In vigore le nuove regole per difendersi dagli attacchi informatici e rendere più sicuri i sistemi. Quello italiano ha mostrato molte falle.
Roma – L’allarme sulla cybersicurezza nazionale, sotto scacco con il dossieraggio dell’inchiesta di Perugia, con i conti di politici e istituzioni spiate dall’ex dipendente di Banca Intesa Sanpaolo a Bari e con le violazioni ai server del ministero della Giustizia di Carmelo Miano, è altissimo. La vicenda dell’hacker 24enne che aveva accesso anche alle password di 46 magistrati, tra i quali il procuratore di Napoli Nicola Gratteri a quello di Perugia Raffaele Cantone, ha disvelato le debolezze e le falle del sistema. Ma da oggi entra in vigore la Direttiva Nazionale NIS2. Una nuova opportunità di difesa dagli attacchi informatici, coinvolgendo figure di spicco del panorama politico e tecnologico. Di cosa si tratta?
Parliamo di NIS2, la nuova direttiva europea sulla cybersicurezza che amplia la platea dei soggetti che devono osservare alcune regole di condotta per proteggerci, per proteggere i dati soprattutto dalle intrusioni esterne. La direttiva impone una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica. Questi requisiti includono: politiche di analisi dei rischi e di sicurezza dei sistemi informatici, gestione degli incidenti, continuità operativa, sicurezza della catena di approvvigionamento, sicurezza dell’acquisizione, sviluppo e manutenzione dei sistemi informatici e di rete. Ma anche strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersecurity, pratiche di igiene digitale di base e formazione in materia di cybersicurezza, politiche e procedure relative all’uso della crittografia. E ancora, sicurezza delle risorse umane, strategie di controllo dell’accesso e gestione degli attivi (hardware, software, dati) e uso di soluzioni di autenticazione a più fattori o di autenticazione continua.
Questi requisiti sono progettati per garantire che le organizzazioni siano in grado di identificare, prevenire e rispondere efficacemente alle minacce informatiche, proteggendo così le infrastrutture critiche e i dati sensibili. L’ambito di applicazione della direttiva NIS2 è stato drasticamente ampliato: in alcuni Paesi, il numero di entità coperte salirà a circa 30.000 rispetto a NIS1 che riguardava solo 3.000 soggetti. Inoltre, le implicazioni per le aziende che non rispettano gli standard sono molto più gravi, con un inasprimento delle sanzioni in caso di mancato rispetto delle scadenze e responsabilità personale per i manager che le rappresentano.
Un ruolo cruciale dunque quello della Direttiva NIS2 per il futuro della cybersicurezza in Italia: c’è l’urgenza di un’azione coordinata tra istituzioni, aziende e cittadini per affrontare le sfide di un mondo sempre più interconnesso. Gioacchino Genchi, legale di Carmelo Miano che ha tenuto sotto scacco le Procure d’Italia, nella memoria in cui chiede una misura cautelare alternativa al carcere, pur riconoscendo le abilità del suo assistito, ha puntato il dito contro le debolezze dei sistemi di sicurezza a guardia dei dati del ministero: una situazione “inquietante”, sostiene, adombrando anche l’eventualità che le porte del sistema informatico lasciate aperte da Miano possano ora favorire altre incursioni “molto più gravi e preoccupanti di quelle che ha commesso il mio assistito”. E il caso di Vincenzo Coviello, l’ex bancario che spiava i conti e i movimenti bancari dei politici e di personalità istituzionali e dello spettacolo?
“Possiamo escludere che sia stata compiuta una attività di dossieraggio (di qualsiasi dimensione e natura)”, sostengono i legali del funzionario licenziato dalla banca Intesa Sanpaolo e ora indagato per accesso abusivo ai sistemi informatici e tentato procacciamento di notizie concernenti la sicurezza dello Stato. Il 52enne di Bitonto avrebbe spiato dal 2022 al 2024 quasi 7mila conti correnti, alcuni di proprietà di politici come la presidente del Consiglio Giorgia Meloni, il suo predecessore Mario Draghi, il ministro Crosetto e il presidente del Senato Ignazio La Russa.
Insomma, l’allarme cybersecurity è altissimo e c’è molta curiosità rispetto all’impatto che NIS2 potrebbe avere sugli attacchi hacker futuri e sugli scenari inquietanti del dark web, ora alimentato anche dal traffico di dati e documenti che fanno gola a guerre e terrorismo. Ne è un esempio eclatante l’allarme sui certificati falsi lanciato dal ministro degli Esteri Antonio Tajani con la rivelazione choc di miliziani Hezbollah entrati in azione con passaporti italiani falsi. Una vicenda che fa emergere una realtà sconcertante. Soprattutto nei tempi degli scandali che si susseguono in Italia sul business dei dati personali tra dossieraggio, hacker e spionaggio sui conti correnti di politici e istituzioni. E adesso la notizia degli Hezbollah con il passaporto italiano che solleva ancora più dubbi sulle falle della sicurezza nazionale.
Si stima che il 95% dell’attività svolta nel dark web sia di natura illegale. Un ecosistema criminale in forte crescita. Dalla droga al carding, dal malware al furto di identità e credenziali si assiste a una continua evoluzione dell’economia digitale illecita. Un quadro inquietante quello dipinto degli esperti; il dark e deep web, una rete che raccoglie il 96% di Internet, nascosta agli utenti comuni, ma ampiamente utilizzata da criminali informatici per condurre attività illecite. Tra il 2017 e il 2020, le operazioni su queste piattaforme sono cresciute del 300%, e si prevede che entro il 2028 il mercato globale raggiungerà 1,3 miliardi di dollari con un tasso di crescita annuo del 22,3%. La crescita in realtà, come dimostrano i dati, è iniziata da almeno 15 anni per un’esigenza fondamentale delle mafie, della criminalità organizzata e del terrorismo, ossia quella di risparmiare sui costi di posizionamento e di allargare la presenza sui territori”, ha fatto notare parlando con Adnkronos Ranieri Razzante, esperto di cybersicurezza e criminalità organizzata.
A giugno scorso l’Aula del Senato aveva approvato il ddl sulla Cybersicurezza. Tra le misure introdotte c’è anche l’inasprimento delle pene per i reati informatici e l’obbligo per le amministrazioni di segnalare, entro 24 ore, gli attacchi e di avere un responsabile della cybersicurezza. “Esprimo apprezzamento e soddisfazione per l’approvazione definitiva del disegno di legge del governo sulla cybersecurity“, aveva commentato il sottosegretario Alfredo Mantovano parlando di “un testo che ha trovato arricchimento e positiva integrazione nel percorso parlamentare, grazie anche al contributo emendativo delle opposizioni. Da oggi l’intero sistema della sicurezza nazionale, e in particolare quello cyber, che è diventato il fronte principale di attacchi da parte di soggetti statuali ostili, viene finalmente dotato di strumenti operativi più adeguati a respingerli”.
Ma dopo quell’approvazione sull’onda dell’inchiesta dossieraggio, l’ombra degli hacker e degli spioni del market criminale online si è di nuovo allungata prepotentemente sugli interventi legislativi ideati per fermarli. Cambierà qualcosa con l’avvento di NIS2?