Hacker, bande scatenate su obiettivi veneti: dalle Usl a Benetton, investimenti milionari per proteggere i file #finsubito prestito immediato

Nulla di romanticamente piratesco, i reati informatici sono un business vero e proprio. E col vento in poppa. Per calcolare il «riscatto» da chiedere per i dati sottratti, se si tratta di un’azienda privata, gli hacker partono da una visura camerale e chiedono una percentuale «sostenibile» del fatturato (fra il 4 e il 6%). Un’attività illegale in crescita (+23%) come certifica la relazione annuale della Procura di Venezia: nel 2023 sono stati 5.371 i processi per reati informatici di cui la stragrande maggioranza (3.566) si configura come frode informatica ma 1.651 come «accesso abusivo».
Negli ultimi anni, in Veneto, si sono registrati almeno cinque casi eclatanti: Luxottica, Benetton, Synlab, l’Usl 6 Euganea e l’Azienda ospedaliera di Verona. Ma è solo la punta dell’iceberg come spiega Riccardo Meggiato, consulente di informatica forense ed esperto di cybersecurity: «Quasi un’azienda su tre viene colpita da attacchi informatici da parte di hacker spesso residenti all’estero assoldati, non di rado, da associazioni criminali come la camorra. Si tratta di attività redditizie ma molto meno complesse e pericolose rispetto al traffico di droga, ad esempio».

Settore pubblico: attacchi e difese

Egualmente colpito, però, è anche il settore pubblico come dimostrano le disastrose violazioni dei dati più sensibili, quelli sanitari. E allora, complici anche il Pnrr e una normativa europea sempre più stringente che inquadra i detentori dei dati come responsabili con ammende salate sulla privacy, le amministrazioni pubbliche hanno ingranato la quarta. Idelfo Borgo, direttore dell’Ict in Regione, spiega che sul piatto, oltre ai fondi ordinari, ora ci sono 26 milioni (in tre anni, parte dal Pnrr, parte da altri fondi nazionali) «per la creazione di una sorta di authority deputata al governo e al controllo della cybersecurity per la sanità e tutte le strutture regionali, partecipate incluse. In tutto parliamo di 26 agenzie». Nell’ultimo anno l’intera struttura è stata certificata inclusa la qualificazione, molto rara, del proprio data center presso l’Agenzia nazionale della cybersecurity. «La conservazione dei dati – spiega Borgo – è ibrida, parte su cloud, parte su infrastrutture fisse». 

Regione e 

Il giro di vite per gli oltre 70 mila dipendenti della Regione (contando anche i sanitari) è iniziato quest’anno con un’attività di setaccio, file per file, in modo da scoprire eventuali falle ma, soprattutto, con un’intensa attività di formazione perché il vero vunus è il fattore umano, è quel trojan che arriva alle cartelle cliniche virtuali di un’Usl dal clic di un dipendente in risposta a una e-mail apparentemente innocua. Chiaramente, il tasto più delicato è la sanità. E l’attività di robusto rinforzo intrapresa dalla Regione, è motivata anche dal prossimo step, tutt’altro che scontato: la piena integrazione nel fascicolo sanitario elettronico 2.0 dei dati proveniente dal privato accreditato. Nell’occhio del ciclone ci sono anche i Comuni che, dall’anagrafe ai dati catastali, sono i custodi di altre preziose informazioni. 

Privati e scudi

Qui la fonte di finanziamento sono due bandi Pnrr. Il primo, del 2022, sulla resilienza ai cyber attacchi ai danni di Regioni e capoluoghi, ha portato a Padova 1,2 milioni, alla città metropolitana di Venezia un milione e mezzo, quasi 1,4 milioni a Verona e 865 mila euro a Vicenza. L’Arpav, poi, ha avviato un suo progetto – Arpav Cybersicura -, sempre finanziato dal Pnrr per un milione e mezzo. Quest’anno un nuovo bando Pnrr (50 milioni) si è rivolto ai Comuni sopra i 100 mila abitanti. E poi ci sono le aziende. Massimo Colorio, innovation manager del Digital innovation hub di Confindustria, spiega che «la sensibilità al tema è trasversale, nel senso che ci sono piccole imprese che investono in sicurezza e grandi aziende che non ci pensano a sufficienza». Gli esempi si sprecano: reti wi-fi per ospiti con la stessa password da decenni, pc aziendali con un’utenza e una password iniziale che non viene mai modificata. «Eppure qualcosa sta cambiando – spiega Colorio – si sta entrando nell’ottica che oltre alla tecnologia serve formazione alle persone. Così ci sono ethical hacker che fanno dei “vulnerability test” dimostrando come i sistemi di un’azienda non siano sicuri. Certo, la formazione e questi test costano, si può arrivare a 15 mila euro l’anno, ma un giorno di stop per un attacco vale spesso fra i 50 e i 60 mila euro…è come con le assicurazioni, si fanno sperando di non usarle mai».

Vai a tutte le notizie di Belluno

Iscriviti alla newsletter del Corriere del Veneto