Nel 2022 sono stati 12.947 gli attacchi informatici rilevati contro istituzioni, aziende e privati, ben il 138% in più rispetto all’anno precedente.
A comunicarlo è il report annuale del CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) della Polizia Postale.
I fenomeni di cybercrime analizzati riguardano attività di phishing, diffusione di malware distruttivi, e campagne di disinformazione e “data leak”.
Pedopornografia online e cyberbullismo
Nella lista dei crimini informatici individuati ce ne sono anche due che riguardano esclusivamente bambini e adolescenti, e sono pedopornografia online e cyberbullismo.
In particolare, la Polizia Postale ha individuato 4.542 casi di pedopornografia online.
Ciò ha consentito di indagare 1.463 soggetti, con 149 arresti per reati commessi a danno dei minori.
Rispetto all’anno precedente il numero di persone incriminate è aumentato di circa l’8%.
Per quanto riguarda il continuo monitoraggio svolto dalla Polizia Postale nelle attività di prevenzione, sono stati ispezionati 25.696 siti, di cui 2.622 inseriti in “black list” e oscurati, in quanto mostravano contenuti pedopornografici.
Dall’indagine non potevano poi mancare casi di cyberbullismo, anche se in leggera flessione rispetto al 2021.
Ne sono stati individuati 323, di cui 219 con vittime di età compresa tra i 9 e i 17 anni.
A parte vanno considerati i casi di “sextorsion” (e cioè legati a ricatti sessuali), che ammontano a 130.
Cybercrime su WhatsApp e Facebook
Sono davvero tanti gli stratagemmi escogitati dai criminali informatici per rubare informazioni personali.
Ad aprile 2022, ad esempio, sono stati pubblicati 100 milioni di numeri di telefono di utenti iscritti a WhatsApp, con tanto di nomi e cognomi.
Diversi forum online hanno venduto sul mercato nero questi dati, che rappresentano una vera e propria miniera d’oro per i criminali informatici.
Perché? Perché così possono inviare ai singoli utenti messaggi truffaldini, resi plausibili dal fatto che il nome della vittima è noto.
Nell’aprile 2021 si è verificata una vicenda simile, che ha però coinvolto Facebook.
Un gruppo di sconosciuti avrebbe sottratto alla piattaforma informazioni personali di circa 533 milioni di utenti (nomi, cognomi, identificativi, locazioni geografiche, indirizzi email, numeri di telefono, ecc).
La notizia ha destato grande scalpore, ma Facebook si è affrettata a precisare che i dati non erano frutto della violazione dei propri server.
Si trattava, a ben vedere, di una pesante e ben orchestrata attività di “scraping”, una tecnica per estrarre informazioni dalle pagine dei siti web tramite procedure automatiche.
Ma come avrebbero agito di preciso i criminali?
L’azienda, oggi di proprietà di Meta, ha dichiarato che i dati sarebbero stati raccolti intorno a settembre 2019, sfruttando la funzionalità che permetteva di importare gli amici.
Questo strumento esiste ancora oggi (si chiama “carica i contatti”), ma Facebook ha assicurato che proprio nel 2019 i tecnici dell’azienda hanno rimosso il bug che consentiva l’estrazione di un certo numero di informazioni dai profili degli utenti registrati.
L’evento ha provocato anche la reazione del Garante della privacy, che è intervenuto con un importante provvedimento.
Con ciò non si intende dire che è sbagliato usare Facebook o gli altri social network, ma che bisogna farlo (soprattutto se gli utenti sono minori) adottando le dovute forme di cautela.
Il caso Twitter
Con un comunicato diffuso online lo scorso agosto, Twitter ha confermato che alcuni criminali informatici sono riusciti a raccogliere dati personali di utenti iscritti alla piattaforma.
La società non ha rivelato il numero di account colpiti, ma il furto ha coinvolto milioni di persone in tutto il mondo.
Nello specifico, le cose sono andate in questo modo.
A dicembre 2021 un gruppo hacker ha dichiarato di essere riuscito a raccogliere i dati personali di milioni di utenti Twitter sfruttando una vulnerabilità “zero-day”.
Facendo leva su questa lacuna di sicurezza, gli aggressori hanno potuto interrogare la piattaforma inviandole una lunga lista di numeri di telefono e indirizzi email.
I server del social hanno risposto, per ciascuna interrogazione, indicando se il numero di telefono o l’email trasmessa erano associati a uno specifico account.
A questo punto è stato facile comporre un database contenente il nome corrispondente all’account Twitter, il numero di follower, informazioni di geolocalizzazione, indirizzo dell’immagine usata per il profilo, ecc.
Il file prodotto in seguito alla sottrazione dei dati e alla pesante attività di “scraping” svolta sulle pagine è stato messo sul mercato nero.
Twitter ha comunque voluto precisare che tra i dati rastrellati non c’erano le password dei singoli account.
L’aggressione non è infatti avvenuta lato server, ma ha sfruttato una “leggerezza” che ha permesso di semplificare la raccolta di informazioni su larga scala.
La vulnerabilità è stata poi risolta nel gennaio 2022.
Le proposte del Garante dell’infanzia per proteggere i minori online
Se aumentano i rischi nell’ambiente digitale, devono rafforzarsi i provvedimenti per tutelare i diritti di bambini e ragazzi.
Questo, in sintesi, il parere dell’AGIA (Autorità Garante per l’Infanzia e l’Adolescenza) Carla Garlatti, che lo scorso novembre ha scritto al Presidente del Consiglio dei ministri, Giorgia Meloni, per segnalare cinque questioni da affrontare con urgenza.
Una di queste riguarda l’età minima per prestare ai fornitori di servizi online il consenso al trattamento dei dati personali, ai sensi del regolamento UE n. 2016/679.
La richiesta è di alzare il limite da 14 a 16 anni, allineandosi alla regola generale prevista dal GDPR.
Riguardo al controllo dell’età, inoltre, l’AGIA chiede di obbligare social e app a usare sistemi basati sulla certificazione dell’identità da parte di terzi, come avviene con lo SPID.
A questo proposito, si aggiunge che questi sistemi potrebbero puntare su un coinvolgimento dei genitori, considerando il loro ruolo educativo e di supervisione.
Ma già a legislazione vigente sarebbe possibile interpretare l’articolo 8 del GDPR (sul consenso dei minori) in maniera più restrittiva, limitando l’offerta diretta di servizi della società dell’informazione solo a quanto strettamente necessario per l’utilizzo di un determinato servizio, ed escludendo perciò qualsiasi altro tipo di trattamento.
Con questa breve rassegna di alcuni dei più recenti ed eclatanti casi di cybercrime abbiamo voluto dare solo un’idea della vastità del fenomeno.
I criminali del web agiscono in tanti modi.
Indicarne alcuni può servire come “alert” per insegnanti e genitori ogni volta che si accende il display di un telefonino nelle mani di un bambino o un di ragazzo.