In molti casi non sono pericolose ma solo fastidiose, ma in altri frangenti nascondono virus. Sono le mail, ma anche i messaggi di testo, che possono contenere programmi che possono infettare i device o acquisire dei dati sensibili e personali.

La circolazione delle informazioni è un elemento necessario dello sviluppo e del progresso economico e quindi il diritto alla protezione dei dati (strumentale alla tutela delle persone) deve consentire la circolazione degli stessi che dovrà essere, oggi più che mai, sicura in relazione ai nuovi rischi derivati dagli attacchi informatici.

Tra questi il più diffuso, e sicuramente conosciuto, è il phishing, una particolare tipologia di truffa che consiste nella creazione e nell’uso di mail, messaggi e siti web ingannevoli che hanno lo scopo di raggirare gli utenti e rubare le loro informazioni personali, dall’account, alle password, dal numero di carta di credito, all’immagine del profilo, dagli estremi dell’IBAN al codice fiscale, ecc.

Il phishing richiede l’indispensabile collaborazione della vittima, la quale deve in un modo o nell’altro fare la sua parte. Gli obiettivi cambiano ma la collaborazione della vittima è sempre necessaria e per questo è fondamentale una maggior consapevolezza e attenzione quando si usano le tecnologie.

Una consapevolezza che non può essere trovata nel principio di semplice e veloce, a cui spesso l’innovazione si associa, ma in formazione e analisi del rischio.

Il phishing ha conseguenze importanti. Per un’azienda un attacco informatico comporta danni economici, anche a seguito del blocco della produzione e delle attività che nei casi più gravi possono arrivare a durare anche molti giorni, il furto di dati riservati e/o coperti da vincoli, e la perdita di valore reputazionale.

Perché i dati e le informazioni presenti sul sistema oggetto di attacco informatico non sono solo dell’azienda e del suo titolare, ma sono di tutti coloro, aziende e persone fisiche, che hanno e/o hanno avuto rapporti con quell’azienda.

Mail phishing comporta gravi problemi anche ad una persona fisica, attraverso diverse truffe tra cui la più usata è quella del furto di identità.

Per furto di identità si intende l’appropriazione e l’utilizzo fraudolento di dati personali, finanziari o riservati al fine di ottenere un guadagno illecito.

Questi attacchi sono in costante aumento e presentano caratteristiche sempre diverse poiché gli hacker continuano ad affinare queste modalità di frode personalizzate e mirate a singoli utenti o gruppi di utenti profilati. Le minacce sono sempre più subdole e le tecniche di attacco si sono evolute in direzioni più difficili da monitorare, da quantificare e anche da intercettare. Gli attacchi massivi, quelli tradizionali che spesso sono poco sofisticati e condotti su ampia scala, pongono sempre meno problemi grazie all’evoluzione dei sistemi posti a protezione della posta elettronica mentre emergono in modo sempre più capillare campagne sofisticate, mirate o comunque con componenti di personalizzazione, condotte con messaggi confezionati in modo spesso curato e competente dove l’elemento psicologico è fondamentale.

L’efficacia di un messaggio “mirato” è evidente. È sufficiente un minimo di personalizzazione (elemento emotivo, sollecitudine o urgenza, potenziale beneficio individuale) per far acquistare valore al messaggio e abbassare le difese.

Il processo è semplice e veloce. Basta cliccare su un collegamento o aprire un allegato in un messaggio di phishing. A quel punto il gioco è fatto e il virus è entrato nel dispositivo, computer o telefono cellulare, al fine di prelevare tutte le nostre informazioni, sensibili o meno.

Partendo dal presupposto che molti degli incidenti informatici sono provocati dalla scarsa conoscenza delle pratiche di sicurezza di base e facilitati da un atteggiamento troppo “rilassato” da parte dei dipendenti di una struttura, a tutti i livelli, alcuni dei rischi possibili sono perdita del controllo dei dati personali che riguardano gli interessati, discriminazione, perdite finanziare, perdita di riservatezza dei dati personali protetti da segreto professionale.

‍Nel caso di ransoware altresì, che rende inaccessibili i file dei computer o dei dispositivi infettati, si è inoltre costretti al pagamento di un riscatto (che può esporre a responsabilità penale in quanto “favorisce” il reato commesso da chi effettua l’attacco (favoreggiamento) e potrebbe costituire uno dei reati presupposto ai sensi del D.Lgs. 231/2001).

L’esempio più comune di un attacco phishing è quello del furto di identità e clonazione della carta di credito. Ma qual è il male minore tra le due situazioni?

Se qualcuno utilizzasse in maniera illecita una carta di credito, il danno economico sarebbe evidente e verificabile, anche se non immediatamente.

Se qualcuno utilizzasse un’identità falsa per commettere dei reati, l’utente a cui i dati realmente appartengono, potrebbe incorrere in sanzioni penali e amministrative, con una perdita reputazionale importante, sia essa sociale, di fronte alla legge, creditizia o in altre forme.

È consigliabile pensare alla risposta ogni qualvolta utilizzando Internet si condividono informazioni.

‍