Il celere affinamento delle tecniche di attacco informatico che ha contrassegnato gli ultimi anni rende quanto mai necessaria la sensibilizzazione in tema di violazione dei dati personali, con particolare riferimento agli attacchi di cybersicurezza che sfruttino le vulnerabilità della natura umana per compromettere il patrimonio dei dati personali trattati da un’organizzazione.

Partendo dalla base dell’argomento, per “violazione dei dati personali” si deve intendere, secondo quanto enunciato dall’art. 4 del General Data Protection Regulation (di seguito “GDPR”), una “violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”.

Di fondamentale importanza la distinzione tra incidente (evento pregiudizievole per la sicurezza della rete e dei sistemi informativi che produce effetti negativi sulla confidenzialità, integrità o disponibilità dei dati all’interno di un’organizzazione e/o che impatti negativamente sui processi dell’organizzazione stessa) e violazione dei Dati Personali (Data Breach) vera e propria, intesa come incidente che coinvolga, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati dall’organizzazione.

Esempi ne possono essere l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati, il furto o la perdita di dispositivi informatici contenenti anche dati personali, la deliberata alterazione di dati personali mediante ransomware, l’impossibilità di accedere ai dati per cause accidentali o per attacchi esterni, virus, malware e così via.

Le conseguenze possono manifestarsi in forma di lieve disagio ovvero comportare gravi danni, come perdite finanziarie, limitazione di diritti, rischio di frodi e furto d’identità, discriminazione e perdita di controllo dei dati.

Il fenomeno sul quale intendo focalizzarmi, alla base di numerose tipologie di cyber attacchi, è il c.d. social engineering (ingegneria sociale), strategia volta ad indurre e sfruttare l’errore umano per accedere in modo illegittimo a informazioni riservate (es. username e password, OTP di autenticazione, numero di conti corrente, codici bancomat e carte di credito) e conseguentemente compiere operazioni fraudolente. Nel rapporto di Enisa (Agenzia Europea sulla sicurezza informatica) relativo alle vulnerabilità rilevate nel 2022, ENISA Threat Landscape (di seguito “ETL”) report, questa tipologia di attacco è considerata una delle più in uso.

La manipolazione finalizzata al compimento dell’attacco passa attraverso l’esame e lo studio di alcune debolezze umane, le «tare» psicologico-cognitive su cui si innestano attacchi di varia tipologia human based or machine based difficilmente contrastabili con idonee contromisure.

R. Cialdini, nel suo testo «Le armi della Persuasione», ha identificato alcune «tare» insite nella natura umana; tra cui:

- La coerenza, impulso a mantenere coerenza con le proprie asserzioni o posizioni precedentemente espresse, un mezzo potente di influenza sociale.

- La reciprocità, istinto che agisce nella fase pre-razionale e che può essere sfruttato per generare azioni, specie in contesti di reverse social engineering (caso tipico quello dell’attaccante che costruisca uno scenario preoccupante per la vittima e si offra per risolvere la situazione, salvo chiedere in un secondo momento un contro-favore).

- l’istinto gregario, quel senso di deferenza nei confronti dell’autorità, tanto radicato nell'essere umano e che può essere sfruttato nel sistema gerarchico di una organizzazione.

- L’empatia, tara per cui, attraverso la costruzione di un legame di empatico, reale o presunto, è più facile spingere ad una certa azione oppure modificare determinati atteggiamenti.

Accade, ad esempio, che l’attaccante, dopo over acquisito le informazioni utili a costruire un personaggio credibile e «simile» alla vittima investa del tempo a creare una relazione con quest'ultima, per conquistare la sua fiducia e utilizzarla in un contesto altro, quello vero dell’exploit, in cui riesce a suscitare il comportamento o l'azione desiderata.

- La necessità di fare scorta, indotta dalla vera o apparente scarsità di un determinato bene; tale debolezza induce l’uomo ad acquistare con maggiore impulso, ignorando eventuali minacce o sospetti.

- L’utilitarismo, il desiderio del premio… 

Come anticipato, tali vulnerabilità possono essere sfruttate per Attacchi human based, basati sul «contatto diretto» tra la vittima e l’ingegnere sociale (si pensi ad esempio alla tecnica del «rovistare nella spazzatura» nel «tallonare» un operatore per entrare in un locale non a libero accesso), ovvero Attacchi computer based, perpetrati attraverso strumenti informatici (phishing e pop up contenenti una ‘call to action’ attraverso chat o SMS).

All’interno di quest’ultima tipologia, degno di nota è il c.d. Phishing, distinguibile in:

Spear Phishing, attacchi non generalizzati (come i classici) ma diretti a colpire un individuo o piccoli gruppi.

Whaling, un phishing dal target circoscritto a soggetti dall’alto profilo esecutivo (CEO, CFO, etc), caratterizzato da un ransomware, cioè un malware in grado di criptare le risorse informative allo scopo di ottenere un riscatto.

Il Charming, phishing che ha I'obiettivo di veicolare I‘utente su un sito fake, appositamente confezionato dall’attaccante in modo identico a quello legittimo, allo scopo di violarne le credenziali di autenticazione. È molto utilizzato per ottenere illecitamente le informazioni di connessione ai server bancari.

Infine, lo SPlMming (Spam over Instant Messagging) è la variante del phishing che utilizza le chat e le piattaforme di messaggeria istantanea per veicolare contenuto malevolo e rubare credenziali (es. le c.d. ‘catene di Sant’Antonio’).

Tendenzialmente l’attacco si sviluppa secondo una serie di momenti consequenziali, riassumibili nei passaggi della raccolta di informazioni, costruzione del pretesto, costruzione del vettore di attacco, instaurazione della relazione, l’exploit e la fase successiva allo stesso.

Dal punto di vista delle contromisure adottabili, la mancanza di contromisure valevoli a priori rende ancora più necessaria l’adozione di provvedimenti di carattere preventivo, tra cui assume massimo rilievo l’accrescimento della conoscenza e delle competenze in materia di sicurezza dei dati, la cosiddetta awareness. L’accrescimento della sensibilizzazione sul tema, che passa attraverso la formazione, il dialogo, l’analisi e l’applicazione delle misure di sicurezza sul patrimonio dei dati personali, atta anche a contrastare le nuove tendenze di social engineering è un presupposto indispensabile sul quale è importante che si concentrino tutte le funzioni di un’organizzazione  e in maggior misura quelle funzioni preposte a trattamenti che il contesto e la natura dei dati sono maggiormente esposte a minacce (risorse umane, marketing, vendite e reparti finanziari, personale IT e di sicurezza).

La formazione costituisce il primo tassello del puzzle che un titolare di dati personali deve porre alla base del proprio valido sistema di contrasto alle minacce e di corretta gestione dei dati personali, va da sé tale attività dovrebbe essere tagliata sulle persone cui si rivolge, focalizzata ai rischi sottesi all’espletamento delle specifiche mansioni e raffinata in un grado crescente di complessità per le figure che operano come responsabili della sicurezza. Non esiste organizzazione che non debba mettere a budget le risorse idonee a questo scopo.