Diffusione dei rischi di frode
Secondo un’indagine 2023 di Allianz su 94 Paesi, gli incidenti informatici, in particolare provocati da attacchi ransomware o violazioni di dati, sono considerati i rischi più importanti per le imprese a livello mondiale. Anche in Svizzera le maggiori preoccupazioni degli imprenditori riguardano gli incidenti informatici (57% delle risposte al sondaggio). Le grandi imprese sono di solito preparate, mentre nelle PME il rischio è sottostimato: secondo un recente sondaggio, i 2/3 delle PME non fanno formazione interna sulle frodi informatiche e non dispongono di cellule di crisi in caso di cyberattacchi.
In base al Global Economic Crime and Fraud Survey 2022 di PwC, sviluppato su un campione di 53 Paesi, la cybercriminalità si distingue tra le varie categorie di reati economici a danno delle aziende come il reato più diffuso e inquietante. L’ascesa delle piattaforme digitali (social network, e-commerce, ecc.) ha aperto le porte a tutta una serie di rischi di criminalità finanziaria: il 40% dei casi di frode alle aziende è avvenuto su una piattaforma informatica. Le frodi informatiche hanno superato le frodi ai danni dei clienti, che rappresentavano di gran lunga il crimine più comune nel 2020. Il 42% delle grandi aziende ha segnalato crimini informatici, mentre il 34% è stato vittima di frodi ai danni dei clienti. L’appropriazione indebita si è piazzata solo al terzo posto dei reati più frequenti con il 24%.
Anche la FINMA ha inserito nel monitoraggio dei rischi 2022 e 2023 i cyber-rischi tra i rischi significativi per il settore finanziario e quindi fra le priorità per le sue attività di vigilanza. L’utilizzo delle applicazioni di finanza decentralizzata basate sulle infrastrutture di blockchain aperte, ad esempio, comporta rischi causati non solo da errori di immissione dei dati o da bug informatici nelle applicazioni, ma anche da hacking o frodi.
Un aumento del grado di professionalità dei criminali informatici e intervalli di tempo sempre più ristretti tra l’individuazione e lo sfruttamento di falle del sistema di sicurezza rendono il rischio sempre più elevato. Un attacco informatico può comportare guasti e interruzioni dei sistemi tecnici di informazione e comunicazione, nonché pregiudicare la disponibilità, la confidenzialità e l’integrità dei dati gestiti dalle banche. Fattori di rischio concreti sono una consapevolezza insufficiente circa la gestione dei cyber-rischi – a causa di un livello carente di preparazione dei collaboratori oppure di una governance inadeguata. Inoltre, i processi informatici sono spesso troppo frammentati perché un istituto possa avere una visione d’insieme della sua situazione in materia di cyber-rischi. Emergono inoltre con regolarità lacune sul piano della sicurezza: un recente esempio è la vulnerabilità «Log4j», una falla nella diffusa libreria di logging per applicazioni Java, emersa a fine 2021 e facilmente attaccabile via internet.
Nel 2023 alcuni hacker hanno sottratto al produttore di software Xplain e pubblicato sul dark web una grande quantità di dati confidenziali, compresi quelli dell’Ufficio federale di polizia e dell’Amministrazione delle dogane. Dall’inchiesta amministrativa pubblicata a maggio 2024 è emerso che negli ultimi anni dei dati federali erano stati trasmessi da alcuni dipendenti federali, in fase di test, all’ambiente informatico del fornitore Xplain e da lì rubati dagli hacker.
Le categorie di frode
Le frodi informatiche possono venire dall’esterno, ma anche da persone che operano all’interno della società, ad esempio da collaboratori scontenti o persino dai vertici aziendali. I cyber-attacchi esterni possono prendere varie forme, come phishing, malwares, ransomwares, DDoS, spionaggio digitale, ecc. Le frodi interne possono consistere in inserimenti di malwares o ransomwares a scopo di ricatto, sottrazione di dati aziendali, ecc.
Nel settore finanziario, risulta che tra il 2020 e il 2022 le banche hanno notificato alla FINMA 145 cyber-attacchi. L’analisi degli attacchi mostra che il trend è passato dalla tipologia dell’interruzione distribuita del servizio (DDoS), in cui un’infrastruttura viene bloccata attraverso l’azione coordinata di una rete di computer perlopiù eterodiretti, ai software dannosi, insinuati soprattutto attraverso service provider esterni. Il metodo di attacco più frequente è costituito dall’intrusione tramite un fornitore esterno di servizi nell’ambito di un’operazione di outsourcing.
Un caso segnalato ad aprile 2024 all’Ufficio federale della cybersicurezza UFCS è quello della truffa del falso CEO con il deep fake. Il responsabile finanziario di un’azienda viene invitato ad una videoconferenza con il suo capo di lì a pochi minuti. La vittima riceve un’e-mail con le credenziali per l’incontro. Quando si collega alla riunione online, questi vede il suo capo sullo schermo e parla con lui. Durante la conversazione, gli viene fatta una richiesta di pagamento urgente. Il CEO spiega che se non effettua quanto prima il pagamento, vi saranno gravi conseguenze per l’azienda per la perdita di un contratto importante. In questo caso i truffatori hanno creato il video del CEO servendosi dell’intelligenza artificiale, utilizzando materiale video disponibile pubblicamente. Per copiare la voce, sono state effettuate delle telefonate a monte. Diverse aziende hanno infatti segnalato di aver ricevuto telefonate da parte di persone sconosciute che chiedevano informazioni sull’azienda, chiamate che permettono di copiare la voce registrata dell’interlocutore utilizzando l’intelligenza artificiale e i deep fake.
Le misure di protezione
La protezione dalle frodi informatiche presuppone una percezione del relativo rischio e un’analisi in quest’ottica del sistema di controllo interno, oltre che lo sviluppo di una cultura interna antifrode, che significa introdurre nell’azienda valori e principi etici, adottare delle politiche del personale efficienti, essere consapevoli del rischio di frode a tutti i livelli dell’organizzazione (non escludo al livello di CdA), essere dotati di procedure efficaci di segnalazione e di risposta, oltre che essere attrezzati contro gli attacchi esterni.
Il sistema di controllo interno è efficace se può contare su alcuni assunti, quali l’adeguata tracciabilità delle operazioni aziendali, la chiara ripartizione dei compiti, un sistema automatizzato di controllo, il monitoraggio dell’ambiente di lavoro, la verificabilità dell’efficacia dei controlli.
La FINMA, ad esempio, che impone la gestione efficiente dei cyber rischi, ha individuato all’interno delle banche i seguenti fattori di rischio: l’incompletezza o la mancata verifica dell’adeguatezza dei piani di reazione ai cyber-attacchi; la mancata integrazione esplicita dei cyber-rischi nella gestione dei rischi operativi; l’insufficiente definizione dei cyber-rischi e della relativa tolleranza al rischio, come pure la mancata previsione di un piano per la protezione cibernetica; la non fissazione di requisiti chiari in materia di cyber-sicurezza verso i fornitori di servizi o la mancata verifica della loro osservanza da parte di questi ultimi.
Tutte le aziende e gli enti pubblici devono ormai confrontarsi con questo tipo di rischio che comporta danni economici e reputazionali. Fra l’altro, il 22 maggio 2024, il Consiglio federale ha aperto la procedura di consultazione sul progetto di ordinanza sulla cybersicurezza che concretizza l’obbligo dal 1° gennaio 2025 per banche, compagnie di assicurazioni e infrastrutture dei mercati finanziari di annunciare i cyberattacchi all’Ufficio federale della cybersicurezza entro 24 ore.
Rosa Maria Cappa,
Avvocato, Studio legale Bertoli Stauffer Cappa
https://www.bscassociati.legal/avv-rosa-maria-cappa/
