Una redazione di oltre 100 collaboratori, esperti delle tematiche che stanno a cuore alle imprese

Dal phishing al Man in the mail. Ancora sulla tutela del patrimonio aziendale

sicurezza-informatica

Da tempo, gli attacchi informatici si sono evoluti, il crimine lavora con veri e propri processi aziendalistici ed ora il phishing è divenuto parte di frodi più complesse come la cosiddetta “Man in the mail fraud”.

Di recente questo attacco è stato subito da Bitpay. I criminali hanno ottenuto dal Direttore Finanziario della Società le credenziali del suo account email. Sulla base delle informazioni recuperate dall’account del Direttore finanziario, l’organizzazione criminale ha poi scritto all’Amministratore Delegato convincendolo ad effettuare svariati versamenti. Bitpay attualmente non ha recuperato nulla dei milioni persi.

Diverse sono le tipologie di attacchi che un’azienda può subire: un phishing, attacchi brute forcing, trojan, lo sfruttamento delle numerose debolezze dei dispositivi mobili, ecc. Come visto per Bitpay, i criminali inizialmente si limitano ad osservare poi, al momento giusto, si sostituiscono al mittente o inviando alla vittima una mail di richiesta di modifica delle coordinate bancarie oppure una richiesta di denaro. L’azienda a questo punto procede al pagamento con la massima tranquillità (visto che il mittente della richiesta appare sicuro) e la truffa è fatta.

È possibile evitare questa frode?

Adottare le adeguate misure di sicurezza è un aspetto tutt’altro che semplice perché coinvolge moltissimi settori dell’attività di business (HR, management, IT) piuttosto che quello squisitamente informatico.  Purtroppo le debolezze informative che frequentemente continuo a riscontrare nelle aziende sono sempre le stesse come password deboli, mancanze di policy nell’utilizzo dei dispositivi mobili, mancata adozione di policy sul trattamento delle informazioni (chi, come, quando, perché), ma anche l’utilizzo di software non aggiornati (si pensi a Windows XP, Java, ecc), non adeguati (molti antivirus) o anche servizi di webmail gratuiti.

Gli strumenti giuridici

Gli strumenti giuridico-processuali (civili e penali), pur esistenti, si sono dimostrati, sino ad oggi, piuttosto inadeguati e inefficaci.

Sotto il profilo del diritto penale infatti, l’azione fraudolenta tocca molteplici tipologie di reato, truffa (art. 640 c.p., sostituzione di persona (art. 494 c.p.), frode informatica (art. 640 ter c.p. anche nell’aggravante del furto o utilizzo indebito dell’identità digitale altrui, accesso abusivo a sistema informatico (615 ter c.p.) rivelazione di segreti (622 c.p.) e altri ancora. Tuttavia, la riuscita dell’azione penale si scontra spesso contro la difficoltà di individuazione dei responsabili e contro la rapidità con cui si conclude la condotta illecita. Senza contare che sovente si pongono dei problemi non indifferenti di giurisdizione (con frodi spesso riconducibili a Paesi extra UE).

Sotto il profilo processual-civilistico la questione è ancora più complessa. Si pone infatti anche qui, in primo luogo, un problema di individuazione dei responsabili (anche se adottando precise policy è più facile capire chi e cosa è successo). Talvolta è ipotizzabile porre in essere azioni di responsabilità da custodia, responsabilità professionale fino ad arrivare alla residuale azione di illecito arricchimento ma spesso la prova in giudizio è tutt’altro che agevole.

Un atteggiamento proattivo e preventivo (sicurezza informatica ed informativa, stesura di adeguate policy ed educazione dei dipendenti) continua ad essere l’unica soluzione. “Protocolli interni” o “policy”, che dir si voglia, significa mettere nero su bianco responsabilità e responsabilizzazione dei propri dipendenti e quindi salvaguardare, difendere e far crescere il proprio business.

Avv. Emiliano Vitelli

avatar

Emiliano Vitelli

Partecipa alla discussione

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.