Voci delle Cooperative
Storie e luoghi dell'economia mutualistica e del non profit, persone e aziende che fanno la differenza nell'economia sociale: il movimento cooperativo raccontato dai protagonisti.
Voci delle Cooperative
Perché la cybersicurezza è così importante per le cooperative? Alberto Pagani
Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.
Le ultime notizie di cronaca hanno portato all'ordine del giorno l'importanza della sicurezza informatica per cittadini e imprese. Ma come è possibile difendersi dagli attacchi? Ne parliamo insieme ad Alberto Pagani, esperto di sicurezza di Federcoop Romagna e docente, con una lunga esperienza nel settore della difesa e dell’intelligence. In studio, Paolo Pingani.
Per non perdere nemmeno un episodio seguiteci sul nostro sito e sui nostri social
Un saluto a tutti e benvenuti a Voci delle Cooperative, il podcast di Legacoop Romagna che dà voce ai protagonisti dell'economia sociale e della democrazia economica del territorio romagnolo, ma non soltanto.
Questa è una puntata importante: affrontiamo un tema di stretta attualità, uno dei più rilevanti del momento, e cioè la vulnerabilità dei sistemi informatici del sistema Italia. Potremmo arrivare fino a parlare di sicurezza nazionale. Ne parliamo con un esperto di livello nazionale, Alberto Pagani. Di che cosa stiamo parlando, insomma? Che cosa è successo in Italia nelle ultime vicende dell'indagine milanese?
È successo qualcosa che stupisce prevalentemente chi, con un po' di ingenuità, riteneva che certe cose non fossero possibili per noi italiani. In realtà, siamo esattamente come tutti gli altri Paesi: un Paese con tante fragilità. Quanto più vogliamo rendere più comoda la nostra vita utilizzando dispositivi informatici – dallo smartphone che sto usando adesso per parlare con te e con chi ci ascolta, al frigorifero che si connette in rete o a dispositivi come Alexa che accende le luci nella casa domotica – tanto più creiamo comodità ma anche fragilità, perché tutto ciò è vulnerabile e attaccabile da persone malintenzionate.
Purtroppo, nel mondo ci sono persone malintenzionate, come ci sono ladri e delinquenti di ogni tipo, anche quelli che usano i sistemi informatici per compiere atti illeciti. Nessuno è al riparo. La vicenda milanese, quindi, non ha nulla di sorprendente: si tratta di un'azienda che svolgeva un'attività socialmente utile se fatta rispettando le regole, ossia la business intelligence. Questa attività raccoglie informazioni per le aziende su altre aziende, mercati o concorrenti, per esempio per capire se un'azienda potrebbe essere legata alla mafia. Tuttavia, deve essere condotta nel rispetto delle leggi, che impongono regole rigide.
Questa società non rispettava queste regole e svolgeva la sua attività in modo illecito, accedendo a banche dati riservate alle forze di polizia e persino utilizzando sistemi di spionaggio come i trojan nei telefoni, strumenti che solo le forze di polizia giudiziaria possono usare con il mandato di un magistrato per indagini. Tali strumenti non sono legalmente utilizzabili da comuni cittadini né da imprese che fanno business intelligence.
Hai spiegato molto bene come, in questo caso, sia stato oltrepassato un confine tra legalità e illegalità. A quanto pare, sono coinvolti anche funzionari delle forze dell'ordine, il che chiarisce la gravità della vicenda.
A volte capita che le agenzie di investigazioni private svolgano attività investigative lecite, come controllare un dipendente infedele o raccogliere informazioni utili in processi di divorzio. Queste attività sono regolamentate dal Testo Unico di Pubblica Sicurezza e richiedono una licenza prefettizia. Tuttavia, operatori delle forze di polizia in pensione, che magari diventano investigatori privati, non hanno più accesso alle banche dati del Ministero dell'Interno. Se qualcuno chiede un favore a un amico in servizio per accedere a queste banche dati, si tratta comunque di un illecito.
In questa vicenda specifica, però, si è andati ben oltre. La società indagata avrebbe scaricato grandi quantità di dati dallo SDI attraverso un fornitore del Ministero, cosa molto grave perché sono dati a cui solo le forze di polizia dovrebbero accedere. Questo solleva il problema della sicurezza e della protezione dei dati.
Quindi, questi dati riservati, che includono informazioni di aziende e privati cittadini, sono stati scaricati e potenzialmente utilizzati per creare dossier per clienti, una pratica completamente illecita. La domanda che sorge spontanea è: quanto siamo in pericolo? Cosa può accadere con questi dati?
Non si tratta solo di un rischio per la sicurezza, ma di una violazione grave della privacy. I dati raccolti potrebbero essere usati per screditare persone, sostituirle in posizioni strategiche, o per ricattarle. Quando parliamo di manager pubblici, ad esempio, i dati potrebbero essere utilizzati per ottenere vantaggi competitivi in modo scorretto. È una situazione che rivela pratiche miserevoli, più che complotti politici o tentativi di destabilizzazione, ma non per questo meno gravi.
La cosa importante da sottolineare è che, fino a quando non ci sarà una sentenza definitiva, tutti sono da considerarsi innocenti. È fondamentale mantenere una posizione garantista.
Ma cosa possiamo fare per proteggerci da intrusioni nella nostra privacy? Una delle risposte è accettare un compromesso tra comodità e sicurezza. Vivere una vita completamente protetta richiederebbe rinunciare a molte delle comodità offerte dai dispositivi connessi e adottare pratiche di “igiene digitale”, procedure complesse e a volte noiose che però aumentano notevolmente la sicurezza.
Le imprese devono fare ancora di più rispetto ai cittadini comuni. Hanno una responsabilità sociale e devono adottare misure compatibili con le loro capacità economiche, spendendo in modo oculato per la sicurezza. Spesso, le aziende che non hanno competenze interne affidano la propria cybersicurezza a fornitori esterni, ma devono stare attente a scegliere fornitori affidabili, perché il rischio è quello di farsi vendere prodotti inutili o inadeguati.
Per proteggersi adeguatamente, un’impresa dovrebbe partire da una valutazione delle proprie vulnerabilità, adottare misure di sicurezza di base come l’autenticazione a due fattori e stabilire una priorità tra le cose da proteggere, procedendo poi per gradi in base alle risorse disponibili.
Un esempio concreto: la maggior parte degli attacchi informatici avviene ancora tramite phishing, con email ingannevoli che sembrano provenire da fonti fidate. Cliccare su un allegato malevolo può infettare la rete aziendale o rubare credenziali di accesso. L’autenticazione a due fattori è una misura semplice ed economica che, se implementata, può fare una grande differenza nella protezione delle reti aziendali.
È utile pensare alla cybersicurezza come alla protezione fisica di un edificio: prima di installare costosi antifurti, è essenziale chiudere a chiave le porte e mettere catenacci. Allo stesso modo, le aziende dovrebbero investire prima nelle misure di base, per poi adottare soluzioni più complesse solo se necessarie e alla portata delle loro finanze.
Il mercato della cybersicurezza è in forte espansione, soprattutto con l'entrata in vigore della normativa europea NIS 2, che amplia il numero di aziende obbligate per legge ad adottare misure di sicurezza informatica. Si passa da circa 140 aziende considerate critiche a circa 40.000. Questo include molte cooperative che operano in settori come trasporti, agroalimentare e servizi sociosanitari, che maneggiano dati sensibili e devono adeguarsi per evitare sanzioni pesanti.
È fondamentale che le cooperative si affidino a fornitori seri e si avvalgano dell'aiuto di associazioni come Federcoop per orientarsi in un mercato complesso e pieno di offerte, alcune delle quali possono essere poco trasparenti o addirittura truffaldine.
Quindi, questi dati riservati, che includono informazioni di aziende e privati cittadini, sono stati scaricati e potenzialmente utilizzati per creare dossier per clienti, una pratica completamente illecita. La domanda che sorge spontanea è: quanto siamo in pericolo? Cosa può accadere con questi dati?
Non si tratta solo di un rischio per la sicurezza, ma di una violazione grave della privacy. I dati raccolti potrebbero essere usati per screditare persone, sostituirle in posizioni strategiche, o per ricattarle. Quando parliamo di manager pubblici, ad esempio, i dati potrebbero essere utilizzati per ottenere vantaggi competitivi in modo scorretto. È una situazione che rivela pratiche miserevoli, più che complotti politici o tentativi di destabilizzazione, ma non per questo meno gravi.
La cosa importante da sottolineare è che, fino a quando non ci sarà una sentenza definitiva, tutti sono da considerarsi innocenti. È fondamentale mantenere una posizione garantista.
Ma cosa possiamo fare per proteggerci da intrusioni nella nostra privacy? Una delle risposte è accettare un compromesso tra comodità e sicurezza. Vivere una vita completamente protetta richiederebbe rinunciare a molte delle comodità offerte dai dispositivi connessi e adottare pratiche di “igiene digitale”, procedure complesse e a volte noiose che però aumentano notevolmente la sicurezza.
Le imprese devono fare ancora di più rispetto ai cittadini comuni. Hanno una responsabilità sociale e devono adottare misure compatibili con le loro capacità economiche, spendendo in modo oculato per la sicurezza. Spesso, le aziende che non hanno competenze interne affidano la propria cybersicurezza a fornitori esterni, ma devono stare attente a scegliere fornitori affidabili, perché il rischio è quello di farsi vendere prodotti inutili o inadeguati.
Per proteggersi adeguatamente, un’impresa dovrebbe partire da una valutazione delle proprie vulnerabilità, adottare misure di sicurezza di base come l’autenticazione a due fattori e stabilire una priorità tra le cose da proteggere, procedendo poi per gradi in base alle risorse disponibili.
Un esempio concreto: la maggior parte degli attacchi informatici avviene ancora tramite phishing, con email ingannevoli che sembrano provenire da fonti fidate. Cliccare su un allegato malevolo può infettare la rete aziendale o rubare credenziali di accesso. L’autenticazione a due fattori è una misura semplice ed economica che, se implementata, può fare una grande differenza nella protezione delle reti aziendali.
È utile pensare alla cybersicurezza come alla protezione fisica di un edificio: prima di installare costosi antifurti, è essenziale chiudere a chiave le porte e mettere catenacci. Allo stesso modo, le aziende dovrebbero investire prima nelle misure di base, per poi adottare soluzioni più complesse solo se necessarie e alla portata delle loro finanze.
Il mercato della cybersicurezza è in forte espansione, soprattutto con l'entrata in vigore della normativa europea NIS 2, che amplia il numero di aziende obbligate per legge ad adottare misure di sicurezza informatica. Si passa da circa 140 aziende considerate critiche a circa 40.000. Questo include molte cooperative che operano in settori come trasporti, agroalimentare e servizi sociosanitari, che maneggiano dati sensibili e devono adeguarsi per evitare sanzioni pesanti.
È fondamentale che le cooperative si affidino a fornitori seri e si avvalgano dell'aiuto di associazioni come Federcoop per orientarsi in un mercato complesso e pieno di offerte, alcune delle quali possono essere poco trasparenti o addirittura truffaldine.
