi casi per difendersi da questo accesso sgradito occorrerà sporgere denuncia perché quando ce ne si accorge il danno è già successo e noi tecnicamente, con i pochi mezzi che abbiamo, non siamo in grado di ovviarvi. Alcune precauzioni da adottare sono quelle già su illustrate per la trafugazione/sottrazione/furto di identità digitale.

In sintesi: cautela, cautela, cautela e formazione, formazione, formazione da fare anche piuttosto velocemente, e speriamo anche che presto possa essere data una regolamentazione alla giungla di Internet.

Note

[1] È l’operazione attraverso la quale l’utente di una rete telematica si registra sul sito al quale accede per la 1^volta. Nel login sono richiesti username e password.

[2] Dominio, che deriva da dominare ovvero dal possedere qualcosa, identifica uno spazio digitale.

[3] Dominio da non confondere con quelli finora definiti dalla vigente dottrina NATO che in futuro, chissà, potrebbe annoverare la mente umana tra questi con l’esplosione dell’intelligenza artificiale (AI) o l’ambiente cislunare.

[4] L’account altro non è che lo User ID con la password.

[5] Insieme di informazioni che identificano in modo esclusivo una persona (ad esempio: nome, cognome, indirizzo di posta elettronica, password di accesso ma anche codice fiscale, numeri di carte di credito o copie digitali di documenti cartacei quali foto, scansioni, ecc. per estensione anche strumenti come SPID, CIE e CNS).

[6] Sistema sta anche per carte di pagamento, telefonia digitale, televisione satellitare, casella di posta elettronica, ecc..

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • innovazione

    Adattarsi all'AI per sopravvivere: una strategia per le aziende

    04 Dic 2023

    di Rossella Bucca e Valentina Prando

    Condividi

Prossimo

Adattarsi all'AI per sopravvivere: una strategia per le aziende

Articolo 1 di 2