Banche col buco

Alberto Brambilla

L’attacco del virus WannaCry rivela che nessun sistema informatico è al sicuro. La finanza è vulnerabile contro un nemico senza nome

Una settimana fa mentre i ministri delle Finanze e i banchieri centrali dei sette paesi più avanzati si accomodavano al Castello normanno-svevo di Bari, una fortezza medievale, il mondo faceva la conoscenza del virus informatico WannaCry che si diffondeva su almeno 200 mila computer in 150 paesi paralizzando ospedali, trasporti pubblici e imprese multinazionali. Le notizie iniziali di una breccia in alcune banche, le spagnole BBVA e Santander, sono state smentite dagli istituti interessati. Ironicamente il gotha finanziario aveva appena deciso di eliminare dal comunicato finale del vertice i riferimenti al rifiuto di un revival del protezionismo commerciale (tema lasciato ai capi di governo) e l’assalto online di dimensioni planetarie ha ricordato loro che il mondo non ha frontiere. Le discussioni si sono concentrate su riduzione delle diseguaglianze, lotta al terrorismo e contrasto al cybercrimine; coincidenza che però ha prodotto solo dichiarazioni d’intenti.

 

Un attacco senza precedenti in concomitanza col G7 finanziario a Bari evidenzia che polizia e spie non fermano nuove criminalità

L’attacco non ha precedenti per ampiezza, è paragonabile a un disastro naturale. WannaCry è un programma ransomware che paralizza e tiene in ostaggio i computer e finché non si paga un riscatto per tornare a farli funzionare – un ricatto che fa venire “voglia di piangere”, in questo caso la richiesta è l’equivalente di 300 dollari in Bitcoin, la valuta digitale più usata per transazioni anonime. Il bottino finora ottenuto sarebbe misero (83.764 dollari, secondo @ransomtracker, un profilo Twitter che tiene il conto dei riscatti) ma l’attacco ha comunque avuto successo e potrebbe rappresentare la prova generale di qualcosa di più grande, una versione Beta. Quarantotto ore dopo la diffusione del programma, i servizi segreti inglesi hanno avvertito il mondo degli affari della possibilità di nuove ondate. Secondo l’agenzia europea di contrasto al crimine Europol, una scala così massiccia richiede un coordinamento internazionale per difendersi.

 

L’episodio ha evidenziato che le forze di polizia e di spionaggio non sono più adeguate a controllare e fermare le nuove forme di devianza criminale che si diffondono in internet, dov’è molto più facile perpetrare un delitto rispetto al mondo fisico da loro maggiormente presidiato. Non era necessario attendere WannaCry per capirlo: gli attacchi hacker crescono in numero da anni. La banca inglese Lloyds ha stimato nel 2015 che il costo degli attacchi su scala mondiale è arrivato a 400 miliardi di dollari l’anno. Le banche (e i loro clienti) sono in prima linea nella battaglia contro un nemico che non ha armi né divisa o identità ma esercita grave violenza muovendosi come una collettività indistinta di guerriglieri nella boscaglia. Dal 2012 al 2016 gli istituti di credito nel mondo, tra cui i colossi americani come Bank of America, Chase, Wells Fargo e JpMorgan, e i sistemi di pagamento internazionali hanno subìto violazioni di vario tipo con le quali sono stati sottratti 5 miliardi di dollari. La più grande cyber-rapina in un singolo colpo probabilmente di tutti i tempi, sicuramente del 2016, è avvenuta ai danni della Banca del Bangladesh per un valore stimato di 81 milioni di dollari. I criminali hanno compromesso alcuni sistemi della Banca e sono penetrati nel sistema Swift (Society for Worldwide Interbank Financial Telecommunications), una rete strategica mondiale nata nel 1973 sulla quale vengono trasmesse le informazioni sulle transazioni finanziarie di 210 paesi. Per un banale errore umano i criminali non sono riusciti a sottrarre 1 miliardo di dollari come avevano ordinato e solo la prima tranche del furto è andata a buon fine. La totale sicurezza del sistema dei pagamenti internazionali non è più una granitica certezza. “La minaccia è molto persistente, adattabile e sofisticata – ed è qui per restare”, ha detto alle sue banche clienti la società Swift, con base a Bruxelles, in una lettera del 2 novembre riportata da Reuters mesi dopo la violazione, a confermare l’aumento dei rischi.

 

Il governatore della Banca d’Italia, Ignazio Visco, ha correttamente sottolineato al G7 di Bari che parte del problema sta nell’anonimato sia delle azioni criminali sia delle transazioni in criptovalute, come Bitcoin, utilizzate per chiedere i riscatti o per acquistare materiale illegale, ma anche per operazioni lecite. Tuttavia la debolezza non sta nello strumento, che può essere usato per buoni o cattivi scopi, perché parte dell’opera difensiva spetta ai regolatori e alle istituzioni bancarie private che in Italia, come nel resto del mondo, vengono “bucate” e più sono ramificate più sono esposte. L’Associazione bancaria italiana (Abi), la lobby del credito, discuterà del tema il 23-24 maggio a Milano e saranno all’ordine del giorno alcune nuove criticità.

 

La sfida per le autorità pubbliche e per i privati sta nel garantire che il nostro nuovo mondo digitale non diventi un caotico "far west"

La sfida per le autorità pubbliche e per i privati sta nel garantire che il mondo digitale in cui gli utenti compiono attività quotidiane indispensabili non diventi un caotico “far west” per la fortuna di delinquenti che sono sempre un passo più avanti degli sceriffi. Al giorno d’oggi scoprire che qualcuno ti ha rubato il portafogli è una brutta esperienza. Sarà spiacevole ma bisogna riconoscere lo “slight of hand” (il gioco di prestigio) del ladro professionista. Per i cybercriminali invece non c’è bisogno di allenamento. L’uso del denaro elettronico cresce di pari passo con la diffusione di carte prepagate contactless e degli smartphone, i portafogli di una futura “cashless society”, la società senza contante teorizzata con entusiasmo dall’economista di Harvard Kenneth Saul Rogoff, tra gli altri. Le carte senza contatto servono per effettuare piccoli pagamenti, in media 20-25 euro, e sono usate in diversi esercizi commerciali o per acquisti online e sono molto pubblicizzate dalle banche. Il cyber-scippatore dispone di un lettore di schede (l’aspetto è di una comune penna Usb) che connesso a un portatile può recuperare i dati-chiave di una carta con tecnologia Near Field Communication quando il possessore passa a 50-60 centimetri di distanza. A essere rubati sono i dati più sensibili: nome e cognome del titolare, numero completo della carta, data di scadenza e in molti casi l’elenco completo delle ultime transazioni. Tutto quel che serve per usarla e quindi prosciugarla. I luoghi più esposti sono stazioni ferroviarie, aeroporti, autogrill, metropolitane, ecc. Nel 2014 gli esercenti italiani hanno visto trasferire nelle proprie casse attraverso la tecnologia contactless un volume pari a 300 milioni di euro, distribuiti tra gli oltre 250.000 terminali Pos abilitati, secondo osservatori.net 2015. Il circuito MasterCard/Maestro è leader in Italia con 12 milioni di carte e ha l’obiettivo di rendere uno standard del settore il pagamento senza contatto entro il 2020. Il circuito di pagamenti concorrente, Visa, conta 4 milioni di utenti in Italia. Le banche s’impegnano per inseguire la tendenza con PostePay (Poste Italiane) Superflash (Intesa Sanpaolo) Genius Card (Unicredit) &Si (Carta sì). Sono invece 12 milioni i possessori di smartphone compatibili. Un esempio virtuoso è la francese Navigo, che ha un circuito indipendente, slega l’identità della carta dal titolare, ha l’obbligo di firma digitale. E per quanto le aziende produttrici dicano di studiare sistemi sofisticati di autenticazione, la migliore difesa resta un porta-carte di metallo che scherma il segnale del cyber-scippatore. La breccia è nota agli esperti almeno dal 2012 ma di rado i responsabili della sicurezza ammettono carenze. In fondo per le banche è un rischio lieve quello di ricevere una richiesta di risarcimento da un utente rapinato perché sono assicurate contro il rischio informatico. Tuttavia è logico che all’aumentare degli attacchi di questo o di altri tipi, e quindi all’incremento dei risarcimenti, le richieste di miglioramento dei sistemi di contrasto da parte delle compagnie di assicurazione si faranno più pressanti di conseguenza.

 

 Come si deruba uno sportello automatico in venti secondi? Lo insegna una "banda del buco"

Ultimamente il cybercrimine ha fatto dei furti alle casse bancarie automatiche, i cosiddetti bancomat, un business su scala industriale fornendo informazioni ai “clienti” su come riuscirci con dispositivi pronti all’uso. L’anno scorso si è diffusa la notizia sul magazine Wired dell’esistenza delle “black boxes” (scatole nere), dispositivi speciali che stanno nel palmo di una mano e permettono di controllare gli erogatori di contanti delle casse automatiche comandando di scaricare le banconote. E’ un metodo che rispetto alla prassi precedente evita al rapinatore di usare un computer portatile o altri strumenti ingombranti col rischio di attardarsi a manipolare l’erogatore con programmi manuali: basta installare la black box per fare “jackpot”. In particolare i criminali russi hanno sviluppato la tecnica e fanno affari con la consulenza. L’anno scorso una “banda del buco” russa ha prodotto un manuale di sei pagine – scritto in cattivo inglese, inclusivo di spiegazioni dettagliate con immagini, e due video con dimostrazione pratica – per spiegare come rapinare una cassa automatica in venti secondi con l’ausilio di un trapano o di una fiamma ossidrica, utile a bucare la macchina, per poi collegare la black box ai circuiti elettronici. Nelle istruzioni che il Foglio ha potuto visionare i criminali attaccano una specifica casa costruttrice di sportelli automatici presente in tutto il mondo che l’anno scorso ha subìto effrazioni in Germania, Stati Uniti, Canada e Italia. Il costruttore ammette che non esiste altra soluzione se non intervenire sul posto dove c’è una cassa vulnerabile: sono decine di migliaia nel mondo e i costi per farlo sarebbero proibitivi. “Già nel 2009-’10 ebbi modo di effettuare ricerche sulla sicurezza degli sportelli automatici, individuando una ventina di vulnerabilità, sia nel linguaggio della macchina sia di tipo fisico, su due differenti produttori e tre modelli”, dice Raoul Chiesa, uno dei maggiori esperti mondiali di infosecurity, fondatore di Security Brokers e di Swascan che con il suo team dedicato al contrasto delle frodi bancarie sta seguendo l’evoluzione di questo particolare crimine. Chiesa è consulente della Nato e ha un esperienza di oltre vent’anni, ma in Italia non lavora molto perché le società non sono disposte a pagare somme parametrate ai servizi offerti – un problema diffuso e cruciale.

 

In Italia gli attacchi vengono spesso taciuti e gli investimenti in sicurezza sono scarsi rispetto ai valori economici da difendere

Le minacce sono molteplici e i rischi aumentano più il perimetro delle connessioni di un’azienda si allarga. Gli attacchi possono anche essere mirati verso figure aziendali di altissimo profilo, generalmente amministratori delegati, presidenti, direttori finanziari, che ricevono mail “esca” con le quali si può risalire a dati sensibili. Lo stesso vale per i loro dipendenti e le persone comuni. La difesa migliore e’ non aprire messaggi di mail sospetti. Secondo l’ultimo rapporto Clusit – Associazione italiana per la sicurezza informatica – è dal 2011 che si susseguono anni orribili in un crescendo di attacchi e minacce e il 2016 è stato il peggiore rispetto ai precedenti. “Francamente non avremmo potuto immaginare che nel giro di così poco tempo la situazione avrebbe raggiunto i livelli di gravità che si sono evidenziati nell’anno appena trascorso”, dice il rapporto analizzando la situazione globale. L’approfondimento di ricerca sulle banche italiane rivela che gli attacchi con dispositivi connessi a insaputa di organizzazioni e utenti sono in maggioranza diretti a istituti rivolti alla clientela retail (70 per cento) e a siti di gestori di carte di credito (25), in misura molto minore verso sistemi bancari dedicati alle imprese (3), e con impatto su alcuni popolari social network (Facebook e Linkedin) e servizi mail gratuiti per un’altra frazione (2). Stando all’analisi di geocalizzazione dei server, la maggior parte degli attacchi alle banche italiane parte da reti ospitate negli Stati Uniti (32 per cento), seguono Germania (19) e Russia (9). In Italia, però, dice Clusit, se il numero di attacchi gravi di dominio pubblico è “bassissimo rispetto al totale” è “dovuto esclusivamente alla scarsa propensione a denunciarli da parte delle nostre organizzazioni”. Inoltre, nonostante un aumento del 5 per cento in un anno, gli investimenti in sicurezza, arrivati al miliardo di euro, sono “assolutamente insufficienti” sia rispetto al valore del mercato di beni e servizi che usano tecnologie digitali (66 miliardi di euro) sia rispetto alla percentuale del reddito nazionale che essi generano. Un’inchiesta di Reuters a marzo diceva che il principale problema nazionale è la difficoltà al colmare il divario culturale rispetto agli altri paesi. La mentalità aziendale e della pubblica amministrazione è infatti arretrata e la sicurezza informatica viene considerata un fardello. Gli ingegneri informatici tra i 20 e 30 anni interpellati dall’agenzia stampa sono costretti a lavorare all’estero per applicare quello che hanno studiato nelle università italiane perché la sicurezza informatica nel Regno Unito come in Germania è giudicata un investimento da curare. La maggior parte delle società e delle banche italiane non sembrano disposte a pagare quanto serve per produrre test efficaci di penetrazione dei sistemi informatici effettuati da professionisti (costano una cifra che parte da 1.600 euro al giorno e possono durare due settimane), e si riducono a commissionare test più superficiali di vulnerabilità dei sistemi, effettuati con programmi automatici, che sono più economici ma insufficienti. Così i risk manager non si accorgono delle reali vulnerabilità delle aziende per cui lavorano e possono evitare di domandare investimenti ulteriori alla dirigenza, facendo comunque bella figura.

 

Nel 1919 durante la rivoluzione tedesca che portò al caos della Repubblica di Weimar, il sociologo Max Weber teorizzò che le autorità politiche – gli stati nazionali che avrebbero dominato il XX secolo – traevano la loro ragion d’essere dall’esercizio del monopolio della violenza in chiave difensiva verso i cittadini vulnerabili. La stessa capacità di dispiegare l’uso legittimo della forza in rete può essere richiesta oggi a stati e coalizioni di nazioni per far fronte alla minaccia indistinta degli hacker che sfruttano le connessioni globali per le loro scorribande. Tuttavia sarebbe improduttivo invocare soltanto un’alleanza sovranazionale su modello di forum di discussione in formato espanso oppure ristretto, com’è ad esempio il G7, se prima le singole aziende private non si adoperassero per aggiustare le rispettive falle organizzative.

Di più su questi argomenti:
  • Alberto Brambilla
  • Nato a Milano il 27 settembre 1985, ha iniziato a scrivere vent'anni dopo durante gli studi di Scienze politiche. Smettere è impensabile. Una parentesi di libri, arte e politica locale con i primi post online. Poi, la passione per l'economia e gli intrecci - non sempre scontati - con la società, al limite della "freak economy". Prima di diventare praticante al Foglio nell'autunno 2012, dopo una collaborazione durata due anni, ha lavorato con Class Cnbc, Il Riformista, l'Istituto per gli Studi di Politica Internazionale (ISPI) e il settimanale d'inchiesta L'Espresso. Ha vinto il premio giornalistico State Street Institutional Press Awards 2013 come giornalista dell'anno nella categoria "giovani talenti" con un'inchiesta sul Monte dei Paschi di Siena.