Rapporto Clusit Ottobre 2021 Web

N ott
uo ob
va re
ed 20
iz 21
io
ne
Rapporto
2021
sulla sicurezza ICT
in Italia
Indice
Prefazione di Gabriele Faggioli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Introduzione al rapporto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Panoramica sull’evoluzione del cyber crime in Italia e nel mondo
Edizione ottobre 2021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
- Analisi dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021 . 15
- Analisi Fastweb della situazione italiana in materia di cyber-crime . . . . . . . . . . . . . . 31
- Attività e segnalazioni della Polizia Postale e delle Comunicazioni
nel primo semestre del 2021 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
- I cinque anni dell’Ufficio Protezione Dati della Direzione Centrale Polizia Criminale:
le questioni organizzative e le sinergie maturate tra data protection e cyber security . . 65
- L’Open Source Intelligence nell’ambito delle investigazioni di CTI . . . . . . . . . . . . . 81
Speciale FINANCE
- Elementi sul cybercrime nel settore finanziario in Europa . . . . . . . . . . . . . . . . . . . . 95
- Evoluzione delle minacce cyber nel settore finanziario italiano . . . . . . . . . . . . . . . . 113
Survey
- La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa . . . . . . . . . . . . . . 121
- L’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza
informatica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
Il mercato del lavoro nel settore della cyber security
- Il mercato del lavoro in Italia: professionisti più richiesti, competenze e certificazioni,
gender diversity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147
FOCUS ON
- La sicurezza dell’email tra nuove tecnologie e best practice . . . . . . . . . . . . . . . . . . 153
- SD-WAN: vantaggi e rischi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
- Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime . . . . . . 173
- Sicurezza per la rete di accesso: dallÓnPrem al Cloud . . . . . . . . . . . . . . . . . . . . . 191
- Continuità aziendale, ripristino di emergenza, resilienza informatica: il cloud ibrido
come leva strategica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
- Digital transformation: un’opportunità per affrontare correttamente la sicurezza
fin dalle basi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Glossario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Gli autori del Rapporto Clusit – Edizione ottobre 2021 . . . . . . . . . . . . . . . . . . . . 247
Descrizione CLUSIT e Security Summit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia
Copyright © 2021 CLUSIT
Tutti i diritti dell’Opera sono riservati agli Autori e al Clusit.
È vietata la riproduzione anche parziale di quanto pubblicato
senza la preventiva autorizzazione scritta del CLUSIT.
Via Copernico, 38 - 20125 Milano

Prefazione
Di tutti i dati che ho letto in anteprima del Rapporto che avete in mano uno mi ha colpito in
particolare: il 25% degli attacchi che abbiamo mappato nel primo semestre del 2021 è stato
diretto verso l’Europa (senza contare la quota parte degli attacchi multipli).
Il dato è interessante perché nel 2020 gli attacchi gravi contro l’Europa sono stati il 17% ed
erano l’11% nel 2019.
Cosa sta succedendo?

Forse i criminali hanno scoperto che è più redditizio attaccare l’Europa rispetto ad altre
zone del mondo?
Io non credo.
Penso che in realtà i dati derivino da altri elementi e in particolare dalla spinta delle norma-
tive che hanno costretto chi subisce attacchi che comportano violazioni dei dati a segnalar-
lo, quando dovuto per legge, non solo alle Autorità ma anche agli interessati oggetto della
violazione. Queste comunicazioni agli interessati unitamente al fatto che sempre più spesso
i criminali rendono noti gli attacchi soprattutto ransomware fa si che sia sempre più difficile
nascondere i fatti che accadono.
Questo comporta che molte realtà hanno preferito iniziare a comunicare in modo trasparen-
te informando il mercato degli attacchi subiti, delle conseguenze e degli interventi effettuati
per ripristinare i sistemi e limitare i danni.
L’abbandono della tendenza alla omertà è un fatto rilevantissimo ma comporta che scopria-
mo di colpo, per chi non se ne fosse accorto, che siamo al centro del fenomeno.
Perché?
Probabilmente perché non investiamo abbastanza e quello che investiamo finisce in rivoli
di spesa senza una strategia e una visione di insieme ma anche perché, venendo all’Italia,
non abbiamo una strategia politica e imprenditoriale se è vero, come risulta dai dati, che
il nostro paese ha contribuito in modo marginale alla creazione di start-up in ambito cyber
negli ultimi anni e, quelle poche nate, sono state finanziate mediamente un ventesimo
rispetto alle altre.
Insomma, un quadro complesso nel quale aziende e pubbliche amministrazioni devono

imparare a muoversi in fretta per sopravvivere cercando, dove possibile, di fare sistema
razionalizzando costi e investimenti, facendo knowledge sharing e sperando che da parte
del legislatore pian piano si sviluppino evoluzioni normative che portino a pragmatismo e
efficienza.
©
Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia 5
Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento ottobre 2021
Nel frattempo però abbiamo una grandissima occasione: il PNRR e i fondi che saranno
riversati in innovazione digitale nei prossimi anni.
Al di là del capitolo di spesa specifico, si deve pensare a tutto il resto. Non esiste innova-
zione senza sicurezza.
E allora se sapremo cogliere l’occasione che abbiamo davanti fra qualche anno potremo dire
di aver fatto un passo avanti.
Ed è possibile farlo grande.
Come CLUSIT continueremo a fare la nostra parte, portando avanti tutte quelle attività di
raccolta di dati, di analisi del fenomeno e di diffusione di conoscenza che ormai ci caratte-
rizzano da oltre 20 anni.
*** *** ***
E allora buona lettura del Rapporto CLUSIT che avete fra le mani che è il frutto del lavoro
di un pool di esperti che ha analizzato e confrontato una ampia serie di fonti.
Il risultato dello sforzo di un team di altissimo livello che da anni lavora per sensibilizzare il
mondo pubblico e privato sui temi della sicurezza informatica.
Ringrazio, a nome di tutti gli Associati e di tutti coloro che lo leggeranno, i Colleghi che
hanno dedicato tempo e sforzi alla sua stesura.
Oltre 70.000 copie scaricate e più di 300 articoli pubblicati nel 2020, sono l’evidenza della
rilevanza del Rapporto CLUSIT ed è quindi importante diffonderlo, leggerlo, farlo conosce-
re, perché solo dalla consapevolezza può derivare la conoscenza del problema, la capacità di
adottare scelte idonee e quindi la sicurezza nostra e di tutti.
Buona lettura.
Gabriele Faggioli
Presidente CLUSIT
6
Introduzione al Rapporto
Fino all’anno scorso, avevamo l’abitudine di pubblicare a ottobre un rapporto di metà anno,
che riprendeva in gran parte il rapporto principale, pubblicato ogni anno a marzo, con l’ag-
giornamento dei soli dati relativi agli attacchi del primo semestre dell’anno in corso. A
partire da questa edizione, invece, abbiamo deciso di pubblicare un rapporto di metà anno
con contenuti e dati completamente inediti rispetto a quello di marzo. E ciò è dovuto allo
spettacolare incremento degli attacchi informatici, sia a livello quantitativo che qualitativo
(per la gravità del loro impatto), che necessita di una costante attenzione. Siamo di fronte
a problematiche che per natura, gravità e dimensione travalicano costantemente i confini
dell’ICT e della stessa Cyber Security, e hanno impatti profondi, duraturi e sistemici su ogni
aspetto della società, della politica, dell’economia e della geopolitica.
La crescita drammatica delle perdite derivanti da questa situazione di Far West digitale,
stimate in 1 trilione di dollari per il 2020 e 6 trilioni per il 2021, dovrebbe far riflettere molto
seriamente. Stiamo parlando di dinamiche deleterie, che rappresentano un’emergenza glo-
bale concreta e incidono ormai per una percentuale significativa del GDP mondiale, con un
tasso di peggioramento annuale a 2 cifre e un valore pari a 3 volte il PIL italiano.
Auspichiamo che il PNRR (Piano nazionale di ripresa e resilienza), che complessivamente
alloca circa 45 miliardi di euro per la “transizione digitale”, possa rappresentare per l’Italia
l’occasione di mettersi al passo e colmare le proprie lacune (anche) in ambito cyber, e non
abbia come esito un ampliamento della superficie di attacco esposta dal Paese, ma una sua
complessiva, significativa riduzione.
Per realizzarsi, questo obiettivo (assolutamente prioritario e strategico) richiederà una go-
vernance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti dal
piano, una vision politica che non accetti compromessi e pressioni esterne, e (finalmente)
la valorizzazione delle risorse umane con competenze cyber (in termini di talenti e di espe-
rienze) del Paese, e il loro sviluppo in termini quantitativi e qualitativi.
E ora qualche numero

Per quanto riguarda la distribuzione geografica delle vittime: nel 1° semestre 2021 ri-
mangono sostanzialmente invariate le vittime di area americana (dal 45% al 46%), gli at-
tacchi verso realtà basate in Europa aumentano sensibilmente (dal 15% al 25%) mentre
rimangono percentualmente quasi invariati quelli rilevati contro organizzazioni asiatiche.
Rispetto al secondo semestre 2020, in termini assoluti nel 1° semestre 2021 la crescita
maggiore nel numero di attacchi gravi si osserva verso le categorie “Transportation / Sto-
rage” (+108,7%), “Professional, Scientific, Technical” (+85,2%) e “News & Multimedia”
(+65,2%), seguite da “Wholesale / Retail” (+61,3%) e “Manufacturing” (+46,9%). Au-
mentano anche gli attacchi verso le categorie “Energy / Utilities” (+46,2%), “Government”
(+39,2%), “Arts / Entertainment” (+36,8%) ed “Healthcare” (+18,8%).
©
Per quanto riguarda la severity: nel 2020 gli attacchi con impatto “Critico” rappresentavano
il 13% del totale, quelli di livello “Alto” il 36%, quelli di livello “Medio” il 32% e infine
quelli di livello “Basso” il 19%. Complessivamente, gli attacchi gravi con effetti molto im-
portanti (High) o devastanti (Critical) nel 2020 erano il 49% del campione. Nel primo se-
mestre 2021 la situazione è molto diversa, e francamente impressionante: gli attacchi gravi
con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical) rappresentano
il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto basso solo il
4%. In questo caso gli attacchi con impatto Critical e High sono il 74%.
Ci siamo avvalsi anche in questa edizione dei dati relativi agli attacchi rilevati dal Secu-
rity Operations Center (SOC) di FASTWEB, che nella prima metà del 2021 (dal 1°
gennaio al 31 agosto), ha registrato 36 Milioni di eventi malevoli, in forte aumento rispetto
allo stesso periodo dell’anno precedente (+180%). Il fenomeno più preoccupante è l’incre-
mento dell’attività dei ransomware con richiesta di riscatto. Infatti, è stata osservata una
crescita dell’attività di questo malware di circa il 350% rispetto allo stesso periodo dello
scorso anno. E le conseguenze causate da questa tipologia di attacchi, sempre più aggres-
sivi, diventano in qualche modo ancora più evidenti. Si vedano ad esempio gli attacchi a
danno di strutture pubbliche che hanno bloccato l’operatività quotidiana.
L’analisi degli attacchi in Italia è poi completata dalle rilevazioni e segnalazioni della Polizia
Postale e delle Comunicazioni, che ci hanno fornito dati e informazioni estremamente
interessanti su attività e operazioni svolte nel corso del primo semestre di quest’anno.
Sempre a proposito di attività investigative, abbiamo ricevuto e pubblicato altri due auto-
revoli contributi.
Il primo realizzato dall’Ufficio Protezione Dati della Direzione Centrale Polizia Cri-
minale, sulla base di 5 anni di attività : le questioni organizzative e le sinergie maturate tra
data protection e cyber security.
Il secondo, realizzato da un esperto del CERT di Banca d’Italia, sull’Open Source Intelli-
gence nell’ambito delle investigazioni di Cyber Threat Intelligence (CTI).
Presentiamo a questo punto l’abituale capitolo dedicato al settore FINANCE, con un’ana-
lisi sul Cyber-crime nel settore finanziario in Europa, a cura di IBM, e un contributo
del CERTFin sull’Evoluzione delle minacce cyber nel settore finanziario italiano.
Seguono due survey.

La prima sulla percezione delle aziende e organizzazioni italiane in merito alle
minacce informatiche, all’impatto degli attacchi e alla capacità di difesa, realizzata
da ricercatori dell’Università degli Studi di Bari e di Exprivia.
La seconda sull’efficienza delle strutture sanitarie italiane per affrontare i rischi di
sicurezza informatica, realizzata da Bitdefender.
8
Introduzione al Rapporto
In questa edizione abbiamo aggiunto un capitolo, realizzato da Experis – ManpowerGroup,

sul mercato del lavoro nel settore della cyber security in Italia: professionisti più
richiesti, competenze e certificazioni, gender diversity.
Questi saranno infine i temi trattati nella sezione FOCUS ON:

• “La sicurezza dell’email tra nuove tecnologie e best practice”, a cura di Proofpoint
• “SD-WAN: vantaggi e rischi”, a cura di Fortinet
• “Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime”, a cura
di Trend Micro Italia
• “Sicurezza per la rete di accesso: dall´ OnPrem al Cloud”, a cura di HPE Aruba
• “Continuità aziendale, ripristino di emergenza, resilienza informatica: il cloud ibrido
come leva strategica”, di Federica Maria Rita Livelli.
• “Digital transformation: un’opportunità per affrontare correttamente la sicurezza fin
dalle basi”, a cura di Sophos Italia.
©
Clusit 2021 9
Panoramica dei cyber attacchi più significativi del
2018-2020 e del primo semestre 2021
Introduzione alla decima edizione – aggiornamento di ottobre

2021
In questo aggiornamento del Rapporto CLUSIT, giunto ormai al suo decimo anno di pubbli-
cazione, analizziamo i più gravi cyber attacchi noti avvenuti a livello globale (Italia inclusa)
nell’ultimo triennio1 e li confrontiamo con l’analisi dei 1.053 attacchi che abbiamo indivi-
duato e classificato per il primo semestre 2021.
Nell’ambito di questa ricerca, in 10 anni abbiamo identificato, classificato e valutato oltre
13.000 attacchi informatici gravi (in media 1.300 all’anno, più di 100 al mese). Di questi,
6.148 si sono verificati negli ultimi 3 anni e mezzo, dimostrando un’accelerazione impres-
sionante nella frequenza delle minacce cibernetiche.
La metodologia utilizzata per svolgere questa analisi è stata raffinata ed aggiornata nel tempo,
sia dal punto di vista del numero e della qualità delle fonti utilizzate (circa 450 nel 2020,
oltre 260 per il primo semestre 2021), che della quantità di variabili impiegate per descrivere
i diversi fenomeni e, a partire da questa edizione, delle tassonomie utilizzate per classificare
i dati, che sono state completamente riviste ed aggiornate per aderire quanto più possibile a
standard riconosciuti a livello internazionale.
In particolare il sistema di classificazione dei settori merceologici che da quest’anno abbiamo
adottato per mappare le vittime di attacchi informatici è derivato dall’ISIC (International
Standard Industrial Classification of All Economic Activities) delle Nazioni Unite e dalla
NACE della Commissione Europea (Nomenclature statistique des activités économiques
dans la Communauté Européenne)2.
La classificazione delle tecniche di attacco è ora derivata dalla Threat Taxonomy dell’ENI-
SA, dalla Open Threat Taxonomy e da diversi altri framework3.
La classificazione degli attaccanti deriva invece dalla nostra esperienza sul campo e rappre-
senta una mappatura tra le principali famiglie di “bad actors” e le motivazioni degli attacchi
osservati.
Oltre ad aver rivisto completamente il modello abbiamo anche riclassificato gli attacchi
dell’ultimo triennio (5.095) per renderli confrontabili con quelli del primo semestre 2021
(1.053) e non perdere così la visione “prospettica” dei fenomeni, che è una delle caratteri-
stiche più distintive di questa ricerca.
1
Dal primo gennaio 2018 al 31 dicembre 2020
2
Utilizzata anche in Italia come tassonomia ATECO, redatta dall’ISTAT
3 “A Taxonomy of Cyber Events Affecting Communities”, IEEE, 2011; “AVOIDIT: A Cyber Attack Taxonomy”, Department of Computer Science
University of Memphis; “Evaluation of Comprehensive Taxonomies for Information Technology Threats”, SANS Institute
©
Considerazioni sul campione
Le nostre analisi ed i relativi commenti si riferiscono ad un campione necessariamente

parziale, per quanto ormai corposo e statisticamente significativo, rispetto al numero degli
attacchi gravi effettivamente avvenuti nel periodo in esame.
Questo accade sia perché un buon numero di aggressioni non diventano mai di dominio
pubblico, oppure lo diventano ad anni di distanza (solitamente quanto più gli attacchi sono
sofisticati), sia perché in molti casi è interesse delle vittime non pubblicizzare gli attacchi
subiti, se non costretti dalle circostanze o da obblighi normativi particolari.
Ad ogni modo la natura delle fonti aperte utilizzate per realizzare questo studio introdu-
ce inevitabilmente un bias4 nel campione, all’interno del quale sono certamente meglio
rappresentati gli attacchi realizzati per finalità cyber criminali o di hacktivism rispetto a
quelli derivanti da attività di cyber espionage ed information warfare, che emergono più
difficilmente.
In sintesi, considerato che il nostro campione è realizzato esclusivamente a partire da no-
tizie di pubblico dominio, e che al loro interno alcune classi di incidenti sono sistematica-
mente sottorappresentate, è plausibile supporre che questa analisi dipinga uno scenario
meno critico rispetto alla situazione sul campo.
Origini ed evoluzione di questa analisi
Quando nell’ormai remoto 2012 abbiamo iniziato questa ricerca, poi pubblicata nella prima
edizione del Rapporto Clusit, definendo (ingenuamente) il 2011 come “l’Annus Horribilis
della sicurezza informatica”, gli scenari erano radicalmente diversi e gli impatti geopolitici e
socio-economici delle minacce cibernetiche rappresentavano ancora un problema relativa-
mente minore, suscitando interesse e preoccupazione solo tra pochi esperti di ICT Security.
Giova qui ricordare che all’epoca i rischi “cyber” non erano nemmeno considerati all’interno
del Global Risk Report del World Economic Forum5, nel quale sono stati introdotti solo nel
2015 ma che già dal 2019 sono assurti al primo posto per impatto e probabilità di accadi-
mento, insieme ai disastri naturali ed agli effetti globali del climate change.
Lo scopo originario per il quale è nato questo lavoro era dunque di elevare la consapevolez-
za e migliorare la comprensione del pubblico italiano rispetto all’evoluzione delle minacce
cibernetiche, nell’ipotesi (poi dimostratasi drammaticamente esatta) che il problema sa-
rebbe inevitabilmente degenerato con grande rapidità nei mesi ed anni successivi, e che
la pressoché totale mancanza di sensibilità in materia fosse una delle principali ragioni del
peggioramento degli scenari.
Questa finalità rimane ancora oggi assolutamente centrale, ma data la criticità della situa-
4 https://it.wikipedia.org/wiki/Bias_(statistica)
5 https://www.weforum.org/reports/the-global-risks-report-2020
12
Panoramica dei cyber attacchi più significativi del 2018-2020 e del primo semestre 2021
zione che si è venuta a creare nel frattempo, e considerati i rischi sistemici, esistenziali che
oggi incombono sulla nostra civiltà digitale a causa della crescita straordinaria delle minacce
cibernetiche, siamo convinti che innalzare l’awareness del pubblico non sia più sufficiente,
e che questa analisi debba continuare ad evolversi, trasformandosi da una semplice cronaca
ragionata degli attacchi in un vero e proprio strumento di lavoro e di supporto decisionale.
Per questa ragione dal 2017 abbiamo introdotto un indice della gravità degli attacchi ana-
lizzati, classificandoli in base a livelli crescenti di “Severity”, il che ci consente di realizzare
un’analisi dei differenti impatti causati dalle diverse categorie di attaccanti rispetto alle va-
rie tipologie di vittime, e di offrire interessanti spunti di riflessione a coloro che si occupano
di threat modeling, di cyber risk management e di cyber strategy, sia a livello aziendale che
istituzionale, grazie ad una migliore “fotografia” dei rischi attuali resa possibile da questo
ulteriore elemento di valutazione.
2021, “la festa è finita”
Anticipando alcune delle conclusioni che seguono possiamo affermare che se ad oggi il
2020 è stato l’anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e
dei relativi impatti, evidenziando un trend persistente di crescita degli attacchi, della loro
gravità e dei danni conseguenti, tale tendenza negativa si conferma ampiamente anche nel
primo semestre 2021.
Osservando la situazione dal punto di vista quantitativo, confrontando i numeri del primo
semestre 2018 con quelli del primo semestre 2021 la crescita degli attacchi gravi è stata del
30% (da 745 a 1.053). Detto diversamente, in 8 semestri la media mensile di attacchi gravi
è passata da 124 a 170.
Oltre ad una maggiore frequenza, la valutazione della Severity media di questi attacchi
(indice di gravità degli attacchi analizzati) nei confronti di alcune categorie di vittime è
contestualmente peggiorata, agendo da moltiplicatore dei danni.
L’osservazione di queste dinamiche conferma la nostra convinzione che a partire da 3-4
anni fa sia avvenuto un vero e proprio cambiamento epocale nei livelli globali di cyber-insi-
curezza, causato dall’evoluzione rapidissima degli attori di minaccia, delle modalità, della
pervasività e dell’efficacia degli attacchi, al quale non è corrisposto un incremento sufficien-
te delle contromisure adottate dai difensori.
Come previsto pertanto si sono realizzate appieno le tendenze più pericolose descritte in
questo Rapporto già nel 2017, che avevamo definito come “l’anno del trionfo del malware,
degli attacchi industrializzati realizzati su scala planetaria contro bersagli multipli, dell’alte-
razione di massa della percezione e della definitiva discesa in campo degli Stati come attori
di minaccia”.
Allo stesso tempo dobbiamo tenere presente che Cybercrime, Cyber Espionage ed Infor-
mation Warfare del 2020-2021 non sono certamente più quelli del 2017, anche se con-
tinuiamo ad utilizzare le stesse denominazioni, e mostrano un cambiamento qualitativo
straordinario.
©
Clusit 2021 13
A causa di ciò, già da anni siamo di fronte a problematiche che per natura, gravità e dimen-
sione travalicano costantemente i confini dell’ICT e della stessa Cyber Security, ed hanno
impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’eco-
nomia e della geopolitica.
La crescita drammatica delle perdite derivanti da questa situazione di Far West digitale,
stimate in 1 trilione di dollari per il 2020 e 6 trilioni per il 20216, dovrebbe far riflettere
molto seriamente. Stiamo parlando di dinamiche deleterie, che rappresentano un’emergen-
za globale concreta, un “clear and present danger”7 ed incidono ormai per una percentuale
significativa del GDP mondiale, con un tasso di peggioramento annuale a 2 cifre ed un
valore pari a 3 volte il PIL italiano.
Bisogna ormai ammettere che in ambito ICT l’approccio basato sul laissez-faire da parte del-
la politica, sulla mancanza di chiare responsabilità dei produttori di tecnologia e sul “carpe
diem” degli utenti finali, ha definitivamente mostrato tutti i suoi limiti, ed oggi rappresenta
una minaccia in sè per il benessere della società e dei suoi membri, generando rischi inac-
cettabili per una civiltà che ormai basa la sua sopravvivenza sul buon funzionamento del
digitale.
Riassumendo le nostre impressioni sulle tendenze in atto, con una battuta affermiamo che
“la festa è finita”. I dati dimostrano che il tempo della sottovalutazione dei problemi, del
rimandare l’adozione di contromisure efficaci (evitando di investire quanto necessario) è
terminato.
In questo senso auspichiamo che il PNRR (Piano nazionale di ripresa e resilienza), che
complessivamente alloca circa 45 miliardi di euro per la “transizione digitale”, possa rap-
presentare per l’Italia l’occasione di mettersi al passo e colmare le proprie lacune (anche)
in ambito cyber, e non abbia come esito un ampliamento della superficie di attacco esposta
dal Paese, ma una sua complessiva, significativa riduzione.
Per realizzarsi, questo obiettivo (assolutamente prioritario e strategico) richiederà una go-
vernance stringente in ottica cyber security di tutti i progetti di digitalizzazione previsti dal
piano, una vision politica che non accetti compromessi e pressioni esterne, e (finalmente)
la valorizzazione delle risorse umane con competenze cyber (in termini di talenti e di espe-
rienze) del Paese, ed il loro sviluppo in termini quantitativi e qualitativi.
Confidando che anche quest’anno il Rapporto CLUSIT possa apportare un contributo si-
gnificativo al dibattito nazionale in merito all’accelerazione crescente delle problematiche
globali di sicurezza cibernetica ed alle sue ricadute sul benessere del Paese, auguriamo a
tutti una buona lettura.
6 https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
7 “a risk or threat to safety or other public interests that is serious and imminent”
14
Analisi dei principali cyber attacchi noti a livello globale del

2018-2020 e del primo semestre 2021
In questa sezione, come di consueto, l’aggiornamento di ottobre del Rapporto CLUSIT

2021 propone una dettagliata panoramica degli incidenti di sicurezza più significativi avve-
nuti a livello globale nell’anno precedente e nei primi 6 mesi dell’anno in corso, confrontan-
doli con i dati raccolti negli ultimi 3 anni8.
Lo studio si basa su un campione che al 30 giugno 2021 è costituito da 13.014 attacchi
noti di particolare gravità, ovvero che hanno avuto un impatto significativo per le vittime in
termini di perdite economiche, di danni alla reputazione, di diffusione di dati sensibili (per-
sonali e non), o che comunque prefigurano scenari particolarmente preoccupanti, avvenuti
nel mondo dal primo gennaio 2011, di cui 1.874 nel 2020, 1.053 nel primo semestre 2021
e complessivamente 6.148 attacchi classificati tra il gennaio 2018 e il giugno 2020 (quasi
la metà del totale).
Attacchi per semestre 2018 - 2021

1100
1050
1053
1000
950
957
900
917
850 871
800
809 796
750
745
700
1H 2018 2H 2018 1H 2019 2H 2019 1H 2020 2H 2020 1H 2021
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia - aggiornamento giugno 2021
8 pur avendo iniziato questa ricerca nel 2011, oggi ha poco senso fare confronti con gli anni precedenti al 2018
©
Clusit 2021 15
Dal punto di vista numerico, dei 13.014 attacchi gravi di pubblico dominio che costitui-
scono il nostro database di incidenti degli ultimi 10 anni, nel 2020 ne abbiamo raccolti e
analizzati 1.874, contro i 1.667 del 2019 (+12%), con una media complessiva di 107 attac-
chi gravi al mese (erano 39 nel 2011, 130 nel 2018, e sono 176 nel primo semestre 2021).
Nel nostro campione, il picco massimo di sempre si è avuto ad aprile 2021 (204 attacchi).
Questa la distribuzione mensile degli attacchi registrati nel primo semestre 2021.
Attacchi per mese - 1° semestre 2021
GIU.21 153
MAG.21 153
APR.21 204
MAR.21 196
FEB.21 188
GEN.21 159
0 30 60 90 120 150 180 210
180
176
170
160
160
150 153
140 145
130 135
133
120 124
1H 2018 2H 2018 1H 2019 2H 2019 1H 2020 2H 2020 1H 2021
16
GEN.21 159
0 30 60 90 120 150 180 210
Di seguito una rappresentazione sintetica delle medie mensili negli ultimi 3 anni e mezzo.
Media mensile attacchi per semestre (2018 - 2021)

180
176
170
160
160
150 153
140 145
130 135
133
120 124
1H 2018 2H 2018 1H 2019 2H 2019 1H 2020 2H 2020 1H 2021
Le tre tabelle e i grafici seguenti rappresentano una sintesi dell’analisi dei dati che abbia-
mo raccolto. Come in passato abbiamo evidenziato nella colonna più a destra le tendenze
osservate.
Avendo modificato a fondo le tassonomie utilizzate per la classificazione degli attacchi pre-
sentiamo il confronto dei dati a partire dal 2018, rimandando alle edizioni precedenti del
Rapporto Clusit per i dati relativi al periodo 2011-2017.
©
Clusit 2021 17
Distribuzione degli attaccanti per tipologia (2018 – 1H 2021)
1H 2021
2H Trend
ATTACCANTI PER TIPOLOGIA 2018 2019 2020 1H 2021 su
2020 2021
2H 2020
Cybercrime 1.229 1.381 1.518 764 925 21.1%
Espionage-Sabotage 203 203 264 150 95 -36.7%
Hacktivism 64 48 48 21 7 -66.7%
Information Warfare 58 35 44 22 26 18.2%
Espionage-Sabotage +
261 238 308 172 121 -29.65%
Inf. Warfare
Rispetto al secondo semestre 2020 il numero di attacchi gravi di dominio pubblico che
abbiamo raccolto per il primo semestre 2021 è in crescita del 10% (957 contro 1.053).
In termini assoluti nel 2020 le categorie “Cybercrime”, “Cyber Espionage” e “Information
Warfare” fanno registrare il numero di attacchi più elevato degli ultimi 10 anni, tendenza
che si conferma anche nel primo semestre 2021.
Dal campione emerge chiaramente che rispetto al secondo semestre 2020 le attività riferi-
bili ad attacchi della categoria “Hacktivism” diminuiscono ancora sensibilmente (-66,7%
in termini percentuali), mentre nel primo semestre 2021 sono in aumento sia gli attacchi
gravi compiuti per finalità di “Cybercrime” (+21,1%) che quelli riferibili a “Information
Warfare” (+18,2%).
Diminuiscono gli attacchi classificati come attività di “Cyber Espionage” (-36,7%) dopo
il picco straordinario del 2020 (dovuti principalmente a spionaggio relativo allo sviluppo di
vaccini e cure per il Covid-19).
Va sottolineato che, rispetto al passato, oggi in alcuni casi risulta più difficile distinguere
nettamente tra “Cyber Espionage” e “Information Warfare”: sommando gli attacchi di en-
trambe le categorie, nel 1H 2021 tali attacchi rappresentano l’11% del totale.
18
1%
Tipologia e distribuzione
2% attaccanti 1H 2021
9%
1%
2%
9%
88%
88%
Cybercrime EspionageSabotage InformationWarfare Hacktivism
Cybercrime EspionageSabotage InformationWarfare Hacktivism
Tipologie e distribuzione attaccanti 2018 - 1H 2021

2018 2019 2020 1H 2021
88%
2018 2019 2020 1H 2021

83%
81%
79%
88%
83%
81%
79%
14% 14%
13%
12%
9%
13%
4%
4%
12%
3%
3%
2%
2%
2%
1%
9%
4%
4%
3%
3%
2%
2%
2%
1%
CYBERCRIME ESPIONAGESABOTAGE INFORMATIONWARFARE HACKTIVISM
CYBERCRIME ESPIONAGESABOTAGE INFORMATIONWARFARE HACKTIVISM
L’Hacktivism diminuisce ulteriormente, passando dal 4% dei casi analizzati nel 2018 al
1% del primo semestre 2021.
Per quanto riguarda le attività di Espionage (anche a causa della scarsità di informazioni
pubbliche in merito) la loro percentuale rispetto al totale degli attacchi rilevati nel primo
semestre 2021 si attesta al 9%, mentre l’Information Warfare rimane stabile al 2% (cre-
scendo in numeri assoluti del 18.2%).
Percentualmente il Cybercrime nel 1H 2021 sale al 88% del totale (dal 81% del 2020),
ricordando anche che in numeri assoluti è cresciuto del 21.1% in un semestre (da 764
attacchi nel 2H 2020 a 925 nel 1H 2021).
©
Clusit 2021 19
Distribuzione delle vittime per categoria (2018 – 1H 2021)

Come anticipato nell’introduzione, da quest’anno introduciamo una tassonomia delle vitti-
me derivata da standard internazionali9, articolata su 20 macro-categorie.
1H 21
2H 1H
VITTIME PER CATEGORIA 2018 2019 2020 su 2H TREND
2020 2021
20
Government, Military, Law
220 233 224 120 167 39.2%
Enforcement
Healthcare 161 186 210 117 139 18.8%
Multiple Targets 326 406 401 158 121 -23.4%
Information Communication
191 233 269 149 113 -24.2%
Technology
Education 106 140 174 103 100 -2.9%
Financial, Insurance 162 107 122 66 60 -9.1%

Professional, Scientific,
18 19 59 27 50 85.2%
Technical
Wholesale, Retail 33 45 54 31 50 61.3%
Transportation, Storage 35 20 44 23 48 108.7%
Manufacturing 32 32 61 32 47 46.9%
News, Multimedia 70 69 43 23 38 65.2%
Organizations 40 35 46 29 30 3.4%
Arts, Entertainment 68 55 40 19 26 36.8%
Energy, Utilities 24 25 39 13 19 46.2%
Hospitability 44 27 22 12 17 41.7%
Other Services 9 14 21 13 13 0.0% -
Telecommunications 13 19 32 16 9 -43.8%
Construction 1 2 7 4 3 -25.0%
Agriculture, Forestry, Fishing 0 0 5 2 3 50.0%
hMining, Quarrying 1 0 1 0 0 0.0% -

TOTALE 1.554 1.667 1.874 957 1.053
9 ISIC (International Standard Industrial Classification of All Economic Activities) delle Nazioni Unite e NACE della Commissione
Europea (Nomenclature statistique des activités économiques dans la Communauté Européenne)
20
Rispetto al secondo semestre 2020, in termini assoluti nel 1H 2021 la crescita maggiore nel
numero di attacchi gravi si osserva verso le categorie “Transportation / Storage” (+108,7%),
“Professional, Scientific, Technical” (+85,2%) e “News & Multimedia” (+65,2%), seguite
da “Wholesale / Retail” (+61,3%) e “Manufacturing” (+46,9%).
Aumentano anche gli attacchi verso le categorie “Energy / Utilities” (+46,2%), “Govern-
ment” (+39,2%), “Arts / Entertainment” (+36,8%) e “Healthcare” (+18,8%).
Diminuiscono in modo sensibile gli attacchi verso le categoria “Telecommunications”
(-43,8%) ed “Information Communication Technology” (-24,2%), ed in misura minore
verso “Financial / Insurance” (-9,1%) ed “Education” (-2,9%).
La categoria “Multiple targets” è stata mantenuta anche nella nuova tassonomia delle vitti-
me per rendere conto degli attacchi gravi compiuti in parallelo dallo stesso gruppo di attac-
canti contro numerose organizzazioni appartenenti a categorie differenti. Di conseguenza
una parte degli attacchi verso vittime appartenenti a tutte le altre categorie confluiscono in
questa categoria, che nel primo semestre 2021 rappresenta il 12% del totale degli attacchi,
in diminuzione del 23,4% rispetto al secondo semestre 2020.
Il calo degli attacchi verso la categoria “Multiple Targets” rappresenta un cambio di strate-
gia da parte degli attaccanti ed è un importante campanello di allarme, dal momento che
deriva dall’aumento di attacchi gravi mirati verso singoli bersagli (in particolare di tipo ran-
somware con l’aggravante della “double extortion”, cioè della minaccia di diffondere i dati
rubati alle vittime qualora non paghino il riscatto).
Distribuzione delle vittime - 1H 2021
GovernmentMilitaryLawEnforcement
Healthcare
MultipleTargets
InformationCommunicationTechnology
6% 5% 5%
5% Education
4%
10% 3% FinancialInsurance
4% WholesaleRetail
2% ProfessionalScientificTechnical
11%
11% TransportationStorage
2%
Manufacturing
2% NewsMultimedia
12%
1% Organizations
16% 1%
ArtsEntertainment
13%
EnergyUtilities
Hospitability
OtherServices
Telecommunications
©
Clusit 2021 21
In termini percentuali la categoria “Government” si conferma al primo posto assoluto anche

nel 1H 2021 (16% del totale). Al secondo posto ancora “Healthcare”, con il 13% degli at-
tacchi totali, ed al terzo “Multiple Targets” al 12%, in diminuzione rispetto al passato per le
ragioni sopra esposte. Le successive 8 categorie merceologiche (che sommate rappresenta-
no il 50% degli attacchi rilevati) sono comprese tra l’11 ed il 4% degli attacchi, dimostrando
ancora una volta che gli attaccanti si muovono a tutto campo, e che tutti sono potenziali
bersagli.
Top 10 Targets Class % in 2018 - 1H 2021
2018 2019 2020 1H 2021

24%
22%
21%
16%
14%
14%
14%
14%
13%
12%
12%
12%
11%
11%
11%
10%
10%
10%
9%
8%
7%
7%
6%
6%
5%
5%
5%
4%
3%
3%
3%
3%
2%
2%
2%
2%
2%
1%
1%
1%
Osservando questo grafico delle prime 10 categorie più colpite tra il 2018 ed il 1H 2021, si
può apprezzare la variazione di “peso” tra la categoria Multiple Targets e le altre, che sono
quasi tutte in crescita.
22
Distribuzione generale delle vittime per area geografica (1H 2021)
La classificazione delle vittime per nazione di appartenenza viene qui rappresentata su base
continentale.
Nel 1H 2021 rimangono sostanzialmente invariate le vittime di area americana (dal 45%
al 46%), gli attacchi verso realtà basate in Europa aumentano sensibilmente (dal 15% al
25%) mentre rimangono percentualmente quasi invariati quelli rilevati contro organizza-
zioni asiatiche.
Percentualmente diminuiscono anche gli attacchi gravi verso bersagli con sedi distribuite
in diversi Paesi (categoria “Several / Multiple”), che dal 25% del 1H 2020 passano al 16%.
Geografia delle vittime per Continente - 1H 2021
OC
3%
AS
10%
Several / Multiple
16% AM
46%
EU
25%
©
Clusit 2021 23
Distribuzione delle tecniche di attacco (2018 – 1H 2021)
Come già detto per la classificazione delle vittime, da quest’anno introduciamo una nuova
tassonomia delle tecniche di attacco derivata da framework internazionali10, articolata su 8
macro-categorie.
2H 1H 1H 2021 su
Tecniche di attacco 2018 2019 2020 TREND
2020 2021 2H 2020
Malware 601 737 776 411 454 10.5%
Unknown 429 309 368 202 230 13.9%
Vulnerabilities 143 158 198 116 164 41.4%
Phishing, Social
170 291 299 108 94 -13.0%
Engineering
Multiple Techniques 64 57 85 43 48 11.6%
Identity Theft, Account

67 71 90 44 31 -29.5%
Cracking
Web Attack 43 21 17 12 20 66.7%
Denial Of Service 37 23 34 21 12 -42.9%
TOTALE 1.554 1.667 1.874 957 1.053
Nel 1H 2021 la categoria che mostra numeri assoluti maggiori è “Malware” (+10,5%),
che rappresenta ormai il 43% del totale. Le tecniche sconosciute (categoria “Unknown”)
tornano al secondo posto, con un aumento del 13,9% rispetto al 2H 2020, superando la ca-
tegoria “Vulnerabilità note” (che peraltro fa segnare un preoccupante +41,4%) e “Phishing /
Social Engineering” (in leggero calo, -13%), mentre “Tecniche Multiple” sale del +11.6%.
Gli attacchi gravi con finalità di “Denial of Service” diminuiscono del 42,9%, così come
quelli realizzati tramite “Identity Theft / Account Hacking” (-29,5%).
In sostanza gli attaccanti possono fare affidamento sull’efficacia del Malware, prodotto in-
dustrialmente a costi decrescenti, e sullo sfruttamento di Vulnerabilità note, per colpire più
della metà dei loro obiettivi (59% dei casi analizzati).
Il 22% di “tecniche sconosciute” (in crescita del +13,9%) è dovuto al fatto che molti at-
tacchi (un quinto del totale) diventano di dominio pubblico a seguito di un “data breach”,
nel qual caso le normative impongono una notifica agli interessati, ma non di fornire una
descrizione precisa delle modalità dell’attacco (che normalmente quindi non viene fornita).
10 Non esistendo una tassonomia standard per le tecniche di attacco, le 55 sotto-categorie delle nostre 8 macro categorie sono state
derivate dall’analisi dalla Threat Taxonomy dell’ENISA, dalla Open Threat Taxonomy e di diversi altri framework.
24
1%
Panoramica dei cyber attacchi più

3% significativi
2% del 2018-2020 e del primo semestre 2021
4%
Tecniche
9% di attacco - 1H 2021
1%
3% 2% 43%
4%
16%
9%
43%
16%
22%
Malware Unknown Vulnerabilities PhishingSocialEngineering
MultipleTechniques IdentityTheftAccountCracking WebAttack DenialOfService

22%
Malware Unknown Vulnerabilities PhishingSocialEngineering
MultipleTechniques IdentityTheftAccountCracking WebAttack DenialOfService
Tecniche di attacco - 2018 – 1H 2021
2018 2019 2020 1H 2021

44%
43%
41%
39%
2018 2019 2020 1H 2021

44%
43%
41%
28%
39%
22%
20%
19%
18%
28%
16%
16%
22%
11%
11%
10%
20%
19%
18%
9%
9%
16%
16%
5%
4%
4%
4%
4%
4%
3%
3%
3%
11%
11%
10%
2%
2%
2%
1%
1%
1%
1%
9%
9%
5%
4%
4%
4%
4%
4%
3%
3%
3%
2%
2%
2%
1%
1%
1%
1%
©
Clusit 2021 25
Analisi della “Severity” degli attacchi
Come anticipato nell’introduzione, anche per il 1H 2021 presentiamo una valutazione della
Severity degli attacchi analizzati.
Obiettivo di questa analisi infatti è individuare non solo le categorie di attaccanti, vittime e
tecniche di attacco che crescono maggiormente in termini assoluti nel periodo osservato, ma
anche come evolvono gli impatti degli attacchi, partendo dalla constatazione che spesso queste
due valutazioni non coincidono (p.es. in certi casi all’aumento del numero di attacchi da parte
di una certa categoria di attaccanti non corrisponde un aumento della loro Severity media, etc).
Le variabili che contribuiscono a comporre la valutazione dell’impatto per ogni singolo at-
tacco analizzato sono molteplici ed includono: impatto geopolitico, sociale, economico (di-
retto e indiretto) e di immagine.
Nella nuova classificazione abbiamo definito quattro categorie o livelli di impatto (consi-
derato che stiamo comunque analizzando un campione di attacchi già tutti definiti come
“gravi”): Basso, Medio, Alto e Critico.
Applicando la nuova modalità di valutazione degli impatti ai dati degli ultimi 3 anni e mez-
zo, emergono fenomeni molto interessanti:
Severity % in 2018 - 1H 2021

2018 2019 2020 1H 2021
55%
49%
36%
33%
32%
32%
31%
25%
22%
20%
19%
16%
13%
8%
5%
4%
CRITICAL HIGH MEDIUM LOW
26
Nel 2020 gli attacchi con impatto “Critico” rappresentavano il 13% del totale, quelli di
livello “Alto” il 36%, quelli di livello “Medio” il 32% ed infine quelli di livello “Basso” il
19%. Complessivamente, gli attacchi gravi con effetti molto importanti (High) o devastanti
(Critical) nel 2020 erano il 49% del campione.
Nel primo semestre 2021 la situazione è molto diversa, e francamente impressionante: gli
attacchi gravi con effetti molto importanti (High) sono il 49%, quelli devastanti (Critical)
rappresentano il 25%, quelli di impatto significativo (Medium) il 22%, e quelli con impatto
basso solo il 4%. In questo caso gli attacchi con impatto Critical e High sono il 74%.
Raggruppando poi le nostre valutazioni di Severity per le consuete categorie (Attaccanti,
Vittime e Tecniche di attacco) emergono ulteriori elementi di interesse.
©
Clusit 2021 27
Severity per tipologia di attaccante

Di seguito il raggruppamento per tipologia di attaccante.
Severity per categoria di attaccante - 1H 2021

0 100 200 300 400 500 600 700 800 900 1000
CYBERCRIME
0 100 200 300 400 500 600 700 800 900 1000
E S P I O N A GCEYSBAEBROC TRAI M
GE
E S P I O N A GHEAS CAKBTOI TVAI SGME
HN
INFORMATIO AW
C KATRI V
F AI SRM
E
INFORMATIONWARFARE Critical High Medium Low

Critical High Medium Low
Non sorprende che in percentuale il maggior numero di attacchi classificati come “Critici”
riguardi le categorie Espionage ed Information Warfare, mentre la prevalenza di attacchi
con impatto di tipo “Alto” e “Medio” riferiti ad attività cybercriminali si spiega con la ne-
cessità, per questi soggetti, di rimanere relativamente sottotraccia, guadagnando sui grandi
numeri più che sul singolo attacco.
Ciò detto, come si evince confrontando i due grafici, nel primo semestre 2021 gli attacchi
con Severity “Critical” realizzati per finalità cybercriminali sono sensibilmente aumentati
rispetto al 2020, il che desta grande preoccupazione.
0 200 400 600 800 1000 1200 1400 1600
Severity per categoria di attaccante - 2020
CYBERCRIME
0 200 400 600 800 1000 1200 1400 1600
E S P I O N A G E C/ YSBAEBROC TRAI M
GE
ESPIONAGE H
/ AS CA KBTOI TVAI SGM
E
I N F O R M A T I OHNA W
C KATRI V
F AI SRM
E
INFORMATION WARFARE Critical High Medium Low
© Clusit - Rapporto 2021 sulla Sicurezza ICT in Italia
28
Severity per tipologia di vittima

Per quanto riguarda la distribuzione della Severity rispetto alle categorie di vittime più col-
pite da attacchi, si può notare come la categoria “Government” abbia subito il maggior
numero di attacchi con Severity “Critical”, seguita da “ICT”, mentre le categorie con il
maggior numero di attacchi con impatti di livello “Alto” sono “Healthcare”, “Gov”, “ICT” e
“Financial / Insurance”.
Severity per Top 10 categoria di vittime - 1H 2021
MANUFACTURING
T R A N S P O RMT AA N
T IUOFNASCTTOURRAI N
GGE
P R O F E S S I OT N
RAN
L SSCP IOE RNTTAI FTIICOTNESCTHONRIAC G
A EL
P R O F E S S I O N A L S C I EWNHTO
I FLIECSTAELCEHRNE ITCAAI L
WNHCOI A
FINA L EL SI NA SL U
E R EATNACI EL
F I N A N C I A L EI NDSUUCRAATNI OC N
E
I N F O R M A T I O N C O M M U N I C A T I O NETDEUCCHANTOI OL O
N…
I N F O R M A T I O N C O M M U N IM
C AUTLITOI P
NLTEETCAHRNGOELTOS …
M U L T IHPEL A
E TL TAH
RCG AE R
T SE
G O V E R N M E N T M I L I T A R Y L A W E NHF EOARLCTEHMC EANR TE
GOVERNMENTMILITARYLAWENFORCEMENT
0 50 100 150 200
0 50 100 150 200
La situazione era molto diversa (e complessivamente meno grave) nel 2020:

Severity per Top 10 categoria di vittime - 2020
ORGANIZATIONS
W HOORLGEASNA ILZEARTEITOANI SL
P R O F E S S I O N A L S C I EWNHTO
I FLIECSTAELCEHRNE ITCAAI L
PROFESSIONALSCIEN
MTAI FNIUC FTAE C THUNRI CI NAGL
F I N AM
N CAINAUL IFNASCUTRUARNI NC G
E
F I N A N C I A L EI NDSUUCRAATNI OC N
E
HEEDA U
L TCHA CT A
I ORNE
G O V E R N M E N T M I L I T A R Y L A W E NHF EOARLCTEHMC EANR TE
I N FGOORVMEARTNI M
ONEN
COTM
MIM
L IUT N
ARI CYAL TAIW
O ENNT FE O
CHR CNEOM
LOEN
G TY
I N F O R M A T I O N C O M M U N I C AM
T IUOLNTTI PE LCEHTNAOR LGOEGT SY
MULTIPLETARGETS
0 50 100 150 200 250 300 350 400 450
0 50 100 150 200 250 300 350 400 450
L’aumento della Severity degli attacchi verso tutte le categorie più colpite è evidente anche
a colpo d’occhio.
©
Clusit 2021 29
Severity per tecniche di attacco

Dal punto di vista delle tecniche di attacco nel primo semestre 2021 gli incidenti con im-
patto più critico sono quelli realizzati tramite Malware, Tecniche sconosciute, Vulnerabilità
note e Tecniche Multiple.
Severity per tecniche di attacco - 1H 2021

Critical
Critical High
High Medium
Medium Low
Low
DENIALOFSERVICE
DENIALOFSERVICE
WEBATTACK
WEBATTACK
IDENTITYTHEFTACCOUNTCRACKI …
IDENTITYTHEFTACCOUNTCRACKI …
MULTIPLETECHNIQUES
MULTIPLETECHNIQUES
PHISHINGSOCIALENGINEERING
VULNERABILITIES
VULNERABILITIES
UNKNOWN
UNKNOWN
MALWARE
MALWARE
0
0 100
100 200
200 300
300 400
400 500
500
Anche in questo caso emerge chiaramente l’evoluzione negativa del trend, confrontando i
dati del primo semestre 2021 con quelli del 2020:
Severity per tecniche di attacco - 2020

Critical
Critical High
High Medium
Medium Low
Low
DENIALOFSERVICE
DENIALOFSERVICE
WEBATTACK
WEBATTACK
IDENTITYTHEFTACCOUNTCRACKING
IDENTITYTHEFTACCOUNTCRACKING
MULTIPLETECHNIQUES
MULTIPLETECHNIQUES
VULNERABILITIES
VULNERABILITIES
UNKNOWN
UNKNOWN
MALWARE
MALWARE
0
0 100
100 200
200 300
300 400
400 500
500 600
600 700
700 800
800 900
900
In particolare colpisce l’incremento significativo di attacchi con impatto “Critical” realizzati

tramite Malware e Vulnerabilità note, compiuti per finalità principalmente cybercriminali.
30
Analisi Fastweb della situazione italiana in materia di
cyber-crime
Introduzione e visione d’insieme

Anche quest’anno, Fastweb ha contribuito a fotografare la situazione del cybercrime in Ita-
lia fornendo un’analisi dei fenomeni più rilevanti elaborata dal proprio Security Operations
Center (SOC) attivo 24 ore su 24.
La pandemia di COVID-19 e il mutamento degli stili di vita ha impattato in modo rilevante
sulle dinamiche del cybercrime, generando alcuni fenomeni in controtendenza rispetto al
2019.
Dall’analisi sull’infrastruttura di rete di Fastweb, costituita da oltre 6,5 milioni di indirizzi

IP pubblici su ognuno dei quali possono comunicare centinaia di dispositivi e server attivi
presso le reti dei clienti, si sono registrati oltre 36 milioni di eventi di sicurezza, in netta
flessione rispetto agli eventi rilevati per il Report 2019
La flessione è iniziata principalmente dopo il primo trimestre del 2020, in corrispon-

denza con il lockdown e la remotizzazione del lavoro di molte imprese. L’esposizione di
alcune tipologie di servizi applicativi esposti su internet dalle aziende (SMB Server Message
Block, RDP Remote Desktop Protocol, Telnet,...) si sono ridotti del 18% rispetto al 2019.
Analizzando il solo mese di marzo 2020 è stata registrata addirittura una diminuzione di
questo indicatore del 63%.La maggior consapevolezza dei rischi legati agli attacchi informa-
tici in periodo di pandemia ha spinto dunque le aziende ad innalzare i propri livelli di prote-
zione dotandosi di strumenti tecnologici, come ad esempio firewall o VPN per garantire la
continuità operativa. Tali strumenti da un lato hanno consentito ai dipendenti l’accesso da
remoto alle reti virtuali aziendali, dall’altro ad avere una maggiore protezione perimetrale e
una conseguente riduzione della superficie di attacco.
Una novità, che sebbene sia sicuramente positiva, ha spinto i criminali informatici a spo-
stare la loro attenzione verso un punto più debole della catena ovvero verso l’endpoint,
il pc del dipendente. Si è infatti notata una crescita del numero di attacchi indirizzati ai
PC personali (85.000), che sono raddoppiati rispetto allo stesso periodo del 2019, dove si
registravano 45.000 infezioni. Questo fenomeno è spiegabile considerando che, durante il
periodo di emergenza, molte aziende non sono riuscite a dotare i propri dipendenti di lap-
top aziendali con conseguente utilizzo di dispositivi personali, solitamente maggiormente
vulnerabili a malware e virus.
Un’ulteriore evidenza, del fatto che il cybercrime è in qualche modo evoluto verso tipologie
di attacchi più efficaci durante questo periodo di lavoro da remoto, è anche data dal trend
degli eventi DDoS (Distributed Denial of Service) registrati dal Security Operations Center
(SOC) di Fastweb.
©
Il volume degli attacchi DDoS infatti ha toccato i 7 Tbps, in fortissima crescita anche ri-
spetto al mese peggiore dello scorso anno dove si attestava al massimo a 1.8 Tbps.
In particolare, si è notato un forte innalzamento dei volumi nei mesi del primo e secon-
do lockdown (marzo 2.2 Tbps, aprile 3.3 Tbps, maggio 5 Tbps, ottobre e novembre circa
6.5Tbps) per poi tornare negli altri mesi a valori in media con l’anno precedente. Lo sposta-
mento del business verso internet ha spinto i cybercriminali ad incrementare questa tipo-
logia di attacchi tesa principalmente a rendere indisponibili i siti di grandi aziende, anche
chiedendo un riscatto, e delle Pubbliche Amministrazioni.
In conclusione, è importante evidenziare come la “nuova normalità” che stiamo tutti affron-
tando ha cambiato profondamente il modo di interagire, di lavorare, di vivere la società, ma
ha anche portato il cybercrime ad un adattamento e ad un inasprimento degli attacchi sulla
rete, asset fondamentale e irrinunciabile proprio in relazione al periodo attuale...
Nei paragrafi a seguire il dettaglio dei fenomeni rilevati.
Dati analizzati
I dati raccolti dal Security Operation Center di Fastweb sono stati arricchiti, analizzati e
correlati con l’aggiunta di quelli forniti da organizzazioni esterne come ad esempio la Sha-
dowserver Foundation, fonte autorevole in merito all’evoluzione delle botnet e dei relativi
malware. Inoltre, sono stati considerati eventi e segnalazioni dei principali CERT nazionali
e internazionali.
I dati sugli attacchi di distributed denial of service, sono stati ricavati da tutte le anomalie
DDoS rilevate dalle tecnologie di Fastweb per il contrasto di questo tipo di attacchi. Allo
stesso modo, le informazioni relative alle principali tipologie di minacce riscontrate, sono
state raccolte da piattaforme interne utilizzate per attività di Incident Management.
È importante sottolineare che tutti i dati, prima di essere analizzati, sono stati automatica-
mente aggregati e anonimizzati per proteggere la privacy e la sicurezza sia dei clienti sia di
Fastweb stessa.
Tipologia di malware e di botnet

La composizione dei malware e botnet che interessano le macchine appartenenti all’Auto-
nomous System di Fastweb ha avuto un importante incremento rispetto alla precedente ri-
levazione dell’anno 2019. Infatti quest’anno sono state individuate 220 famiglie di software
malevoli (+33% rispetto all’anno precedente).
I 43% delle minacce riscontrate provengono da Andromeda. A livello di comportamento
Andromeda è una piattaforma che è utilizzata per distribuire una galassia di varianti di
malware (80 famiglie circa) tra cui ransomware, trojan bancari, robot spam, malware anti-
frode e altro ancora. Ciò che l’ha resa un prodotto estremamente interessante è stata la sua
natura modulare.
Un primo modulo, per poche centinaia di dollari consente di acquistare il plug-in keylogger
per leggere i dati della tastiera della vittima oppure, per una cifra poco superiore, il plug-in
Formgetter, con il compito di acquisire i dati inviati dal browser web del computer infettato.
32
Al secondo posto troviamo invece QSnatch. Questo malware ha iniziato ad essere presente
a fine 2019 e durante tutto il 2020 ha avuto un forte impatto raggiungendo addirittura il
32% delle minacce riscontrate.
Tale malware che si diffonde sulle unità NAS (network-attached storage) prende il control-
lo completo del dispositivo ed è in grado di bloccare patch e aggiornamenti software. Ancora
non è noto come sarà utilizzata questa nuova minaccia, anche se i ricercatori pensano che
potrà essere usata per campagne di tipo DDoS o per la generazione abusiva di criptovalute
come bitcoin (criptomining).
Infine, si è rilevata una piccola percentuale di software malevoli (0,08%) che non sono
ancora stati catalogati e di cui non si conoscono tutti i dettagli.
avalanche-andromeda
0.63% 0.62%
qsnatch
0.73% 0.65% 0.08%
0.77% 0.66% 5.47% wannacrypt
0.97%
2.04% 1.21% mirai
3.02% android.bakdoor.prizmes
3.59%
43.31% gozi
4.10%
nivdort
vawtrak
zeus
murofet
ramnit
sality
32.14%
virut
lethic
__unknown__
__others__
Figura 1 - Analisi dei Malware rilevati (Dati Fastweb relativi all’anno 2020)
Andamento temporale
Il grafico di Figura 2 mostra la diffusione temporale degli host infetti e parte di botnet per
l’anno 2020. Come si può notare, il trend continua a crescere e anche nel 2020 si conferma
in forte ascesa.
Da evidenziare il picco di circa 8000/9000 host infetti durante i mesi di febbraio/maggio
in corrispondenza del primo lockdown, sintomo del fatto che l’aumento del business sul
digitale ha avuto come effetto un aumento complessivo delle minacce.
©
Clusit 2021 33
10000
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
gen feb mar apr mag giu lug ago set ott nov dic
2019 2020
Figura 2 - Distribuzione temporale del numero di Malware rilevati (Dati Fastweb relativi
all’anno 2019/2020)
Principali famiglie di malware e botnet

Analizzando i trend temporali delle varie tipologie di malware si nota una prima metà
dell’anno con un trend in crescita, durante i mesi estivi si evidenza un calo e infine l’ultima
parte dell’anno è caratterizzata da una crescita del numero di infezioni da malware con una
prevalenza per le infezioni legate a Andromeda e QSnatch.
È importante evidenziare come, gli altri malware abbiano avuto un impatto percentuale
più marginale (ma comunque rilevante) relativi a minacce note e diffuse da tempo come
Wannacrypt e Mirai.
Per quanto concerne le tipologie di attacco zero-day il trend è stato abbastanza costante e
in forte calo rispetto al 2019 anche se, secondo quanto rilevato da Fastweb nel tempo, la
tipologia, la potenza e l’efficacia di tali attacchi sono comunque da non sottovalutare.
Tali tipologie di attacchi sono infatti più pericolose della media perché non rilevabili da si-
stemi di protezione tradizionali che necessitano il rilascio di signature per essere identificati
(ad esempio gli antivirus).
34
40000
35000
30000
25000
20000
15000
10000
5000
0
avalanche-andromeda qsnatch wannacrypt

mirai android.bakdoor.prizmes gozi
nivdort vawtrak zeus
murofet ramnit sality
virut lethic __unknown__
Figura 3 - Rilevazione mensile dei Malware (Dati Fastweb relativi all’anno 2019)
Distribuzione geografica dei centri di comando e controllo dei

malware
I centri di Command and Control (C&C) rappresentano i sistemi compromessi utilizzati
per l’invio dei comandi alle macchine infette da malware (bot) utilizzate per la costruzione
delle botnet.
Quest’anno oltre l’80% dei centri di C&C relativi a macchine infette appartenenti all’AS
di Fastweb si trovano negli Stati Uniti. Tale dato è in leggero calo rispetto all’anno scorso
(-2 p.p.) ma comunque resta elevato. Questo principalmente dovuto alla altissima presenza
di datacenter/server farm che si concentrano negli Stati Uniti. Al secondo posto, con l’5%
circa dei centri di comando e controllo si trova la Germania.
Conseguentemente perdono efficacia le logiche di difesa basate sulla provenienza geografi-
ca degli attacchi, perché le organizzazioni cyber-criminali impiegano indirizzi IP distribuiti
opportunisticamente in reti che generano grandi volumi di traffico legittimo. Non è pertanto
rilevante da dove proviene l’attacco ma come proteggersi. Risulta quindi necessario attuare
meccanismi di protezione che si basino su tecnologie all’avanguardia e centri di competenza
specifici come ad esempio l’utilizzo di Security Operation Center o personale specializzato.
©
Clusit 2021 35
SPAGNA UK RUSSIA ROMANIA

0.38% 0.36% 0.13% 0.03%
FRANCIA __othe…
ITALIA 0.45% UCRAINA
1.24% 0.02%
POLONIA
2.49%
OLANDA
2.86%
GERMANIA
5.40%
USA
80.15%
Figura 4 - Dislocazione dei centri di Comando e Controllo (Dati Fastweb relativi all’anno
2019)
Attacchi DDOS (Distributed Denial of Service)

Un attacco DoS (denial of service) è un attacco volto ad arrestare un computer, una rete o
anche solo un particolare servizio.
Alcuni attacchi hanno come target una particolare applicazione o servizio, ad esempio Web,
SMTP, FTP, etc., altri invece mirano a mettere fuori uso completamente il server o, addirit-
tura, un’intera rete. Gli attacchi DDoS (distributed denial of service) amplificano la portata
di tali minacce. Un attacco DDoS viene infatti realizzato utilizzando delle botnet, ovvero
decine di migliaia di dispositivi (non più solo computer di ignari utenti), in grado di generare
richieste verso uno specifico target con l’obiettivo di saturarne in poco tempo le risorse e di
renderlo indisponibile.
Naturalmente gli effetti di un attacco DDoS possono essere devastanti sia a causa della po-
tenza che possono esprimere, ma anche per le difficoltà insite nel poterli mitigare in tempi
rapidi (se non attraverso la sottoscrizione di uno specifico servizio di mitigation).
Il mercato dei DDoSaaS (DDoS as a service) è cresciuto ed il costo del servizio si aggira
sui 5-10$ mese per botnet in grado di erogare un attacco di 5-10 minuti ad oltre 100Gbps.
Quanti sono stati gli attacchi DDOS nel 2020?

Nel 2020 sono state rilevate circa 15.000 anomalie riconducibili a possibili attacchi DDoS
diretti verso i clienti Fastweb (in linea con quanto rilevato rispetto all’anno 2019).
36
600
500
400
300
Gpbs
200
100
0
DDoS events - 2019 DDoS events - 2020
Figura 5 - Distribuzione mensile delle anomalie DDoS (Dati Fastweb relativi all’anno
2019/2020)
Quali sono i settori più colpiti

In merito all’analisi della distribuzione dei target degli attacchi DDoS sono stati individuati
i settori merceologici maggiormente colpiti da questo tipo di attacchi.
Come si evince dal grafico successivo, il fenomeno riguarda senza esclusione un esteso
numero di settori, tra i quali i più esposti risultano essere il mondo del finance/insurance e
il mondo dei servizi che sono obiettivo nel 54% dei casi, a seguire il mondo della pubblica
amministrazione, quindi i service provider e il mondo dei media. (Figura 6).
Il volume degli attacchi DDoS

Il grafico seguente rappresenta il volume degli attacchi DDoS durante l’anno. La piattafor-
ma di mitigation utilizzata per la protezione dei clienti, gestisce ogni mese attacchi che oc-
cupano una banda variabile tra i 2 Tbps e gli 8 Tbps, in fortissima crescita rispetto all’anno
precedente.
Come si può notare il trend è influenzato da picchi, in corrispondenza dei periodi di lock-
down dovuti all’emergenza COVID19. (Figura 7).
©
Clusit 2021 37
Logistics
Gambling
1% __others__
Media & 2% 5%
Entertainment
5%
Industry Finance & Insurance
7% 33%
Service Provider
12%
Government
14%
Services
21%
Figura 6 - Target di possibili attacchi DDoS (Dati Fastweb relativi all’anno 2020)
9000
8000
IMPATTO_2020
IMPATTO_2019
7000
6000
5000
Gbps
4000
3000
2000
1000
0
Figura 7 - Banda totale mensile impegnata negli attacchi DDoS (Dati Fastweb relativi
all’anno 2019/2020)
38 1,89%
8,13% 0,77%
1000
0
Panoramica
gen dei
feb cyber
marattacchi
apr più
magsignificativi
giu lugdel 2018-2020
ago set e ott
del primo
nov semestre
dic 2021
Di seguito invece viene riportata la distribuzione della banda media di un attacco DDoS
nel 2020.
1,89%
8,13% 0,77%
24,13%
11,61%
< 2 (Gbps)
< 5 (Gbps)
< 10 (Gbps)
< 20 (Gbps)
< 50 (Gbps)
< 100 (Gbps)
22,90%
> 100 (Gbps)
30,57%
Figura 8 - Distribuzione della dimensione di un attacco DDoS (Dati Fastweb relativi

all’anno 2020)
Figura 8 - Distribuzione della dimensione di un attacco DDoS (Dati Fastweb relativi all’anno 2020)
Qual è la durata di un attacco DDoS?

Le tecniche di attacco DDoS e i relativi metodi di mitigazione si evolvono nel tempo. Nel
corso degli anni, con il consolidamento delle tecniche di difesa, la durata degli attacchi è
mediamente diminuita. Anche quest’anno tale trend è confermato, risulta quindi eviden-
te come ci sia una crescente consapevolezza da parte delle vittime degli attacchi e come
queste ultime investano per garantire alla propria azienda la protezione da attacchi di tipo
DDoS.
Si è osservato che quest’anno circa il 93% degli attacchi è durato meno di 3 ore, mentre i
rimanenti casi sono principalmente riconducibili a diversi tentativi effettuati in sequenza
ravvicinata. È importante però evidenziare che solo una piccola parte degli attacchi dura ol-
tre le 24 ore consecutive. Rispetto all’anno precedente non si notano particolari differenze,
soprattutto se si considerano gli attacchi di piccola durata.
©
Clusit 2021 39
1,01%
0,88% 2,93%
1,14%
7,67%
< 1 (h)
< 3 (h)
< 6 (h)
< 12 (h)
< 24 (h)
> 24 (h)
86,38%
Figura 9 - Durata dei possibili attacchi DDoS (Dati Fastweb relativi all’anno 2020)
Tecniche di attacco utilizzate

Le tecniche di attacco utilizzate possono essere diverse, nel 2020 sono state tre le principali
tipologie ricorrenti rilevate, con una prevalenza di attacchi di tipo “IP Fragmentation” (17%
del totale) e “DNS amplification” (15% del totale).
La tecnica di attacco più utilizzata (10%) è “IP Fragmentation” ovvero un tipo di attac-
co Distributed Denial of Service (DDoS) che sfrutta il principio di frammentazione del
protocollo IP. In effetti, il protocollo IP è previsto per frammentare i pacchetti di gran-
di dimensioni in differenti pacchetti IP che possiedono ognuno un numero sequen-
ziale e un numero di identificazione comune. Una volta ricevuti i dati, il destinatario
riordina i pacchetti grazie ai valori di spaziatura (in inglese offset) da questi contenuti.
L’attacco da frammentazione più conosciuto è l’attacco Teardrop. Il principio dell’attacco
Teardrop consiste nell’inserire in alcuni pacchetti frammentati delle informazioni di spazia-
tura sbagliate. In questo modo, al momento dell’assemblaggio vi saranno dei vuoti o degli
intervalli (overlapping), che possono provocare un’instabilità di sistema o una saturazione
delle risorse.
Il secondo e il terzo attacco più diffuso sfruttano invece una tecnica che permette di fare
“rimbalzare” il traffico su server DNS o NTP impropriamente configurati. Grazie a questo
“rimbalzo” e alle caratteristiche dei servizi DNS e NTP, l’attaccante ottiene il doppio scopo
di nascondere i propri indirizzi IP (e quindi la propria identità e collocazione geografica) e
di moltiplicare la portata dell’attacco: per ogni megabit di banda immesso dall’attaccante, la
vittima riceve da 30 a 50 megabit di traffico indesiderato nel caso della DNS amplification
e ben 500 megabit nel caso della NTP amplification.
L’amplificazione del traffico è ciò che consente all’attaccante di rendere irraggiungibile il
sito (o servizio) della vittima, saturandone la banda disponibile.
Infine, è da evidenziare come gli attacchi combinati (tecnica mista) siano aumentati sensi-
40
bilmente, dal 40% del 2019 al 52% del 2020. Tale fenomeno è indice del fatto che attacchi
diversificati hanno maggiore probabilità di essere efficaci a causa della loro maggiore com-
plessità per gestire la controparte difensiva.
IP Fragmentation
17,04%
DNS Amplification
NTP Amplification
CLDAP Amplification
14,82%
SNMP Amplification
TCP SYN
51,51%
SSDP Amplification
TCP RST
6,59% TCP NULL
4,14% UDP
0,04% 1,76%2,91% memcached Amplification

0,04% 0,04%
0,08% 1,03% __combined__
Figura 10 - Tipologie di attacchi DDoS (Dati Fastweb relativi all’anno 2020)
Ulteriori vulnerabilità
Servizi critici esposti su Internet

In questo paragrafo viene messo in evidenza il numero di dispositivi che espongono servizi
direttamente su Internet privi anche di livelli minimi di protezione. Ciò significa che questi
host sono facilmente attaccabili e esposti a rischi elevati di compromissione.
I dati del 2019 riportano circa 53.000 macchine che espongono servizi critici direttamente
su Internet con un decremento rispetto all’anno scorso di circa il 18%. Come anticipato, si
ritiene che questo fenomeno sia dovuto al fatto che le aziende hanno incrementato le linee
difensive di base installando e configurando firewall per abilitare lo smartworking e garan-
tire l’accesso ai dati da remoto.
Al primo posto troviamo Telnet, protocollo utilizzato per la gestione di host remoti, accessi-
bile da riga di comando. Al secondo posto RDP utilizzato per la connessione remota ad un
PC. Un attaccante potrebbe sfruttare questo protocollo per prendere il controllo completo
della macchina.
Di rilievo è anche la quantità di macchine che espongono Netbios e SMB, quest’ultimo
utile per la condivisione di file e stampanti nelle reti locali ma che se esposto su internet
può essere utilizzato per accedere ai documenti e file condivisi.
©
Clusit 2021 41
Figura 11 -Servizi esposti direttamente su Internet (Dati Fastweb relativi all’anno 2020)
Blocklist
Una blocklist è una lista dove vengono inseriti e catalogati indirizzi IP classificati come
fonte di e-mail di SPAM.
Esistono diversi motivi per cui si può venire inseriti nelle liste di blocco, di seguito vengono
analizzati i principali:
• Invio di e-mail massive dal proprio indirizzo IP
• Nel testo o nell’oggetto delle e-mail inviate sono presenti caratteri e simboli in genere
utilizzati nelle mail di SPAM
• Il PC è infetto da virus che invia autonomamente e ciclicamente e-mail infette.
Dalle rilevazioni effettuate si è notato che circa 4.700 IP sono stati inseriti almeno una
volta nelle blocklist durante il 2020. Il dato è in sensibile calo rispetto al 2019 dove si
erano registrate oltre 7.300 azioni di blocklisting. Il grafico di seguito rappresenta le città
maggiormente colpite.
42
1200
1000
800
600
400
200
Figura 12 - Host in Blacklist per città (Dati Fastweb relativi all’anno 2020)
ULTIMI AGGIORNAMENTI RELATIVAMENTE AI PRINCIPALI

TREND PER L’ANNO 2021
In questo paragrafo vengono analizzate le principali evoluzioni nel panorama della sicurezza
italiana nella prima metà del 2021 (dal 1° gennaio al 31 agosto).
Il Security Operations Center (SOC) di Fastweb ha registrato 36 Milioni di eventi malevoli,
in forte aumento rispetto allo stesso periodo dell’anno precedente (+180%). Tale trend è in
controtendenza rispetto allo scorso anno dove queste numeriche sono state raggiunte solo
alla fine dell’anno.
Focalizzandosi sulle motivazioni che hanno portato un rialzo dei numeri troviamo due prin-
cipali fenomeni:
Il primo riguarda un forte incremento nel primo trimestre degli attacchi di tipo “Proxy
Logon”.
Tale attacco consente di accedere ai server di posta elettronica delle aziende (su tecnologia
Exchange) delle vittime riuscendo a violare gli account di posta elettronica, e veicolando
attraverso di essi ulteriore software malevolo per aumentare la portata dell’attacco.
A partire dal mese di aprile tale attacco ha avuto una flessione vista la disponibilità di una
patch per andare a risolvere la vulnerabilità nei sistemi di posta.
©
Clusit 2021 43
1200
1000
800
600
400
Non disponibile
perché la
200 vulnerabilità è
stata resa nota il
2/3/2021
0
1 2 3 4 5 6 7 8 9
Figura 13 - Evoluzione server affetti da vulnerabilità Proxy Logon (Dati Fastweb relativi
all’anno 2021)
Il secondo fenomeno riguarda invece l’incremento dell’attività dei ransomware con richiesta
di riscatto. Infatti, è stata osservata una crescita dell’attività di questo malware di circa il
350% rispetto allo stesso periodo dello scorso anno. E le conseguenze causate da questa ti-
pologia di attacchi, sempre più aggressivi, diventano in qualche modo ancora più evidenti. Si
vedano ad esempio gli attacchi a danno di strutture pubbliche che hanno bloccato l’operati-
vità quotidiana. Ci sono però anche buone notizie perché osserviamo che l’attività della bot-
net Emotet ha cessato di fatto la propria attività durante il mese di aprile 2021 (Figura 14).
Emotet era apparso diversi anni fa come trojan bancario e nel tempo si è evoluto fino a
diventare un framework, distribuito globalmente e in grado di distribuire codice malevolo a
chi ne facesse richiesta tramite un vero e proprio servizio a noleggio sul dark web. Oggi gra-
zie all’intervento congiunto di associazioni governative internazionali tale minaccia è sparita
ma è importante evidenziare come nella cyber security sia importante il concetto di gioco
di squadra. Da soli non si vince, è necessario mettere insieme le forze e soprattutto essere
tutti consapevoli delle minacce cyber.
Provando invece a concentrarci su quelle che possono essere le previsioni per l’anno
2021/2022 si possono notare alcune tendenze che hanno una crescita importante.
Infatti, gli attaccanti si stanno concentrando su quello che è il punto debole della catena
della sicurezza, ovvero i dipendenti in smart working. Si registra, infatti, un crescente nu-
mero di minacce sull’endpoint che arrivano addirittura a 90.000 rispetto allo stesso periodo
dell’anno scorso (gen-sett) dove ci si fermava a 65.000 (+40%) (Figura 15).
44
9000
8000
7000
6000
5000
4000
3000
2000
1000
0
1 2 3 4 5 6 7 8 9
Figura 14 - Host coinvolti nella botnet Emotet (Dati Fastweb relativi all’anno 2021)
16000
14000
12000
10000
8000
6000
4000
2000
0
Numero infezioni Endpoint - 2020 Numero infezioni Endpoint - 2021
Figura 15 - Singoli Indirizzi IP dell’AS per cui si rilevano endpoint infetti (Dati Fastweb
relativi all’anno 2021)
©
Clusit 2021 45
Inoltre, per avere una lettura sempre più completa dei fenomeni in atto è necessario iniziare
ad analizzare anche tutto ciò che riguarda le minacce sulla parte applicativa visto che l’im-
piego di queste tecniche è sempre più frequente e con impatti in termini di cybersecurity
che saranno in futuro sempre più significativi.
Da quest’anno infatti Fastweb contribuirà al Rapporto Clusit con un’analisi sul mondo del-
le vulnerabilità e degli attacchi indirizzati ai software e ai sistemi applicativi delle aziende
clienti del settore Enterprise e della Pubblica amministrazione, rilevati attraverso tecno-
logie di tipo Web Application Firewall. Dalle evidenze raccolte nei primi nove mesi del
2021, possiamo constatare che buona parte delle rilevazioni fa riferimento ad attività cyber
correlate alla raccolta di informazioni (Information Gathering 54.8%). Tale attività, non
essendo legata direttamente a un attacco è spesso legata ad attività preparatorie in ottica di
raccogliere informazioni di dettaglio sui sistemi applicativi aziendali per sferrare successiva-
mente un attacco mirato al server.
Seguono per numerosità, tentativi di File Injection (18.3%) dove l’attaccante prova a inse-
rire nel sistema file malevoli con l’obiettivo di prenderne il controllo e i tentativi di sfrutta-
mento vulnerabilità verso applicativi Web (9.6%) come ad esempio: CMS Joomla; Drupal;
Wordpress.
Nella categoria Generic Attack (6%) sono state inserite invece tutte quelle tipologie di at-
tacchi che sfruttano exploit comuni ma non usano tecniche come SQL Injection (attacco
diretto ad avere accesso ai dati, sfruttando le debolezze del linguaggio di programmazione
per la gestione dei database), ad esempio LFI (Local File Inclusion).
Sempre presenti, anche se con percentuali minori, eventi di SQL Injection , di Cross Site
Scripting (attacco finalizzato all’introduzione di codice non appartenente al sito che si sta
visitando, costringendo l’utente a eseguire azioni non volute), e di Directory Traversal (at-
tacco per avere accesso a file in directory in cui non si è autorizzati ad accedere) che ancora
oggi sono vettori di attacco importanti nonostante queste metodologie siano ben note anche
a chi sviluppa e mette in sicurezza l’applicazione.
46
2.7% 2.2% 1.1% 0.5%

4.8% Information Gathering
File Injection Attacks

6.0%
Web Application Attacks
9.6% Generic Attack
SQL Injection
54.8% Cross Site Scripting (XSS)
Directory Traversal
18.3%
OS and Web Server
Attacks
Figura 16 - Tecniche di attacco applicativo rilevate dai WAF del segmento Enterprise/Top/
Pubblica Amministrazione (Dati Fastweb relativi all’anno 2021)
©
Clusit 2021 47
Attività e segnalazioni della Polizia Postale e delle
Comunicazioni nel primo semestre del 2021
In uno scenario nel quale la continua evoluzione tecnologica influenza ogni azione del
nostro vivere quotidiano, lo sforzo della Polizia Postale e delle Comunicazioni nei primi sei
mesi del 2021 è stato costantemente indirizzato alla prevenzione e al contrasto della crimi-
nalità informatica in generale, con particolare riferimento ai reati di precipua competenza
di questa Specialità.
Centro Nazionale di Contrasto alla Pedopornografia Online

Nell’ultimo anno e mezzo, la pandemia ha modificato abitudini, ritmi e modalità di condur-
re le principali attività quotidiane: la socializzazione, il lavoro, la scuola, lo svago e persino
lo sport.
I più piccoli sono stati tutti obbligati ad avvicinarsi alle nuove tecnologie per poter riconqui-
stare, in un momento di emergenza, un pizzico di normalità: le videochiamate, la didattica
a distanza, i socialnetwork, i videogiochi hanno riempito le giornate in cui non si poteva
uscire.
Tutto questo ha prodotto un’accelerazione coatta dei processi di integrazione tra infanzia,
adolescenza e internet, producendo subito effetti, purtroppo, non confortanti.
L’evoluzione dei fenomeni che nel web coinvolgono giovani e giovanissimi ha determinato
un ampliamento delle competenze del Centro Nazionale per il Contrasto alla Pedopornogra-
fia Online per quanto concerne il contrasto a tutte le forme di aggressione in rete in danno
di minorenni.
L’analisi dei dati dei primi 6 mesi dell’anno in corso, confrontati con il medesimo periodo
del 2020, ha evidenziato un generale aumento del coinvolgimento dei minori nei reati a
sfondo sessuale, sia come vittime che come autori.
Nel primo semestre dell’anno in corso, il Centro Nazionale per il Contrasto alla Pedopor-
nografia Online (C.N.C.P.O.), con un costante impegno nelle attività di tutela dei minori,
ha confermato il ruolo centrale della Polizia Postale e delle Comunicazioni nella lotta alla
pedofilia e pornografia minorile online.
In particolare, nell’ambito dell’attività di contrasto svolta dal Centro sono stati trattati com-
plessivamente 3038 casi, che hanno consentito di indagare 833 soggetti, di cui 67 tratti in
arresto per reati connessi con abusi tecnomediati in danno di minori, con un aumento del
199% rispetto all’anno precedente.
Prosegue il lavoro di valutazione puntuale dei dati relativi alla vittimizzazione dei bambini e
dei ragazzi in rete, avviato in occasione del primo lockdown, al fine di monitorare la minac-
cia cibernetica in un momento di fragilità nazionale.
L’adescamento on line
Particolarmente significativi sono i dati relativi all’adescamento on line: 287 su 3038, i
casi trattati dal Centro nei primi 6 mesi del 2021; si riconferma un trend in crescita,
©
già osservato all’avvio dell’emergenza Covid-19, per il quale, nell’intero anno 2020, i casi
erano stati 401. Nel 2021, dopo appena 6 mesi, risultano già raggiunti al 72% i numeri
dell’anno precedente. E’ possibile ipotizzare che le ore di isolamento, la riduzione delle atti-
vità ricreative imposte dalle misure di contenimento della circolazione del virus a partire dal
2020 continuino a fornire un impulso ulteriore ai ragazzi affinchè affidino alla rete, ai servizi
di socialnetworking la socializzazione e lo scambio comunicativo; ne deriva una complessiva
intensificazione dei livelli di presenza dei minori in rete, cosa che rende sempre più attrat-
tivi questi circuiti per i soggetti interessati a interazioni sessualizzate con minorenni online.
Nell’ambito delle indagini riguardanti il fenomeno dell’adescamento di minori online, sono
state eseguite 92 perquisizioni domiciliari ed informatiche, con un esito complessivo di ben
101 soggetti denunciati per questo reato solo nei primi 6 mesi dell’anno 2021.
Il cyberbullismo
Nello stesso periodo, sono stati trattati 291 casi di cyberbullismo (179 nei primi sei mesi
del 2020), con un aumento percentuale pari al 63%.
Sono 75 i minori (49 nello stesso periodo dello scorso anno) denunciati all’Autorità Giudi-
ziaria perché autori di reati online connessi con il cyberbullismo, con un aumento percen-
tuale pari al 53%, rispetto all’anno precedente.
Anche in questo ambito la complessità del rapporto tra giovani e tecnologia mostra direttive
di aggravamento: sono sempre più frequenti i casi in cui l’uso di immagini sessuali, la loro
realizzazione, la circolazione di queste in chat e messaggistica istantanea sono spesso i primi
passi per vere e proprie campagne diffamatorie avviate contro coetanei, “colpevoli” di essere
a qualche titolo “diversi”.
Il cyberbullismo assume in modo progressivamente consistente un connotato multidimen-
sionale in cui le distorsioni cognitive proprie della tecnomediazione (anonimato, impunità,
irrintracciabilità), gli effetti concreti dell’immaturità cognitiva ed emotiva dei ragazzi (im-
pulsività, reattività, non accuratezza delle valutazioni degli effetti delle azioni) si scontrano
con la potenza amplificatoria del web, con la sua ubiquità spazio-temporale e con la con-
tingenza del momento evolutivo critico che vivono ogni vittima e il suo giovane carnefice.
C.N.C.P.O. – Attività di polizia giudiziaria

Tra le attività di polizia giudiziaria condotte dagli Uffici territoriali della Specialità e coor-
dinate dal Centro, alcune delle quali svolte in modalità sotto copertura online e scaturi-
te da segnalazioni pervenute nell’ambito della costante e proficua attività di cooperazione
internazionale di polizia svolta dal C.N.C.P.O., si evidenziano, in particolare, le seguenti
operazioni più significative.
• Operazione “Canada 2.0”, avviata dal Compartimento di Reggio Calabria su impulso
del C.N.C.P.O. in ambito di cooperazione internazionale di polizia, si è conclusa con
la denuncia di 119 persone, 3 delle quali tratte in arresto, responsabili di diffusione e
detenzione di materiale di pornografia minorile su una nota piattaforma di messaggistica
istantanea.
50
• Operazione “Wild Telegram – Fase Finale”, svolta dal Compartimento di Genova,

ha portato all’arresto di 2 persone e alla denuncia di altre 12 ritenute responsabili di dif-
fusione e detenzione di materiale pedopornografico.
• Operazione “Big Surprise” condotta dal Compartimento di Firenze su impulso del
C.N.C.P.O. in ambito di cooperazione internazionale di polizia per diffusione di conte-
nuti di pornografia infantile attraverso social network. L’attività ha consentito di indagare
6 persone, 2 delle quali in stato di arresto.
Operazione “Maple Maze 2”, condotta dal Compartimento di Milano e scaturita da una
segnalazione ricevuta in ambito di cooperazione internazionale di polizia in materia di
diffusione di materiale di pornografia minorile attraverso social network. Sono state 17 le
persone denunciate, 2 delle quali in stato di arresto.
• Operazione “Ontario 2”, svolta dal Compartimento di Milano su impulso del
C.N.C.P.O. in ambito di cooperazione internazionale di polizia, finalizzata al contrasto
alla diffusione della pornografia minorile nel web, ha consentito di denunciare 11 per-
sone, una delle quali in stato di arresto per detenzione di ingente quantità di materiale
pedopornografico che lo ritraeva mentre abusava della propria figlia di appena un anno.
• Operazione “Dictum”, condotta dal Compartimento di Milano, scaturisce dall’analisi
del materiale sequestrato nel corso di una perquisizione a carico di un indagato in altro
procedimento penale, ove è emersa la creazione e condivisione di un link di collegamento
a un cloud contenente materiale pedopornografico. Sono state 7 le persone denunciate,
4 dei quali tratti in arresto, tutti responsabili di diffusione e detenzione di materiale di
pornografia minorile.
• Operazione “Web Oscuro”, avviata dal Compartimento di Trieste su impulso del
C.N.C.P.O., si è conclusa con tre persone indagate, di cui una in stato di arresto, per
scambio e detenzione di materiale di pornografia infantile. In particolare, l’arrestato pro-
poneva ad altri utenti del dark web cataloghi raffiguranti minori asseritamente disponibili
per incontri sessuali dal vivo. Nel corso della perquisizione informatica eseguita a carico
del predetto, venivano rinvenuti migliaia di files di pedopornografia, oltre a un wallet per
la gestione delle criptovalute, ove confluivano i proventi della vendita del materiale mul-
timediale raffigurante i minori.
• Operazione “Borghetto”, condotta dal Compartimento di Catania, all’esito della quale
sono stati indagati 11 maggiorenni e 16 minorenni, responsabili di aver divulgato attraver-
so una nota piattaforma di messaggistica contenuti pedopornografici.
• Nell’ambito di una complessa attività di indagine svolta nei confronti di un gruppo di
studenti dedito alla sistematica interruzione delle lezioni in modalità DAD di numerose
scuole su tutto il territorio nazionale, il Compartimento di Genova ha denunciato 3 ra-
gazzi per interruzione di pubblico servizio e accesso abusivo a un sistema informatico o
telematico.
Inoltre, tra le indagini più significative avviate direttamente dal C.N.C.P.O. nell’ambi-
to dei reati di sfruttamento sessuale dei minori, si segnala una delicata attività svolta
nell’ambito delle darknet, che ha consentito di trarre in arresto un libero professionista
©
Clusit 2021 51
50enne, produttore di materiale di pornografia minorile. L’operazione è stata condotta

con la cooperazione internazionale di polizia con altre Agenzie investigative estere attivata
da Europol. L’uomo abusava in via continuativa di due minori di 6 e 8 anni. Avvalendosi
delle sue capacità manipolatorie, era riuscito a carpire l’affetto e la totale fiducia dei bam-
bini e, in soli due anni, ha filmato le violenze ai loro danni per un totale di circa 9.000
video.
In virtù della fiducia in lui riposta da parenti e amici, riusciva a ottenere la disponibilità
dei minori anche per diversi giorni.
C.N.C.P.O. - Attività di prevenzione

Per quanto concerne l’attività di prevenzione svolta dal C.N.C.P.O., attraverso una continua
e costante attività di monitoraggio della rete, sono stati visionati 15918 siti, al momento
sono presenti in black list 2484 siti, oscurati in quanto presentavano contenuti pedopor-
nografici.
Truffe on-line
Il fenomeno criminale delle Truffe OnLine ha visto, nel periodo in esame, un impegno con-
tinuo da parte della Specialità sia nell’ambito della prevenzione che in quello di contrasto
alle varie tipologie che si riscontrato in rete: e-commerce, immobiliare, falso trading on-line,
”sentimentali”.
Attraverso sofisticate metodologie di social engineering e facendo leva sui “bisogni” delle
persone i cyber-criminali, proponendo facili guadagni, investimenti miracolosi o illusorie
relazioni sentimentali, individuano il loro target che, con artifici e raggiri, viene invogliato
ad investire ingenti somme di denaro, acquistare “prodotti” a prezzi sensibilmente più bassi
di quelli proposti dal mercato o su siti web abilmente contraffatti.
L’esito di tali attività investigative ha portato ad indagare 1882 persone, procedere all’arre-
sto di 7 ed effettuare 4157 perquisizioni su tutto il territorio nazionale.
L’attenzione della Polizia Postale e delle Comunicazioni si è poi rivolta al monitoraggio della
Rete finalizzato al contrasto della vendita di farmaci online sul web senza le garanzie e le
modalità previste dalla legge, con particolare riferimento a quelli utilizzati per la cura del
virus Sars Co2 – Covid 19. Nell’ambito di tale attività la Specialità ha aderito per la prima
volta all’Operazione denominata “Pangea XVI” che il Segretariato Generale Interpol di
Lione ha organizzato nell’ambito dell’‘’Illicit Goods and Global health Programme”.
• Operazione “Pangea XVI”

L’operazione ha puntato alla sensibilizzazione dell’opinione pubblica in merito alla pe-
ricolosità dell’acquisto dei farmaci online al di fuori dei circuiti ufficiali e, con la colla-
borazione dei 194 Paesi partecipanti, promuovendo un’azione di contrasto nei confronti
delle organizzazioni criminali dedite alla distribuzione online dei prodotti farmaceutici
non corrispondenti agli standard di sicurezza internazionali e, grazie ad una significativa
azione di monitoraggio della rete, sono stati individuati numerosi siti dediti all’attività il-
52
lecita oggetto di indagine. Le risultanze investigative hanno consentito di oscurare 34 siti

esteri, rendendoli irraggiungibili dall’Italia, così da interrompere la vendita, sul territorio
nazionale, di farmaci non autorizzati.
Reati commessi attraverso i social network

Particolare attenzione è stata indirizzata all’attività di prevenzione e contrasto al revenge
porn, alla diffamazione on line e allo “stalking”, reati afferenti al cosiddetto “Codice
Rosso”, le cui indagini sono profuse non soltanto per giungere all’identificazione del re-
sponsabile del reato, ma anche per la rimuovere i contenuti dal web o, quantomeno, per
limitarne la divulgazione massiva.
In relazione ai reati contro la persona perpetrati sul web sono state trattati complessiva-
mente trattati 5.041 casi, indagate 785 persone e tratte in arresto 6, resisi responsabili di
estorsioni a sfondo sessuale, stalking, molestie, minacce e ingiurie, diffamazione
online,
Particolare rilevanza ha assunto l’attività di contrasto al revenge porn, con 133 casi trattati
e 49 persone indagate.
Si segnala, inoltre, l’attività investigativa volta ad arginare il fenomeno dell’hate speech,
con l’individuazione nell’ambito del monitoraggio della rete o su segnalazione di altri Uffici
o di cittadini, in riferimento a commenti diffamatori e di hate speech nei confronti di mino-
ranze o di determinate categorie di persone. e l’approfondimento a livello investigativo delle
segnalazioni dell’UNAR (Ufficio Nazionale Anti discriminazioni Razziali), organismo della
Presidenza del Consiglio dei Ministri e dell’OSCAD (Osservatorio per la Sicurezza contro
gli Atti Discriminatori).
Infine, di particolare rilievo è stata l’attività di pubblico soccorso per i manifesti intenti
suicidari, segnalati attraverso il citato portale, dai vari social network e dal Servizio di Coo-
perazione Internazionale, che ha portato ad individuare e attivare i servizi sanitari preposti
per 15 persone.
Centro Nazionale Anticrimine Informatico per la protezione delle

infrastrutture critiche
Di evidente incremento è l’attività di contrasto alla minaccia cyber svolta dal Centro Naziona-
le Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (C.N.A.I.P.I.C.),
attestata dal rilevante aumento del numero di alert diramati alle infrastrutture critiche na-
zionali che nel primo semestre dell’anno in corso, ha visto un aumento di oltre il 37% rispet-
to al medesimo periodo dell’anno 2020, raggiungendo i 54937 alert.
La tempestiva condivisione dei c.d. “indicatori di compromissione” dei sistemi informatici
con i fornitori di servizi pubblici essenziali ha consentito di rafforzare gli strumenti volti alla
protezione della sicurezza informatica, garantita anche dalla costante attività di monitorag-
gio in contesti di interesse.
©
Clusit 2021 53
Il C.N.A.I.P.I.C. - Centro Nazionale Anticrimine Informatico nell’ambito del complessivo

Sistema Informativo Nazionale per il Contrasto al Cyber Crime, progetto SINC3 finanziato
con fondi ISF, ancora in fase di completamento e che mira ad estendere la rete di prote-
zione cibernetica anche alle realtà più sensibili del Paese, ha gestito complessivi 2982
attacchi cyber significativi, di cui:
• 95 attacchi informatici nei confronti di servizi internet relativi a siti istituzionali e infra-
strutture critiche informatizzate di interesse nazionale;
• 245 attacchi informatici diretti verso operatori di servizi essenziali (O.S.E.), pubbliche
amministrazioni locali ed infrastrutture sensibili a livello locale;
• 2642 attacchi informatici diretti verso privati ed aziende;
• 45 richieste di cooperazione nell’ambito del circuito “High Tech Crime Emergency”.
Tra le attività investigative condotte in tale ambito, si segnalano 50 indagini avviate nel
semestre di interesse che hanno condotto all’arresto di 1 persona ed al deferimento all’AG
di ulteriori 97.
Nell’ottica di un’efficace condivisione operativa, nel primo semestre 2021 il Centro
ha proseguito la stipula di specifici Protocolli a tutela delle infrastrutture critiche nazionali.
Si rappresenta, altresì, che analoghe forme di collaborazione, nell’ambito del progetto
SINC3, sono state avviate dagli uffici territoriali della Specialità con strutture sensibili di
rilevanza locale, sia pubbliche che private, al fine di garantire un sistema di sicurezza infor-
matica capillare e coordinato.
Cyberterrorismo
Nell’ambito della prevenzione e del contrasto alla diffusione di contenuti terroristici online
ed, in particolare, dei fenomeni di radicalizzazione sul web, il personale della Polizia Postale
e delle Comunicazioni effettua costantemente il monitoraggio del web e svolge attività
investigative sia d’iniziativa, che su specifica segnalazione, anche grazie a quelle che giun-
gono dai cittadini tramite il portale del Commissariato di P.S. Online, al fine di individuare
i contenuti illeciti presenti all’interno degli spazi e servizi di comunicazione online di ogni
genere.
Così come già riscontrato nel corso del 2020, anche nel corrente anno è stato possibile
constatare come la struttura mediatica di propaganda del Daesh abbia continuato a basarsi
su una miriade di account, attivati quotidianamente dai supporter del Califfato (anche in
forma automatizzata) con l’obiettivo di divulgare magazine online dell’IS, aggiornamenti sul-
le attività dei combattenti nei teatri operativi, video, documenti, manuali o pubblicazioni di
esponenti di spicco delle correnti radicali islamiche, infografiche di minaccia etc.
L’individuazione di tale modalità operativa per la diffusione della propaganda jhiadista, con
l’utilizzo di piattaforme social diverse dai principali canali di comunicazione online, trova
fondamento nel costante incremento delle azioni di contrasto e rimozione dei contenuti il-
leciti presenti sulle proprio piattaforme da parte dei maggiori fornitori di servizi Internet (tra
i quali, Facebook, Google, Twitter, Telegram, etc.), sia per le particolari attività di contrasto
54
attuate dal law enforcement.

Ed invero, la costante, seppur leggera, diminuzione del numero dei siti ed account ricondu-
cibili alla propaganda jihadista trova fondamento nel significativo lavoro di contrasto svolto,
con il coordinamento di Europol, dai punti di contatto nazionale dell’Internet Referral Unit
(IRU), tra i quali proprio il Servizio Polizia Postale e delle Comunicazioni, che nel corso
degli ultimi “Action Day” ha determinato un massiccio “take down” di migliaia di gruppi,
canali ed account responsabili della pubblicazione di propaganda jihadista.
Appare evidente, dunque, come il carattere transnazionale delle operazioni di contrasto
appena descritte, sia per la natura internazionale del fenomeno che per la stessa struttura
della rete, comporti un’imprescindibile attivazione di strumenti di cooperazione sovranazio-
nale che possano apportare un indiscusso valore aggiunto alle attività di prevenzione messe
in atto dalle diverse Forze di Polizia nazionali.
Oltre alle suindicate attività sia preventive, sia di Polizia Giudiziaria connesse al terrorismo
di matrice jihadista, la Polizia Postale e delle Comunicazioni continua a registrare nel corso
degli ultimi anni il costante incremento di gruppi, forum e discussioni per la propaganda
online di ideologie legate all’estremismo razzista e xenofobo.
In tale ambito, sulla scia di sangue determinata dai numerosi episodi terroristici che si sono
susseguiti in tutto il mondo a partire dalla nota strage di Christchurch – avvenuta il 15 mar-
zo 2019 – è stato possibile assistere ad una vera e propria evoluzione della minaccia che ha
coinvolto la popolazione “virtuale” di tutto il globo.
In particolare, nell’ambito dei fenomeni specificatamente neofascisti e neonazisti ricondu-
cibili al mondo virtuale, il web rappresenta uno strumento strategico per la diffusione della
propaganda delle ideologie estremiste e violente, nonché per il reclutamento di nuovi adep-
ti, il finanziamento, lo scambio di comunicazioni riservate nella pianificazione delle azioni
dimostrative e di rivendicazione delle stesse.
L’indottrinamento ed il reclutamento, come nel caso del radicalismo jihadista, avvengono
sempre sulla rete, attraverso una graduale autoformazione che inizia con la visualizzazione
di contenuti diffusi soprattutto nelle board “riservate”, diverse dai principali social network.
La digitalizzazione delle tecnologie dell’informazione e della comunicazione ha permesso
all’antisemitismo 2.0 di riprodursi in modo rapido e multimediale: contenuti contro gli ebrei
si trovano sia negli spazi web a matrice antisemita che in siti e social network generalisti,
dove vengono pubblicati e condivisi commenti radicalmente connotati, senza registrare l’in-
tervento dei moderatori.
La radicalizzazione verbale e l’abbassamento della soglia di percezione dell’illegalità si evi-
denzia attraverso il linguaggio, la carica di violenza, il sarcasmo razzista. In tale ambiente
digitale, la promozione delle teorie cospirative, la demonizzazione degli ebrei/sionisti e dello
stato ebraico e l’uso degli ebrei/sionisti come capro espiatorio possono sfociare su azioni
violente contro gli ebrei.
Proprio al fine di contrastare la diffusione dal web di contenuti terroristici online legati
all’estremismo di destra, lo scorso 27 maggio 2021, l’Unità EU-IRU di Europol ha promos-
so un Referral Action Day con l’obiettivo di rimuovere dai Social Network, siti web, blog,
©
Clusit 2021 55
forum etc., materiale online riportante loghi di gruppi, manifesti, manuali, tutorial, media
file prodotti e disseminati da organizzazioni di estrema destra, ovvero relativo a precedenti
attacchi terroristici connotati dalla medesima ideologia.
Nel dettaglio, all’esito dei lavori ai quali hanno partecipato operatori della Specialità e ope-
ratori di polizia di altri 27 Stati, sono state segnalate 1038 URL ai Provider al fine di ot-
tenerne l’oscuramento; in particolare, l’Italia ha segnalato 77 URL tra cui profili social di
Facebook, Twitter e VKontacte, nonché una serie di account e canali Telegram.
Inoltre, la grave emergenza socio-sanitaria, tuttora in corso, accompagnata dalle restrizioni
introdotte dai decreti governativi per contrastare la diffusione del virus Covid-19, ha deter-
minato negli ultimi mesi un’intensa attività sia di controinformazione, sia di incitamento ad
azioni di protesta.
La costante attività di monitoraggio del web svolta dal personale del Polizia Postale ha per-
messo di riscontrare il considerevole aumento di canali e gruppi all’interno delle varie piat-
taforme di comunicazione online nei quali sono stati pubblicati numerosissimi commenti
da cui emergeva la volontà di reagire alle decisioni governative attraverso vere e proprie
azioni di piazza, anche violente.
Ed invero, tra le fattispecie illecite che hanno fatto registrare un considerevole incremento
c’è sicuramente la diffusione di fake news (notizie destituite di fondamento relative a fatti od
argomenti di pubblico interesse, elaborate al solo fine di condizionare l’opinione pubblica,
orientandone tendenziosamente il pensiero e le scelte) con le quali vengono prospettati
rimedi fraudolenti per il contenimento del contagio, nonché vere e proprie “teorie del com-
plotto” volte a destabilizzare l’ordine democratico ed indirizzare i sentimenti di rabbia nei
confronti di determinate “categorie sociali”.
Appare evidente, inoltre, come i problemi economici e sanitari causati dall’emergenza coro-
navirus siano stati strumentalizzati da numerosi esponenti dei movimenti della c.d. ultrade-
stra, per alimentare la disinformazione ed organizzare l’imminente “chiamata alle armi per
reagire al caos globale” attraverso azioni di violenza eversiva.
Infine, si evidenzia come le misure di contenimento sanitario adottate per contrasto all’at-
tuale pandemia mondiale abbiano determinato il considerevole aumento di tutti quegli stru-
menti di comunicazione che possano garantire il cd. “distanziamento sociale”. Pertanto,
numerosi convegni ed eventi pubblici sono stati svolti attraverso il ricorso a piattaforme di
videconferenza online, mediante la pubblicazione del link di accesso all’interno di varie pa-
gine social per assicurarne la massima partecipazione in forma “aperta”, spesso anche senza
la predisposizione di password di sicurezza.
Proprio l’assenza di adeguati strumenti di sicurezza ha determinato il diffondersi del feno-
meno digitale chiamato zoom bombing, che prevede l’irruzione virtuale nella videoconferen-
za, con la successiva diffusione di immagini a sfondo sessuale, ovvero con insulti sessisti o
di natura razziale.
56
In tale contesto, dunque, la Polizia Postale ha monitorato centinaia di chat “riservate” in cui
venivano diffuse le credenziali di accesso alle videoconferenze, ed ha identificato e deferito
alla competente Autorità Giudiziaria i soggetti responsabili di tali accessi abusivi, ovvero
autori della diffusione di messaggi di incitamento all’odio razziale.
Financial cybercrime
Così come già riscontrato nel corso del 2020, anche nel corrente anno è stato possibile
constatare come il Financial Cyber Crime nello scenario globale del cybercrime ha ormai da
tempo superato i livelli di guardia, rappresentando oggi una delle principali - se non, ormai,
la principale - minaccia alla tenuta della struttura e del sistema economico del Paese.
Negli ultimi anni, a livello mondiale, si è riscontrato un aumento esponenziale di attacchi
cibernetici, che si risolvono in violazioni di spazi e dei sistemi informatici appartenenti a
Istituzioni, imprese e singoli cittadini. Detti attacchi sono ispirati da motivazioni ancora in
larghissima parte riconducibili ad una matrice criminale, comune ed organizzata, e sono
dettati da assolute finalità economiche, sebbene degni di assoluto rilievo - specie dal punto
di vista qualitativo – siano oggi gli attacchi ispirati da motivazioni di guerra cibernetica (cy-
ber warfare) a matrice statuale, nonché gli attacchi mossi da ragioni di attivismo ideologico
(cyber hacktivism) o peggio ancora, ispirati da matrici fondamentaliste e da scopi terroristici
(cyber terrorism).
Qualsivoglia attività umana, e dunque, nel suo risvolto patologico, ogni attività criminale,
con consequenziale attivazione preventivo/repressiva da parte delle forze di polizia, assume
oggi profili “cibernetici”, e richiede, pertanto, un’azione di contrasto sempre più specializza-
ta in grado di contenere, nei suoi diversi livelli di complessità, la minaccia in corso.
Il momento attuale è, peraltro, segnato dalla definitiva presa di coscienza circa l’ingresso
delle grandi organizzazioni criminali transnazionali, come pure le principali mafie nazionali,
nel crimine informatico, in considerazione delle enormi potenzialità che la rete esprime in
ogni senso, anche in termini di realizzazione e moltiplicazione di profitti illeciti.
In tale scenario, è proprio il dato, l’informazione, a costituire il profitto più pregiato e l’o-
biettivo più ambito delle massive campagne di phishing, rivolte soprattutto ai danni delle
aziende che costituiscono l’ossatura del sistema paese.
I dati, in forma semplice, strutturata o aggregata, vengono massivamente carpiti, in seguito
esfiltrati ed infine utilizzati per la realizzazione di finalità illecite eterogenee (conseguire o
riciclare i profitti di reato da parte delle organizzazioni criminali - anche transnazionali ed
a carattere mafioso).
Il settore degli attacchi alle Aziende italiane rientrano negli ambiti che destano oggi mag-
giore preoccupazione.
Si tratta di attacchi sistemici, sempre più sofisticati ed avanzati, diretti ad un ampio spettro
di obiettivi: dalle pubbliche amministrazioni del paese (ivi comprese la sanità, la scuola, la
giustizia, la sicurezza) alle grandi imprese, spesso erogatrici di servizi pubblici essenziali,
dalle PMI sino ai singoli utenti.
©
Clusit 2021 57
Quando sono diretti a colpire i sistemi strategici istituzionali ed aziendali, gli attacchi ven-
gono realizzati da hacker esperti con l’impiego di tecniche e virus informatici sofisticati,
strategie di social engineering, di spionaggio e di cyber-profiling della vittima, che consento-
no alle organizzazioni criminali di penetrare nel DNA di aziende e istituzioni, violandone i
segreti più sensibili, ed accumulando così un patrimonio di informazioni successivamente
sfruttato per portare a termine un vasto novero di reati, tra i quali figurano senz’altro frodi
informatiche e cyber-estorsioni, oggi sempre più mirate ed invasive.
Si assiste oggi alla diffusione capillare, specie nel c.d. Darkweb, di software e strumenti,
dal sempre più agevole utilizzo, appositamente studiati per la violazione di reti e sistemi
(hacking) o per la violazione della sfera della riservatezza individuale e aziendale (softwa-
re-spia e strumenti di intercettazione illegale). A ciò si accompagna un netto aumento del
fenomeno del c.d. “crime as a service”, prassi attraverso la quale possono essere commissio-
nate sul web prestazioni criminali di vario genere.
Molti, in questo scenario criminoso, sono gli ostacoli all’attività investigativa, essendo per
contro numerosissimi gli strumenti di manipolazione delle tracce informatiche (sistemi di
anonimizzazione della navigazione) e delle tracce finanziarie (account e strumenti finanziari
esteri, non intestati o falsamente intestati a corrieri di denaro, i c.d. money mules o l’utiliz-
zo di cryptovalute non tracciabili), oggi accessibili ai grandi sodalizi come alla criminalità
comune.
A complicare notevolmente il quadro, vi è poi l’elemento della costante transnazionalità del-
le condotte illecite che caratterizza ormai l’intero panorama dei reati commessi attraverso
le nuove tecnologie. In tal senso, l’effettività della risposta preventivo/investigativa risente,
come noto in maniera assai incisiva, della disomogeneità dei sistemi legislativi nazionali,
soprattutto in tema di regole per l’acquisizione della prova digitale ed in materia di data
retention.
Allo stato attuale, tanto i provider di contenuti (in possesso di informazioni preziose circa
gli indirizzi IP delle connessioni ai loro server), quanto i provider di servizi di connettività (in
possesso di dati imprescindibili per l’identificazione dei soggetti a cui ricondurre le medesi-
me connessioni), sono sottoposti ad apparati regolatori assai diversificati e sono autori a loro
volta di regole di policy aziendale assai eterogenee, al punto che non sempre risulta possibile
(nonostante l’efficienza dei modelli di cooperazione internazionale, giudiziaria e di polizia)
ottenere evidenze investigative da parte delle Agenzie di law enforcement, soprattutto se
riconducibili ad un Paese diverso rispetto a quello di appartenenza del Provider interessato.
Di seguito le principali operazioni di polizia giudiziaria realizzate nell’azione di contrasto ai

richiamati fenomeni delittuosi.
Operazione “Black out”

Il Servizio Polizia Postale e delle Comunicazioni ha coordinato l’esecuzione, su tutto il
territorio nazionale di 45 provvedimenti di perquisizione locale personale ed informatica
a carico di partecipi ad un’associazione criminale dedita alla vendita di abbonamenti per
58
lo streaming di canali ad accesso condizionato in violazione della normativa penale sul

diritto d’autore.
Nel corso dell’investigazione, il Compartimento Polizia Postale e delle Comunicazioni per
la Sicilia Orientale di Catania, diretto dalla locale Procura della Repubblica, è riuscito ad
individuare una serie di centrali di distribuzione del segnale pirata dislocate in particolare
in Sicilia, Puglia e nelle Marche.
I personaggi coinvolti riuscivano a dirottare il segnale digitale proveniente da una serie di
abbonamenti legittimi ad una struttura informatica che assicurava la successiva distribu-
zione dello stesso a diverse migliaia di utenti, creando così una immensa rete illegale di
“abbonati pirata”.
Preme segnalare che fra i soggetti nei confronti dei quali sono stati eseguiti i provvedi-
menti di perquisizione vi erano un dipendente della Marina Militare, un dipendente del
Ministero della Difesa ed un Consigliere Comunale del Comune di Lampedusa e Linosa.
“Internet Assassins”
Nel febbraio 2021 il Servizio Polizia Postale e delle Comunicazioni è stato ingaggiato dal
Servizio di Cooperazione Internazionale di Polizia, in seguito ad una segnalazione del
collaterale tedesco che informava di conversazioni aventi ad oggetto la consumazione
di lesioni gravissime su commissione.
In particolare all’interno del Dark web, nel sito “Internet Assassins”, un cliente sconosciu-
to chiedeva che una persona residente in Italia venisse gravemente ferita, provvedendo
al pagamento in moneta elettronica per la prestazione richiesta. Nelle conversazioni con
l’intermediario, l’uomo richiedeva esplicitamente la lesione della schiena della vittima
con il fine di lasciarla paralizzata e lo sfiguramento del volto con l’acido. Le transazioni
effettuate verso diversi Wallet btc avevano un valore di circa 11.700 USD. Nelle con-
versazioni venivano comunicati i dati della potenziale vittima, una cittadina romana, tale
B.L. di anni 27, della quale veniva fornito anche il profilo personale sulla piattaforma
Facebook.
La donna, rintracciata presso la propria abitazione da parte del personale della Squadra
Mobile della Questura di Roma, riferiva in un primo momento di non avere sospetti su
alcuno, Ciò nonostante, gli approfondimenti compiuti hanno permesso di riscontrare
atteggiamenti molesti ed ossessivi posti in essere da un uomo con il quale la donna aveva
intrattenuto una relazione sentimentale fino al luglio 2020. L’uomo è risultato essere im-
piegato nella stessa azienda della ragazza in una posizione gerarchicamente sovraordinata.
A fronte della situazione ricostruita, il personale del Servizio Polizia Postale procedeva
all’analisi del traffico della moneta elettronica, individuando il wallet di origine, radicato
presso una società italiana di Exchange. L’intestatario è, in effetti, risultato essere l’ex
fidanzato della potenziale vittima, un uomo di anni 38, residente a Roma. Approfonditi
accertamenti OSINT, consentivano di confermare la collocazione lavorativa del soggetto
attenzionato e i legami con la potenziale vittima, presenti sulle piattaforme social, ove i
due erano in contatto.
©
Clusit 2021 59
A fronte degli importati riscontri emersi, l’A.G. emetteva in urgenza un ordine di custodia
cautelare in carcere a carico dell’uomo, al fine di scongiurare il pericolo nel quel versava
la vittima. I wallet destinatari dei pagamenti sono stati localizzati in Romania e in Cina.
Sono attualmente in corso le attività finalizzate ad individuare i destinatari del denaro
inviato per commissionare il delitto.
Operazione “Numero Verde”

Gli specialisti del Servizio Polizia Postale e delle Comunicazioni e del Compartimento di
Napoli hanno condotto una complessa e articolata attività investigativa, coordinata dalla
Procura della Repubblica presso il Tribunale di Torre Annunziata, finalizzata al contrasto
dei crimini finanziari in danno di ignari correntisti bancari, che ha visto coinvolti anche il
locale Commissariato di PS e la Sezione di PG presso la citata Procura.
I responsabili delle condotte criminose, risultati appartenere ad un sodalizio criminale
sedente sul territorio di Torre del Greco operante su tutto il territorio nazionale, si dedica-
vano al phishing bancario di ultima generazione i cui proventi venivano monetizzati presso
sportelli ATM della città metropolitana di Napoli.
L’indagine è stata avviata a seguito di un controllo operato su strada nei confronti di un
indagato trovato in possesso di un gioiello di valore, acquistato online con i proventi di
una frode: quella che apparentemente poteva sembrare una semplice truffa, fin dai primi
accertamenti effettuati, ha permesso di documentare complessi risvolti delittuosi.
Riscostruito il modus operandi degli indagati, all’esito anche di approfonditi accertamenti
tecnici svolti dagli specialisti, si è delineato uno scenario estremamente esteso del feno-
meno, che ha consentito, tra l’altro, di individuare diverse vittime sull’intero territorio
nazionale. I truffatori, attraverso una stabile organizzazione, riuscivano a procurarsi liste
di numeri telefonici di ignari destinatari della frode online-phishing, per poi inviare agli
stessi sms fraudolenti (cd. smishing), ai quali facevano seguito telefonate effettuate da fal-
si operatori bancari, con chiamate provenienti apparentemente dal numero verde/servizi
bancari. I criminali riuscivano così ad ottenere le credenziali di accesso ai conti correnti
che subito dopo provvedevano a svuotare.
La frode veniva completata attraverso i complici che procedevano agli incassi fraudolenti
con ingenti prelievi di somme di denaro presso ATM abilitati con modalità cardless.
Al termine delle attività investigative, l’A.G. procedente ha emesso una ordinanza di cu-
stodia cautelare in carcere nei confronti dei sette appartenenti all’associazione criminale,
tutti residenti a Torre del Greco, gravemente indiziati dei reati di frode informatica e di
associazione per delinquere finalizzata alla commissione di tali frodi. Le frodi accertate
sono state 92 frodi per un importo del danno complessivo cagionato alle vittime identi-
ficate pari ad euro 94.700,00, tutti sottoposti a sequestro preventivo in attesa degli esiti
dibattimentali.
Operazione “Fontana Almabahia”

Nell’ambito di una complessa attività investigativa di respiro internazionale, personale del
60
Servizio Polizia Postale e delle Comunicazioni e del Compartimento per la Puglia, unita-
mente alla Polizia Spagnola, ha concluso un’operazione di Polizia denominata “FONTA-
NA-ALMABAHÍA”.
L’indagine, coordinata per la magistratura spagnola dal Giudice istruttore di Arona e per
l’Italia dalla Procura della Repubblica presso il Tribunale di Bari, è stata supportata a li-
vello internazionale, dalle Agenzie europee Eurojust ed Europol. Quest’ultima, in partico-
lare, ha partecipato attivamente inviando personale per il coordinamento internazionale
nelle località dove sono stati eseguiti gli arresti.
L’operazione di polizia ha colpito in particolare gli appartenenti ad un sodalizio criminale
composto prevalentemente da cittadini italiani di stanza alle isole Canarie, in particolare
nel sud di Tenerife, dedito alle frodi on-line e al riciclaggio di denaro. Gli accertamenti
svolti dagli investigatori italiani e spagnoli, hanno consentito di ricostruire l’intera strut-
tura piramidale dell’organizzazione criminale composta da oltre 150 membri e di svelare
il complesso sistema di frode e di cyber-riciclaggio.
Il sodalizio, avvalendosi di hacker specializzati in attacchi di phishing e vhishing di ultima
generazione e nell’uso di tecniche di ingegneria sociale, riusciva ad impossessarsi dei
codici dispositivi dell’home banking di vittime in prevalenza italiane ma anche spagnole,
inglesi, tedesche e irlandesi, disponendo bonifici bancari per migliaia di euro in favore di
conti correnti spagnoli intestati a “muli” riciclatori, anchessi di nazionalità italiana, reclu-
tati all’occorrenza e residenti in Spagna.
Le somme sottratte venivano in seguito riciclate attraverso l’acquisto di criptovaluta o
reinvestite in ulteriori attività criminali, quali prostituzione, produzione e traffico di dro-
ga, traffico di armi, per un giro di affari di oltre 10 milioni di euro solo nell’ultimo anno.
Gli investigatori italiani, in collaborazione con gli omologhi in territorio spagnolo hanno
partecipato, nell’ambito della vasta operazione conclusiva, alla cattura e all’arresto di 16
pluripregiudicati per truffa, frode informatica, ricettazione, stupefacenti e rapina, per-
sonalità di spicco del sodalizio criminale residenti su territorio iberico ed al sequestro di
118 conti correnti bancari utilizzati per il riciclaggio. Contemporaneamente in Italia, a
Torino ed Isernia, sono state eseguite due ordinanze di custodia cautelare in carcere in
esecuzione di altrettanti mandati di arresto europei emessi dalla magistratura spagnola,
nei confronti dei vertici dell’articolazione criminale italo spagnola.
Frodi e truffe online – L’attività di contrasto

È stata intensificata l’azione di contrasto alle frodi e alle truffe online, agevolate dall’emer-
genza sanitaria che ha determinato una crescita nel settore dei c.d. market place.
In tale contesto delittuoso, un fenomeno in forte espansione è quello delle truffe del trading
online; già dallo scorso anno si è evidenziata una decisa crescita delle denunce e un coin-
volgimento di vittime non più circoscritto a soggetti vulnerabili come gli anziani, ma esteso
a diverse tipologie di “investitori”, segno della sempre maggiore capacità organizzativa della
struttura criminale, ramificata all’estero e connotata dai consueti meccanismi delle tecni-
che di riciclaggio del denaro.
©
Clusit 2021 61
Nel corso del periodo in esame, è stata ulteriormente implementata l’attività di contrasto a
queste condotte delittuose con 520 casi trattati, investigati tramite i più moderni strumen-
ti normativi di cooperazione internazionale sia in ambito giudiziario, attraverso l’Agenzia
dell’Unione europea per la cooperazione giudiziaria penale (Eurojust), e in ambito di polizia
attraverso l’Agenzia dell’Unione europea per la cooperazione nell’attività di contrasto (Eu-
ropol).
TIPO 2020 2021 INCREMENTO %

Numero di Frodi di interesse internazionale in danno
di grandi e medio imprese investigate dalla Polizia
Postale e delle Comunicazioni con l’ausilio della 43 73 70%
piattaforma F.I.S.A. – Financial Investigation Smart
Analysis
Casi trattati sul territorio nazionale 6675 7.329 10%
Persone Indagate nel territorio nazionale 344 437 27%
Commissariato di P.S. Online

Per consentire agli utenti del web di avere delle risposte in tempo reale su ciò che accade
nella rete ed evitare loro di cadere nelle tante insidie della navigazione in Internet, è attivo,
ormai da anni, il Commissariato di P.S. Online, portale della Polizia di Stato (raggiungibile
attraverso la url www.commissariatodips.it) gestito da investigatori, tecnici ed esperti del
settore che garantiscono un servizio attivo in materie giuridiche e sociali, che è divenuto nel
corso del tempo il punto di riferimento specializzato per chi cerca informazioni, consigli,
suggerimenti di carattere generale, o vuole scaricare modulistica e fare segnalazioni.
Uno strumento agevole che consente al cittadino, da casa, dal posto di lavoro o da qualsi-
asi luogo si desideri, di accedere al sito web dedicato ed usufruire dei medesimi servizi di
segnalazione, informazione e collaborazione che la Polizia Postale e delle Comunicazioni
quotidianamente offre agli utenti e che ha mostrato in maniera ancora più evidente la
sua efficacia nel periodo connesso all’emergenza pandemica da Covid-19, fornendo una
pronta risposta all’accresciuto bisogno dei cittadini di strumenti idonei a garantire rapidi ed
efficaci riferimenti istituzionali a cui poter indirizzare le proprie segnalazioni e le proprie
preoccupazioni e da cui poter apprendere le informazioni utili a prevenire il consumarsi di
condotte delittuose.
In tale direzione è proseguita anche, nel corso del primo semestre 2021, l’attività costante
di contrasto al fenomeno della disinformazione, agevolato dalla diffusione delle cd. fake
news e sovente caratterizzato da un potenziale impatto negativo sulla salute pubblica e sulla
corretta ed efficace comunicazione istituzionale - che aveva visto un crescente proliferare
nel 2020 -, attraverso la predisposizione e diffusione di specifici alert, funzionali alla veico-
lazione delle corrette informazioni.
62
Il progressivo innalzamento del livello di interazione con i cittadini è confortato dai dati
statistici. Nel primo semestre 2021 il Commissariato di P.S. Online ha ricevuto 54.634
segnalazioni, quasi il doppio (+ 92%) di quelle acquisite nell’analogo periodo dell’anno
precedente, che erano 28.457.
La popolarità del sito è confermata anche dal numero degli accessi che sono stati nel perio-
do di riferimento oltre 32.500.000.
Campagne preventive di sensibilizzazione

Un’efficace attività di contrasto alle diverse fenomenologie delittuose presenti in rete, che
ineriscono i diversi ambiti del vivere quotidiano dei cittadini, con particolare attenzione nei
confronti delle fasce più deboli quali i minori e gli adolescenti, non può prescindere da una
intensa opera di comunicazione ed “educazione al digitale” ai fini di un uso corretto della
rete, quale efficace strumento di prevenzione e tutela delle potenziali vittime dai rischi e
dalle insidie del web.
Nell’ambito delle progettualità funzionali alla prevenzione dei rischi e pericoli connessi
all’utilizzo della rete, la Polizia Postale e delle Comunicazioni è costantemente attiva in di-
verse campagne educative rivolte soprattutto alle giovani generazioni che, nell’ultimo perio-
do, in relazione alle misure di contenimento dell’emergenza epidemiologica da COVID-19
e parallelamente allo svolgimento delle lezioni attraverso la modalità della didattica a di-
stanza presso le scuole di ogni ordine e grado, sono state portate avanti anche con incontri
in videoconferenza, riscuotendo consensi e partecipazione da parte di alunni, genitori e
insegnanti.
È il caso della 8^ edizione di “Una vita da Social”, tra le iniziative più tradizionali e signi-
ficative realizzate in tale ottica, grazie alla quale nel corso dell’anno 2020 sono stati incon-
trati oltre 134.000 studenti, 7.000 genitori, 9.000 docenti, per un totale di 1.240 istituti
scolastici (per i quali è stata messa a disposizione anche un’email dedicata: progettoscuola.
poliziapostale@poliziadistato.it). In relazione al ritorno in presenza dei ragazzi in aula, si può
ipotizzare per la nuova edizione, la possibilità di poter tornare ad organizzare nuovamente
incontri de visu con la platea scolastica, ripristinando almeno in parte la caratteristica di
campagna itinerante del progetto.
Nel primo semestre del 2021, l’impegno profuso nei confronti della prevenzione di ogni
forma di prevaricazione in danno dei minori è proseguito con costanza e dedizione anche
nei confronti di un fenomeno che desta grande allarme sociale, come quello del cyber-
bullismo. Una coinvolgente campagna realizzata periodicamente in tale prospettiva dalla
Polizia Postale e delle Comunicazioni è il format teatrale #cuoriconnessi dedicato agli
studenti delle scuole, con il quale, attraverso uno spettacolo in cui il conduttore concentra
l’attenzione del pubblico sull’importanza delle parole in tutte le sue sfumature, con filmati,
letture, musiche e testimonianze dirette, vengono forniti agli spettatori informazioni utili
alla corretta navigazione in rete, volte anche a stimolare nei ragazzi una sempre maggiore
©
Clusit 2021 63
consapevolezza della gravità delle azioni prodotte on line, in relazione all’impatto prodotto
nella vita dei loro coetanei.
Per l’anno 2021, la 5^ edizione della citata manifestazione è stata realizzata in data 9 feb-
braio, in occasione del Safer Internet Day, giornata mondiale per la sicurezza in Rete, con
un grande evento on line, durante il quale la Polizia di Stato si è collegata, attraverso una
piattaforma dedicata, con oltre 200 mila studenti di 3 mila scuole italiane.
Per chi ogni giorno si confronta con i più giovani, è stato pensato e realizzato, con il contri-
buto scientifico della Società Italiana di Pediatria, il progetto “In rete con i ragazzi: gui-
da all’educazione digitale”, con l’obiettivo di supportare insegnanti, genitori, pediatri,
etc…, nel guidare i nativi digitali a un rapporto equilibrato con la Rete, al fine di prevenire
le possibili conseguenze negative sulla salute psicofisica e relazionale dei minori. A tale
scopo è stata realizzata una guida di facile consultazione che affronta i diversi aspetti utili a
favorire una navigazione sicura, uno strumento rapido e agevole per le figure di riferimento
dei ragazzi, spesso tecnicamente più competenti in ambito digitale rispetto agli adulti, ma
non per questo pienamente consapevoli dei possibili rischi di un uso non corretto della
Rete. Per il biennio 2020-2021, l’iniziativa prevede lo svolgimento di corsi di formazione, in
tutti i capoluoghi di regione, per circa 30.000 persone.
64
I cinque anni dell’Ufficio Protezione Dati della Direzione

Centrale Polizia Criminale.
Le questioni organizzative e le sinergie maturate tra data
protection e cyber security.
Di protezione dei dati personali e cyber security si è abbondantemente parlato e disciplinato

nell’ultimo lustro. Molto è stato fatto e il più delle volte lo si è fatto bene, sia nel pubblico
che nel privato, spesso ricorrendo e facendo propri concetti e approcci mutuati dai consoli-
dati dominii della sicurezza informatica e della sicurezza delle informazioni. Regolamenti e
Direttive europee hanno giocato un ruolo di primo piano nel promuovere questo fragoroso
passo in avanti nella cura dei dati e delle informazioni, siano essi rilevanti per la persona
fisica, per il business dell’organizzazione o per la tenuta dei servizi essenziali.
Nondimeno, come ci ricorda la saggezza popolare, la traduzione in pratica dei concetti teo-
rici è spesso più ardua di quanto non si possa in prima battuta ipotizzare.
Questo contributo al rapporto CLUSIT 2021, pertanto, non vuole aggiungere nuovi
schemi, modelli o metodologie a quanto già di valido è stato proposto o riproposto
dalla comunità tecnico-scientifica o giuridica di riferimento, piuttosto vuole presen-
tare la particolare – forse unica, per via del peculiare mandato istitutivo – esperienza
dell’Ufficio Protezione Dati della Direzione Centrale Polizia Criminale, esempio con-
creto di articolazione della cosa pubblica a cavallo tra data protection e information/
cyber security.
Per una sua fortunata coincidenza, l’Ufficio Protezione Dati della Direzione Centrale della
Polizia Criminale1 viene istituito nel 2015, quando già la dialettica legislativa che avrebbe
portato l’anno successivo alla pubblicazione del GDPR e della Direttiva Law Enforcement
era matura e pronta per la ventura svolta per quanto riguarda la concezione della protezione
delle persone fisiche con riguardo al trattamento dei loro dati personali.
Tale concomitanza ha permesso all’Ufficio, per quanto il suo mandato istitutivo non potesse
far riferimento a quanto solo a breve sarebbe stato normato per il responsabile della prote-
zione dei dati, di orientare la propria azione verso quelle funzioni che erano ormai ritenute
di prossima attuazione, affiancandole a delle attribuzioni – queste sì già presenti nell’atto
istitutivo – segnatamente di carattere tecnico e riflessive di un approccio alla materia non
meramente e monodimensionalmente legale/giuridico.
1 La Direzione Centrale della Polizia Criminale del Dipartimento della Pubblica Sicurezza, tra le altre attribuzioni, gestisce la raccolta e
l’elaborazione dei dati interforze in materia di tutela della sicurezza pubblica e di lotta alla criminalità per il tramite, all’oggi, di quattro
sistemi informativi: il cosiddetto CED interforze, il Sistema Informativo Schengen, la Banca Dati Nazionale del DNA e il recentissimo Si-
stema Informativo PNR. Questi sistemi, ben distinti per normativa di riferimento, tipologia di dati trattati ed infrastruttura tecnologica di
supporto, hanno come comune Titolare del trattamento il Dipartimento della Pubblica Sicurezza e vedono il medesimo DPO incaricato.
©
Clusit 2021 65
L’evoluzione e l’esperienza dell’Ufficio Protezione Dati pertanto, avendo vissuto e, per certi
versi, anticipato alcuni orientamenti cardine nella materia quali la continua contaminazione
tra data protection e cyber security e la consapevolezza della necessità di un ruolo proattivo
per la funzione rappresentata, può ben servire da esempio per un percorso di crescita e
strutturazione di analoghe articolazioni tanto nel settore privato quanto soprattutto nelle
amministrazioni pubbliche.
In effetti, la letteratura di settore e i siti specializzati non mancano di numerosi e chiarissi-

mi contributi teorici su come attuare le diverse mansioni del data protection officer (DPO)
della correlata data protection function (o data protection office), ma manca ancora, forse,
una determinata e concreta esperienza sul come traguardare un orientamento ben definito
che inquadri queste funzioni nel corretto bilanciamento interdisciplinare tra aspetti legali
o giuridici (che nel 99% dei casi, nel pubblico e nel privato, rappresentano l’unico dominio
nel quale nasce, si sviluppa e muore la gestione della protezione dei dati personali) e aspetti
più approfonditamente tecnologici.
Se è vero che i compiti del DPO sono chiaramente indicati nelle norme e se esistono tanti
approfondimenti al riguardo, ivi compresi corsi di certificazione di diversi genere e natura, è
altresì vero che poco si è detto su alcuni aspetti fondamentali: come dimensionare il proprio
staff, come mapparne i processi in maniera efficiente ed efficace, come relazionarsi con le
altre strutture organizzative che hanno in carico la protezione “operativa” dei dati.
Quindi, ponendo la questione in termini più tecnici: come costituire un data protection
office di supporto al Data Protection Officer che, a sua volta, operi in armonia con la cyber
security dell’organizzazione.
Peraltro, se soluzioni concrete circa questo, possiamo dire, “orientamento operativo e cul-
turale” della funzione di data protection sono poche e preziose in generale, tanto più lo sono
nel contesto delle Pubbliche Amministrazioni, ove le risorse umane sono limitate e la crea-
zione di una nuova unità funzionale richiede, tipicamente, la ricollocazione di altre profes-
sionalità, dove non sempre esiste una ben delineata sezione o articolazione che sovrintenda
alla gestione operativa della sicurezza IT e dove, soprattutto, il Titolare del trattamento, in-
dividuato per legge nel vertice dell’Amministrazione, si trova a sovrintendere ad una grande
varietà di trattamenti diversi per estensione degli interessati, della normativa di riferimento,
della tipologia di dati trattati nonché per l’infrastruttura tecnologica di supporto.
In siffatto contesto, per quanto il principio di accountability inquadri nel titolare il motore
immobile dell’universo della data protection, il DPO e il suo ufficio dovranno giocoforza
saper trovare non solo un punto di equilibrio tra aspetti legali e approfondimenti cyber, ma
altresì trovare una via proattiva per non solo supportare ma, in qualche misura, indirizzare il
Titolare le cui prime e più importanti preoccupazioni saranno, con elevata verosimiglianza,
del tutto ortogonali alla data protection, peraltro da declinarsi su tanti trattamenti diversi.
66
L’organizzazione dei processi di supporto al DPO così come la visione sul come declinarne
le attribuzioni in un quadro che sappia tenere in dovuto conto l’ormai nota inscindibilità
della protezione dei dati personali dalla sicurezza cyber, sono temi cruciali e spesso poco
considerati in contesti pratici. Nondimeno, soprattutto per quei casi nei quali al DPO,
come detto, si richiede un ruolo proattivo di affiancamento costante al Titolare, esempi di
esperienze concrete possono portare interessanti spunti di crescita con i quali integrare la
letteratura e le buone prassi ivi raccomandate.
La posta in gioco, del resto, è molto alta. Se il DPO non saprà avere una vision ben definita
e non avrà di conseguenza ben strutturato i propri processi di ufficio, è molto probabile che
la data protection nell’Amministrazione Pubblica – ma, come detto, i medesimi concetti
valgono anche per il privato – si adagi molto presto, pur in contrasto con i principi ispiratori
dell’architettura GDPR/LED, in un comodo riparo di aderenza formale e documentale,
riducendosi pertanto ad una raffinata collezione di documentazione: un pittoresco castello
di carte.
In questo contributo pertanto, prendendo spunto dalla concreta e inevitabilmente miglio-

rabile esperienza dell’Ufficio Protezione Dati della Direzione Centrale della Polizia Crimi-
nale, primo caso di data protection office in ambito forze di polizia e tra i primi in assoluto in
ambito pubblico, si vuole rendere un’immagine del percorso seguito in questi 5 anni per far
nascere, rendere operativo in tempi brevissimi e far evolvere una realtà organica che, anche
con pochissime risorse, si è comunque strutturata per supportare le multiformi incomben-
ze del DPO in modo proattivo, concreto ed efficace. Nell’illustrare il percorso seguito e le
lezioni apprese lungo il cammino, verranno poste in evidenza le notevoli sinergie conseguite
con il dominio della cyber security.
In principio …
Lungi dal credere che prima del 2015 i dati interforze, conservati presso la Direzione Cen-
trale della Polizia Criminale fossero lasciati all’incuria; è bene rimarcare, anzi, che gli archivi
informatici di polizia esistono ancora da prima del 1981, anno della “smilitarizzazione” della
Polizia di Stato nonché momento in cui si istituisce il Centro Elaborazione Dati (CED
Interforze) del Ministero dell’Interno.2 Da allora molte nuove banche dati di polizia sono
nate e confluite o, a seconda dei casi, sono state “federate”, in quel primo CED che ha visto
rafforzare sempre più le modalità e i meccanismi di protezione dei dati ivi archiviati.
Nel 2005 un provvedimento spartiacque del Garante Privacy, organo di controllo per il
CED e non solo di garanzia per gli interessati dalle attività di trattamento dei dati, prescris-
se, tra le altre cose, di istituire un organismo interno, terzo rispetto al gestore delle banche
dati, che ricoprisse il ruolo di Security Manager.
2 Cfr. art. 8 della Legge 1 aprile 1981, n. 121
©
Clusit 2021 67
Ci vollero “solamente” due lustri per arrivare all’istituzione dell’Ufficio per la Sicurezza dei
Dati, che assolveva anche alle incombenze di Security Manager per le banche dati interfor-
ze, sia sul piano della “sicurezza fisica” che per quanto riguarda la “sicurezza logica”. La lun-
gimirante intuizione dell’Amministrazione, maturata nel corso dei lavori volti all’istituzione
dell’Ufficio, fu di ipotizzare già una forma ante litteram di Ufficio del DPO, ove le materie
dell’information security e della data protection fossero finalmente trattate in materia olistica
ed unitaria, riconoscendone la forte interrelazione, le implicazioni congiunte e i rischi po-
tenziali in un approccio del tutto dimentico delle stesse.
Dunque, un Ufficio del tutto nuovo, con compiti di indirizzo e controllo per quanto con-
cerne la protezione dei dati personali e la sicurezza delle banche dati. È bene rimarcare che
la sicurezza non era – non lo è tutt’ora – gestita da questo Ufficio, bensì dalle stesse unità
organizzative che gestiscono l’operatività delle banche dati interforze; tuttavia, l’Ufficio per
la Sicurezza dei Dati andava ad occupare lo spazio vuoto, mai presidiato, dell’audit interno
in materia di conformità alle norme di data protection e alla cyber security del data center.
Nel 2020 si è poi giunti ad una innovazione nel decreto istitutivo dell’Ufficio, ridenominato
Ufficio Protezione Dati. La nuova denominazione era più vicina alle definizioni normative
del 2016 e alla nuova funzione espressa – Responsabile della Protezione dei Dati (DPO) e
non più Security Manager – sebbene non meno distante, anzi ancor più vicina rispetto al
precedente mandato, ai compiti di indirizzo e controllo anche in materia di cyber security.
Prima di ragionare sul come è stato organizzato l’Ufficio, occorre innanzitutto comprender-
ne la filosofia.
Come anticipato, è parso in prima battuta fondamentale designare un Ufficio del DPO
in grado di supportare attivamente il Titolare, pur avendo cura di non incrinare il ruolo di
terzietà nelle attribuzioni di sorveglianza sull’osservanza dei dettati normativi. Del resto,
l’organizzazione gerarchica dell’Amministrazione della Pubblica Sicurezza non permetteva
una declinazione a 360 gradi delle richieste caratteristiche di indipendenza dal titolare. La
soluzione è stata pertanto quella di definire un Ufficio che, pur dipendendo gerarchicamen-
te dal medesimo vertice, fosse collocato in un rango dirigenziale equipollente con gli uffici
coinvolti nella gestione operativa dei sistemi informativi e che pertanto attuano nel concreto
gli indirizzi del Titolare.
La particolare posizione gerarchica selezionata ha permesso una piena declinazione tanto

di un approccio proattivo e di indirizzo, quanto di monitoraggio e controllo sull’applicazione
delle linee di indirizzo fornite come di tutte le norme e delle raccomandazioni tecniche
applicabili.
Onde evitare l’insorgere di indesiderati cortocircuiti, l’Ufficio Protezione Dati dispone e
organizza, in supporto al Titolare, quanto necessario ad assolvere alle attività strategiche o di
natura più specialistica (es. definire e guidare il processo di gestione del rischio), lasciando
68
gradi di libertà intorno alla loro finalizzazione (es. identificare e trattare i rischi) che sarà poi
oggetto della richiesta attività di monitoraggio e controllo.
In tal modo si ottiene un duplice risultato. Da un lato il DPO si assicura che tutte le atti-
vità fondamentali siano instradate e correttamente attivate e, al contempo, ha già chiara la
logica con la quale le stesse sono state progettate, così da poter attuare in maniera rapida
ed efficace i dovuti controlli.
Mutuando le fasi del ciclo di Deming, l’Ufficio Protezione Dati, fornendo supporto ed in-
dirizzo nella fase di PLAN, e astenendosi da quella di DO, mantiene indipendenza e in-
cisività nella fase di CHECK, di sua più precipua pertinenza. Il risultante sistema, oltre a
rappresentare un punto di stimolo verso la compliance alle norme di protezione dati pur nel
rispetto dei principi di indipendenza, integrando indirizzi congiunti di data protection e cyber
security si giova oltretutto di una visione di insieme e di un approccio orientato alla comple-
tezza che viceversa si sarebbero persi laddove l’indirizzo delle tematiche di protezione dei
dati personali e di sicurezza fossero state diluite in diversi Uffici.
Tale risultato è stato ottenuto attraverso una continua sinergia tra l’Ufficio Protezione Dati
– il DPO e il suo staff – ed il Titolare del trattamento per il tramite degli uffici che, ratione
materiae, sono coinvolti nella gestione della protezione dei dati personali quali, a titolo di
esempio, gli uffici IT, gli uffici giuridici, gli uffici acquisti o – per quanto attiene alla pubbli-
cizzazione dei diritti degli interessati – gli uffici di relazioni esterne.
Un tale approccio si è nel corso del tempo dimostrato ben adattato alla gestione di tutti i più
importanti adempimenti previsti dal GDPR/LED, dal registro delle attività di trattamento
all’analisi dei rischi di sicurezza delle informazioni, dalle modalità di pubblicizzazione dei
diritti e delle modalità di esercizio dei medesimi, alla cura dei rapporti con gli interessati,
dalla valutazione di impatto sulla protezione dei dati personali, alla gestione dei processi di
gestione degli incidenti e di notifica dei data breach. In tutti questi contesti, l’Ufficio Pro-
tezione Dati ha potuto fruttuosamente stabilire metodologie, predisporre schemi di lavoro
e promuovere strumenti e buone prassi, fermo restando il potere autorizzatorio del Titolare
che può ovviamente scegliere metodologie, schemi e strumenti di lavoro diversi.
Appurato quindi il perimetro e i limiti di un’accezione estesa del ruolo del DPO cablata sin
dalle origini nell’Ufficio Protezione Dati, si può ragionare sul come è stato dimensionato e
organizzato l’Ufficio e quali sinergie con il dominio della cyber security siano state conse-
guite.
È tutta questione di organizzazione

Quante risorse deve ragionevolmente attendersi un DPO? E come organizzarle? Osservia-
mo da vicino l’Ufficio Protezione Dati della Polizia Criminale.
A ragione della quasi endemica carenza di personale propria del comparto, l’Ufficio Pro-
tezione Dati, ha potuto contare su uno staff iniziale di supporto al DPO di soli tre profes-
sionisti; per quanto questa dotazione organica possa sembrare eccessivamente limitata per
©
Clusit 2021 69
l’estensione del dominio di competenza, comprendente tre – e poi quattro – infrastrutture

critiche con trattamenti di dati personali particolarmente sensibili e con constante condi-
visione internazionale delle informazioni, l’esperienza ha dimostrato come, predisponendo
con accuratezza i processi di ufficio e proiettando anche all’interno dell’ufficio il medesimo
approccio proattivo attuato nei rapporti con il Titolare del trattamento, tale organico possa
in prima battuta essere sufficiente ad indirizzare la gestione congiunta di protezione dei dati
personali e sicurezza cyber.
Ma andiamo con ordine.
Come noto, il ruolo del DPO vive di una forte multidisciplinarietà, essendo la data pro-
tection una materia che, pur di natura giuridica nella sua genesi più profonda, non può or-
mai prescindere da competenze (se non addirittura da un approccio complessivo ab origine)
proprie dell’ICT.
In quest’ottica, l’organizzazione interna dell’Ufficio Protezione Dati, è stata sin dalle origini
articolata in tre funzioni fondamentali:
1. Giuridica
2. Tecnologica
3. Verifiche.
Alla funzione giuridica è stato assegnato il compito di analizzare le normative, i regolamenti

e la giurisprudenza in tema di protezione dei dati personali e di sicurezza delle informa-
zioni, al fine di individuarne l’ambito di impatto, gli obblighi di conformità e supportare
l’individuazione delle misure organizzative, procedurali e tecnologiche che consentano di
raggiungere la conformità.
Parallelamente, attesa la caratteristica governativa dell’Ufficio, la stessa funzione concorre,
ove richiesto, alla stesura di decreti ministeriali o di altri atti di normazione di settore.
L’analisi e l’approfondimento continuo delle leggi applicabili così come di tutti gli atti di
indirizzo e prescrizione dell’Autorità garante per la protezione dei dati personali e delle altre
autorità internazionali competenti, rappresentano difatti il fondamento di ogni sistema di
gestione della protezione dei dati personali onde indirizzare gli adempimenti organizzativi,
procedurali e tecnologici atti ad assicurare la conformità normativa.
Ancora, la funzione legale ha avuto il compito di definire e supportare l’attuazione del pro-
cesso di information security compliance rispetto a tutte le normative e regolamenti rile-
vanti ed è stata coinvolta nella predisposizione delle attività di natura meno tecnica, quale
la stesura dei registri delle attività di trattamento, l’emanazione di pareri o raccomandazioni
intorno ai trattamenti in essere o la valutazione intorno alla necessità, legittimità e propor-
zionalità di nuovi trattamenti. Da ultimo, collabora con la funzione di Verifica nelle attività
di monitoraggio e controllo della conformità alle normative di settore o ai provvedimenti
dell’Autorità garante.
70
La funzione Tecnologica ha viceversa avuto il compito di curare quegli adempimenti di

natura più squisitamente tecnica oltre ad analizzare possibili soluzioni o adempimenti pro-
venienti dalle evoluzioni degli standard e dei codici di condotta. Ha provveduto, tra gli altri
risultati, a definire linee guida per la gestione della sicurezza delle informazioni, ha colla-
borato a definire e supportare lo sviluppo di una metodologia di analisi dei rischi coerente
con i sistemi di trattamento in essere ed intesse quotidiani rapporti con gli Uffici preposti
alla progettazione, acquisizione, sviluppo e implementazione dei sistemi di trattamento al
fine di assicurare il dovuto rispetto dei principi di data protection by design e by default.
Concorre con la funzione Legale nella traduzione in requisiti tecnici degli obblighi di con-
formità provenienti da leggi, regolamenti o provvedimenti dell’Authority, e con la funzione
di Verifica nella definizione di parametri prestazionali e metriche di verifica coerenti con
i sistemi di trattamento. Utilizzando la terminologia propria dell’information security, la
funzione tecnologica:
a) definisce e sviluppa il processo di gestione della sicurezza delle informazioni;

b) definisce il sistema della gestione della documentazione della sicurezza e la metodolo-
gia di analisi e gestione dei rischi;
c) definisce e sviluppa le politiche, le linee guida, i processi e le procedure di sicurezza
delle informazioni relativamente alla pianificazione, all’implementazione, alla gestione
ed al controllo delle infrastrutture tecnologiche di sicurezza logica;
d) sviluppa il piano della sicurezza e di continuità operativa delle banche dati;
e) effettua verifiche di sicurezza sulle banche dati;
f) individua i requisiti di sicurezza nelle fasi di progettazione, sviluppo, implementazione
ed esercizio delle soluzioni di sicurezza ICT;
g) promuove l’informazione in materia di sicurezza delle informazioni relativamente alle
politiche, alle linee guida, alle procedure ed alle misure di sicurezza tecnologiche;
h) analizza e promuove gli standard e le best practices di riferimento in materia di sicurez-
za delle informazioni.
Infine, alla funzione Verifiche sono state assegnati i compiti più propriamente di controllo
del DPO, ossia di verificare lo stato di avanzamento e l’attuazione dei vari adempimenti
previsti dalla norma, ivi compreso il processo di analisi e trattamento dei rischi di sicurezza
delle informazioni, di definire una metodologia per la valutazione di impatto sulla protezio-
ne dei dati personali e di provvedere alle fasi di post validazione della medesima, nonché
di monitorare le attività dei responsabili del trattamento secondo quanto stabilito nei data
protection agreement. La stessa funzione, sulla scorta di tali attribuzioni, svolge attività di
auditing di natura tecnica, quali ad esempio test periodici dell’intero ciclo di gestione delle
vulnerabilità dei sistemi, delle reti e delle applicazioni, di verifica intorno al rispetto di po-
litiche e procedure stabilite dal titolare e cura la progettazione di un insieme di parametri
prestazionali di sistema, riconosciuti quali indici di possibili anomalie nel trattamento.
©
Clusit 2021 71
Nell’organizzazione interna dell’Ufficio Protezione Dati, questa stessa funzione rappresen-

ta il punto di contatto con le autorità di riferimento in ambito nazionale e internazionale
per quanto attiene a possibili momenti di ispezione o valutazione e monitora i processi di
incident management necessari all’attivazione delle procedure di data breach. Utilizzando la
terminologia propria dell’information security, la funzione Verifiche:
a) verifica lo stato di avanzamento dell’attuazione del processo di gestione della sicurezza

delle informazioni;
b) effettuare audit di sicurezza sulle banche dati;
c) verifica l’applicazione della metodologia di analisi dei rischi;
d) verifica l’attuazione delle politiche, linee guida, processi e procedure di sicurezza;
e) verifica lo stato di avanzamento del piano della sicurezza;
f) verifica il livello di conformità rispetto ai requisiti normativi;
g) verifica la consistenza dei piani di continuità operativa ed il relativo adeguamento nel
tempo;
h) propone interventi di miglioramento a fronte delle risultanze degli esiti delle verifiche
condotte.
Congiuntamente le tre funzioni concorrono alla stesura e all’implementazione di iniziative

di formazione e sensibilizzazione del titolare e degli incaricati, ciascuna per i propri aspetti
di competenza.
Alcune delle attività elencate per le funzioni Tecnologia e Verifiche sono molto vicine a quanto
svolto dalle articolazioni preposte alla cyber security e agli audit interni. Come premesso, questo
può essere un buon compromesso per realtà medio-piccole. Ma, in linea del tutto generale, l’o-
biettivo del DPO non è quello di progettare, implementare e misurare la protezione dei dati e la
cyber security, bensì quello di fornire consiglio e impulso, anche non richiesto, a tutti i processi
dell’organizzazione che in qualche modo hanno impatto sui dati personali trattati.
Le attività delle tre funzioni hanno permesso all’Ufficio Protezione Dati da un lato di indi-
rizzare compiutamente gli adempimenti previsti dalla normativa di riferimento, fornendo un
utile ed efficace supporto al Titolare del trattamento, e dall’altro, a ragione della suddivisio-
ne interna dello staff, di assicurare la dovuta indipendenza e terzietà nelle fasi di controllo
e monitoraggio.
L’organizzazione proposta, oltretutto, si è dimostrata la migliore, a ragione delle competenze

e delle attribuzioni descritte, per affrontare in maniera sincretica tanto gli aspetti di data
protection quanto quelli di information security in un approccio a valore aggiunto che ot-
timizzi in una visione unitaria l’indirizzo e il controllo di entrambi tali ambiti e garantendo
l’opportuna armonizzazione dei punti di interazione.
72
L’Ufficio Protezione Dati, così organizzato da un punto di vista strutturale, vede a tutt’oggi
due unità di personale per ogni funzione, una di direzione ed una di supporto. Tale soluzio-
ne, per quanto estremamente parsimoniosa, abilita un potente valore aggiunto. Difatti, nel
garantire una completezza di azione pur con un numero limitato di risorse allocate, compa-
tibile con le carenze organiche della quasi totalità delle pubbliche amministrazioni nazio-
nali, induce altresì ad un approccio graduale nella costruzione dei sistemi di data protection
ove i singoli requisiti sono affrontati in maniera incrementale e concreta, deflazionando il
rischio di una inutile, dannosa e precipitosa rincorsa alla compliance.
Esaminati gli aspetti tecnico organizzativi, appare di interesse descrivere la soluzione im-
plementata per la realizzazione della funzione di punto di contatto per gli interessati dal
trattamento, attività ricompresa nel dominio della gestione della data protection. Tale attri-
buzione, in taluni casi espressamente prevista in capo al DPO – cfr. ad esempio il caso della
Direttiva (UE) 2016/681 – in altri desunta implicitamente, rappresenta in effetti uno dei
compiti più sfidanti e potenzialmente impattanti in termini di impiego di risorse.
Atteso l’elevato numero di richieste lavorate su base annua, dovuto tanto dalla varietà di
sistemi informativi presenti nel proprio perimetro di competenza, quanto all’estensione del-
la platea degli interessati dal trattamento, pressoché coincidente con l’intera popolazione
nazionale, nel caso concreto dei trattamenti sotto l’egida dell’Ufficio Protezione Dati si è
resa necessaria una organizzazione dei flussi di lavoro tale da non saturare l’ufficio del DPO
dando riscontro nei tempi dovuti agli interessati stessi.
La soluzione progettata dalla Direzione Centrale della Polizia Criminale al fine di rispon-
dere con efficienza a detti prerequisiti è stata quella di decentralizzare tale gestione tra
le sue varie articolazioni interne: gli Uffici con in carico la gestione di ciascun sistema
informativo recepiscono e danno riscontro alle richieste di accesso/integrazione/correzione/
cancellazione attinenti ai trattamenti di propria pertinenza, pur seguendo regole e politiche
comuni emanate dall’Ufficio Protezione Dati. Lo stesso Ufficio Protezione Dati sottopone
a monitoraggio e audit il funzionamento di tale processo, acquisendo periodici rapporti
statistici e svolgendo controlli a campione onde assicurarsi la corretta e puntuale gestione
delle pratiche ricevute.
Tale soluzione, nel ricondurre ad un unico centro di competenza l’emanazione di linee
guida e best practices e demandando la gestione di dettaglio delle operazioni a diverse arti-
colazioni, ciascuna dotata delle massime expertises per ogni specifico sistema di trattamento
di dati personali, ha permesso nel tempo alla Polizia Criminale di dare riscontro ai cittadini
con tempi certi e con uniformità rispetto ai diversi sistemi di trattamento.
Quali sinergie con la cyber security e perché

Partiamo dal presupposto che l’Ufficio Protezione dati della Direzione Centrale della Polizia
Criminale, pur non gestendo la security da un punto di vista operativo, ne ha curato fin dalla
sua istituzione tutte le problematiche di indirizzo e controllo, come ad esempio gli aspetti
di audit concernenti l’information security (riservatezza, integrità e accessibilità delle infor-
©
Clusit 2021 73
mazioni) e la data protection by design & by default che, inevitabilmente, va ad impattare il

ciclo di progettazione e sviluppo anche per gli aspetti di security.
Non a caso si parla anche di security by design/by default.
Vediamo le iniziative promosse dall’Ufficio e che ben si collocano anche nel campo della
security:
1. studio di fattibilità per la realizzazione del disaster recovery ex Linee guida AgID;
2. stesura del piano di continuità operativa ex Linee Guida AgID;
3. valutazione dello stato di implementazione delle Misure Minime di Sicurezza AgID;
4. definizione di una metodologia proprietaria e di uno strumento per l’analisi e la va-
lutazione del rischio alla sicurezza delle informazioni, ispirato dalla ISO 27005 [cfr.
Figura 1];
5. definizione di un processo di gestione del rischio, ispirato dalla ISO 27005;
6. definizione e attuazione di procedure di vulnerability assessment tecnico ai vari livelli
di esposizione dell’infrastruttura ICT;
7. definizione di cruscotti di monitoraggio e misurazione, nonché di governo e com-
pliance della protezione dati integrata alla cyber security [cfr. Figura 2];
8. organizzazione di eventi formativi, divulgativi o specialistici in tema di protezione dei
dati personali e sicurezza delle informazioni;
9. sponsorizzazione e gestione del progetto per la realizzazione di un Cyber Security
Operations Center (C-SOC) che, in modo coerente, integri le attività di monitorag-
gio 24/7 della sicurezza fisica e logica e sia armonico alla gestione del rischio, con
particolare riguardo al rischio di personal data breach; [cfr. Figura 3 e Figura 4]
10. svolgimento di migliaia di ore-uomo di formazione e qualificazione specialistica per
il personale interno all’Ufficio e per i suoi stakeholders.
Con particolare riguardo alle ultime tre iniziative elencate sembra opportuno fornire qual-
che elemento in più.
La formazione (e l’informazione) sulla materia della protezione dei dati personali, oltre ad
essere esplicito mandato normativo in capo al DPO per le persone autorizzate al trattamen-
to, pare ormai porsi quale un irrinunciabile imperativo categorico per la collettività in gene-
rale. Osserviamo, in diversi ambiti della società civile, una certa propensione a considerare
la data protection quale ennesima ingessatura burocratica piuttosto che come un diritto fon-
damentale dell’uomo. Se ciò accade, è anche per una ben chiara carenza culturale che inve-
ste la popolazione dal comune lavoratore fino al vertice d’azienda. In questo senso, soprat-
tutto chi opera nelle istituzioni è chiamato ad uno sforzo orientato al proiettare gli aspetti di
consapevolezza (la c.d. awareness in linguaggio anglofono o tecnico) al di fuori della propria
organizzazione. In tal contesto, l’Ufficio Protezione Dati, oltre a integrare la formazione
in tema data protection all’interno dei piani formativi della Polizia di Stato rivolti ad ogni
ordine e grado ha anche, nel corso del tempo, declinato diverse iniziative, partecipando ad
eventi e congressi pubblici e pubblicando articoli di informazione. Di particolare rilievo, in
74
questo contesto, l’organizzazione della VII edizione della Conferenza Internazionale EDEN
(Europol Data portection Expert Network), periodico evento dedicato ad approfondimenti,
condivisione e visioni per il futuro sul tema della protezione dei dati personali nel settore
law enforcement, curato in collaborazione con Europol e con l’Accademia Europea di Legge.
L’evento, che avrà luogo a Roma pressoché in concomitanza con il rilascio del presente rap-
porto, nato originariamente come un momento di confronto tra i DPO delle Forze di polizia
Europee, ha nel corso del tempo aperto ad altri settori della società, quali l’accademia, il
mondo forense e l’industria, rappresentando pertanto un momento di fecondissima conta-
minazione tra professionisti e cultori della materia appartenenti a settori di impiego diversi
e ciascuno con specifiche cifre di propria complessità.
Per quanto concerne il progetto del C-SOC, la cui missione è il monitoraggio e il migliora-
mento continui della sicurezza attraverso la prevenzione, la rilevazione, l’analisi e la risposta
agli incidenti di sicurezza informatica, tramite l’utilizzo sia di tecnologia che di processi, si
tratta di una iniziativa progettuale, beneficiaria del Fondo per la Sicurezza Interna 2014-
2020 nella componente “Police”, strumento finanziario dedicato alla gestione dei rischi
e delle crisi per la sicurezza interna. Il C-SOC realizza, a partire dal 2021, la capacità di
governare gli eventi cyber e lo “stato di salute” fisico e logico delle banche dati interforze.
Infine, l’iniziativa che più di tutte le altre ha fornito ritorno immediato a chi l’ha intrapresa
cioè la formazione del personale. Nello specifico caso dell’Ufficio Protezione Dati della Di-
rezione Centrale della Polizia Criminale il 50% del personale è stato formato e qualificato,
in cinque anni, secondo i seguenti schemi:
• Auditor/Lead Auditor Sistemi di Gestione della Sicurezza delle Informazioni ISO 27001;
• Auditor/Lead Auditor Sistemi di Gestione della Continuità Operativa ISO 22301;
• Auditor/Lead Auditor Sistemi di Gestione del Servizio ISO 20000-1;
• ICT Security Manager UNI 11506;
• ITIL Foundation;
• EC-Council Certified Ethical Hacker;
• EC-Council Certified Threat Intelligence Analyst;
• EC-Council Certified SOC Analyst;
• EC-Council Certified Incident Handler.
Dunque, emerge chiaramente come la funzione dell’Ufficio Protezione Dati sia stata, per
scelta, declinata secondo un punto di vista che è quello dell’information security e della
cyber security potenziando ciò che, per una pubblica e centenaria amministrazione – quale
è la Pubblica Sicurezza – era già sostanzialmente e fortemente presidiato ossia la macroarea
Legale. Non è un caso che tra i corsi seguiti dal personale non compaia alcuno specifico
schema di certificazione sulla data protection o sulla figura del DPO.
Del resto, alla seppur aggirabile difficoltà di trovare una certificazione adatta alla data pro-
tection ex LED invece che ex GDPR, vale la pena ricordare che la norma si limita a prescri-
©
Clusit 2021 75
vere, tra i compiti propri del DPO, quelli di informazione, vigilanza e consulenza in materia
di protezione dei dati personali.
Atteso, infine, che il Data Protection Office, il più delle volte, viene istituito per rispondere
alle prescrizioni normative del GDPR, quindi per ragioni di compliance alla legge, ciò non
toglie che lo stesso ufficio possa rilevare al suo interno dei drivers che lo guidino per trovare
riscontri, conferme e, soprattutto, l’autodeterminazione di sé nella propria organizzazione
di appartenenza.
Questi drivers, come troviamo nella letteratura di settore, sono riassumibili nella terna se-
guente:
1. Audit e compliance, se l’ufficio protezione dati è spinto dalla ricerca incessante della
conformità nelle attività di trattamento dei dati personali svolto dalla propria organizza-
zione. Il focus è su leggi, regolamenti, contratti e standard.
2. Security, se l’ufficio protezione dati è improntato alla sicurezza delle informazioni e/o
alla cyber security poiché ritiene, in primis, che le attività di trattamento dei dati perso-
nali debbano essere protette da minacce accidentali, incidentali o ambientali. Il focus
è sul rischio.
3. Operations, se l’ufficio protezione dati è in qualche misura coinvolto dai processi opera-
tivi dell’organizzazione al fine di fornire un contributo alla qualità e alla speditezza nella
produzione dei beni o nell’erogazione dei servizi. Il focus è sul core business.
Non esiste una formula o una composizione in proporzioni fisse per scegliere i propri dri-
vers. Ma esiste il mix perfetto per quella specifica organizzazione e in quello specifico stadio
di maturità. In altri termini, a seconda del livello di maturità, delle dimensioni e del conte-
sto operativo si potrà avere solo il primo driver che, di fatto, rappresenta il minimo sindacale
ovvero tutti e tre i drivers a guidare l’operato del Data Protection Office.
76
Figura 1 - Tool sviluppato internamente per la valutazione del Rischio
Figura 2 - Strumento di governo e compliance della protezione dati integrata alla cyber
security
©
Clusit 2021 77
Figura 3 - Inaugurazione del CSOC della Direzione Centrale della Polizia Criminale
Figura 4 - Perimetro e flussi di funzionamento del CSOC
78
Conclusioni
In conclusione, sembra esistere ancora margine per completare e irrobustire la letteratura
intorno ad una corretta declinazione non solo del ruolo stesso DPO ma anche dell’indirizzo
e della vision con la quale interpretare questo ruolo così come dell’organizzazione interna
dei flussi del proprio ufficio. Tale figura di responsabilità è innovativa e, per quanto studiata
e approfondita, le esperienze pratiche si dimostrano spesso, come capita in tanti campi
variegati e diversi, imprescindibili complementi ai consigli teorici.
L’esperienza concreta dell’Ufficio Protezione Dati della Direzione Centrale della Polizia
Criminale, ormai attivo da più di un lustro e punto di riferimento nel comparto sicurezza
per quanto attiene un approccio volto ad una gestione congiunta di data protection e cyber
security, offre interessanti spunti su come istituire una funzione di data protection moderna,
ben bilanciata nello sposare gli ormai imprescindibili aspetti di sicurezza cyber ed in grado
di incidere efficacemente anche nel complesso mondo di rapporti gerarchici proprio della
pubblica amministrazione pur con un limitatissimo numero di risorse, facendo leva su una
suddivisione di compiti chiara, supportata da processi condivisi e ben armonizzata alla vi-
sione filosofica con la quale si è scelto di interpretare la funzione stessa.
©
Clusit 2021 79
L’Open Source Intelligence nell’ambito delle investigazioni

di CTI
[A cura di Marco Pericò – CERT Banca d’Italia]1
Introduzione
L’Open Source Intelligence (OSINT), intesa come l’intelligence prodotta mediante l’utilizzo
di informazioni pubblicamente disponibili, assume un ruolo di rilievo nella conduzione di
attività investigative di Cyber Threat Intelligence (CTI). Metodologie e tecniche di Open
Source Intelligence sono ad oggi utilizzate da agenzie d’intelligence, dalle Forze dell’Ordi-
ne, dai giornalisti, dalle imprese, così come dal crimine organizzato e dalle organizzazioni
terroristiche, per individuare informazioni di interesse su uno specifico obiettivo e per la
produzione di intelligence a scopo offensivo o difensivo. La crescente mole di informazioni
e di dati pubblicamente disponibili e relativi ad un potenziale obiettivo (come un individuo
o una organizzazione) rappresenta un elemento facilitatore per la conduzione di attacchi
efficaci. Le investigazioni condotte attraverso attività OSINT possono rivelarsi contropro-
ducenti se non sviluppate secondo criteri e metodi necessari a non palesare le azioni di
retrieving data, tipiche delle attività investigative. In questo scenario, sviluppare una visione
chiara della tipologia dei dati e delle informazioni pubblicamente esposte e relative alla
propria organizzazione (es: asset, figure apicali, personale interno, personale esterno, team
preposti alla sicurezza dell’organizzazione, informazioni finanziarie, etc.), rappresenta un
fattore abilitate per lo sviluppo delle capacità, preventiva e proattiva, di contrasto alla mi-
naccia tipicamente svolta nell’ambito delle attività di CTI.
Collegare i punti
Una grande mole di dati e di informazioni viene riversata costantemente nel web e di con-
seguenza è resa potenzialmente disponibile, senza soluzione di continuità, ad un’ampia pla-
tea di diversificati portatori di interesse. A volte l’informazione viaggia incontrollata, spesso
inconsapevolmente o indirettamente, attraverso i profili social personali, di amici o semplici
conoscenti con diverso grado di prossimità. Altre volte una fuga di informazioni può esporre
pubblicamente dati correlabili a soggetti, infrastrutture e organizzazioni.
Alcuni testi di riferimento, come ad esempio il NATO OSINT Handbook v1.2 e il JP 2-0
United States Joint Intelligence del 22 ottobre del 2013, usano termini simili per descrivere
i concetti di data, information e intelligence e le loro relazioni (Figura 1). Il dato grezzo,
Open Source Data (OSD), sia esso generato da una registrazione audio-video, da una foto-
grafia, da immagini satellitari o altro, se arricchito da elementi di contesto e sottoposto ad
un processo di filtraggio e validazione, può assumere un maggior valore e mutare in informa-
zione, Open Source Information (OSIF). Quest’ultima se esaminata, arricchita con analisi
1 Le opinioni sono espresse a titolo personale e non impegnano in alcun modo la Banca d’Italia. L’autore ringrazia Pasquale Digregorio
per le osservazioni fornite durante la stesura del presente elaborato.
©
Clusit 2021 81
e con valutazioni, corredata da raccomandazioni e disseminata agli specifici stakeholder, è

considerata Open Source Intelligence.
L’OSINT può considerarsi un processo di ricerca, raccolta e analisi dei dati provenienti da
fonti di pubblico dominio o accessibili mediante sottoscrizioni (si pensi ad esempio all’au-
tenticazione richiesta da alcuni social network per la visualizzazione completa dei profili
di interesse) nonché da Grey Literature2. Ovviamente è ben inteso che oltre alle attività
OSINT svolte avvalendosi di Internet può rilevarsi utile anche l’uso di risorse non neces-
sariamente digitali (es: biblioteche, emeroteche, etc.). L’Open Source Intelligence, intesa
come l’intelligence prodotta mediante l’utilizzo di informazioni di pubblico dominio, assu-
me un ruolo di rilievo nella conduzione di attività investigative di CTI, siano esse di livello
tattico e/o operativo che di livello strategico. La metafora del “connecting-the-dots”, nell’otti-
ca di ottenere una funzionale e aggiornata cyber situational awareness, rappresenta in modo
intuitivo la complessità del ragionamento inferenziale richiesto all’analista di intelligence
chiamato ad identificare e ricostruire un disegno complesso connettendo punti non nume-
rati o, spesso, numerabili solo dopo che il disegno sia stato portato a termine.
Figura 1 - Relationship of Data, Information, and Intelligence

Joint Publication 2-0, Joint Intelligence Defense Technical Information Center
2 La grey literature rappresenta l’informazione prodotta a livello governativo, accademico e industriale, in formato elettronico o cartaceo,
non controllata dall’editoria commerciale.
82
Il Ciclo OSINT
L’approccio all’OSINT richiede metodo e tecnica. Esistono differenti varianti del ciclo
OSINT, la dottrina di settore fa riferimento ad almeno quattro fasi principali. Per la NATO
(cfr. NATO OSINT Hanbook v1.2), l’OSINT Process è declinabile nelle fasi di discovery,
discrimination, distillation, dissemination che rispettivamente rappresentano l’individuazio-
ne delle fonti, la selezione delle stesse in termini di rilevanza, l’estrapolazione delle infor-
mazioni utili a favorire il processo decisionale ed infine la trasmissione di quanto rilevato
in sede di analisi agli specifici destinatari. In linea generare il ciclo OSINT e quello CTI
rappresentano una specializzazione delle fasi dell’Intelligence Cycle (planning and direction,
collection, processing and exploitation, analysis and production, dissemination). I principali
investigatori OSINT in ambito internazionale riconducono l’OSINT Cycle alle quattro fasi
descritte di seguito (Figura 2):
Fase 1 - Requirements Gathering

Rappresenta la fase iniziale in cui gli analisti OSINT individuano le esigenze informative
dei propri stakeholder anche in termini di contenuti di interesse, obiettivi, tempistiche e
formati della possibile intelligence che verrà prodotta.
Fase 2 - Retrieving Data

Descrive la fase di ricerca e raccolta dei dati relativi all’obiettivo individuato nella fase
precedente. Gli analisti sfruttano i motori di ricerca, scandagliano i siti web alla ricerca di
documenti di interesse avendo cura di conservare ogni traccia raccolta come ad esempio
testi, URL, video, immagini, documenti, etc.
Fase 3 - Analyzing Information

I dati raccolti vengono trasformati in informazioni attraverso la loro validazione, valutazione
e analisi. Alcuni punti chiave di questa fase possono essere legati alla rilevanza, accuratezza,
oggettività e credibilità del dato ottenuto nella fase precedente.
Fase 4 - Pivoting and Reporting

Quest’ultima fase presenta due possibili percorsi. Nel primo caso, pivoting, la precedente
fase di analisi e valutazione necessita di ulteriori dati e dunque l’analista avvierà nuovamen-
te la Fase 2 o, se richiesto, perfezionerà quanto definito in Fase 1 al fine di integrare even-
tuali gap rilevati. A seguire tornerà alla Fase 3 e poi nuovamente alla Fase 4. Nel secondo
caso, reporting, l’analista ha ottenuto abbastanza informazioni, le analisi e le valutazioni
elaborate soddisfano i requisiti individuati nella Fase 1 e dunque potrà redigere un docu-
mento che presenti agli stakeholder i dati rilevanti identificati, le proprie analisi, valutazioni
e conclusioni.
©
Clusit 2021 83
Figura 2 - OSINT Cycle
Casi d’uso
Metodologie e tecniche OSINT sono ad oggi utilizzate per individuare informazioni di in-
teresse su uno specifico target e per la produzione di intelligence o counterintelligence3 a
scopo offensivo o difensivo. Diversi sono i soggetti che ne fanno ampiamente uso. A titolo
esemplificativo, la tabella sottostante mostra alcune possibili motivazioni ed i relativi use-ca-
se di indagini OSINT suddivise per scopo.
3 Con il termine counterintelligence si intende l’identificazione, la valutazione, la neutralizzazione e lo sfruttamento delle attività di
intelligence svolte da entità avversarie.
84
Motivazione Caso d’uso

Tracciamento delle attività di gruppi criminali. Individuazione di informa-
zioni su reati compiuti attraverso l’osservazione di messaggi scambiati
sui social network (SOCMINT4), di immagini, di video utili ad esempio a
localizzare le aree di azione o i possibili luoghi associati ad un reato. Moni-
toraggio del dark web per individuare i marketplace dedicati alla vendita
Sicurezza
di stupefacenti, armi, carte di credito, account di accesso a sistemi remoti
Nazionale
oppure per creare relazioni di fiducia con i criminali, cibernetici e non, me-
diante tecniche di Virtual HUMan INTelligence (VHUMINT5). Tracciamento
delle azioni terroristiche e delle possibili affiliazioni fra gruppi criminali.
Attribuzione di un attacco nel mondo cibernetico o in quello reale e indivi-
duazione dei potenziali obiettivi. Reclutamento di nuove risorse.
Scopo Difensivo
Raccolta di informazioni su soggetti di interesse individuando: amicizie,

Interessi
contatti online, messaggi pubblici scambiati attraverso i social network,
Personali
etc.
Ottenimento di informazioni sulle controparti in previsione di una possibile
fusione societaria. Individuazione delle caratteristiche di un potenziale
candidato da assumere per uno specifico ruolo. Contrasto alla minaccia
cibernetica attraverso lo studio dei threat actor per comprenderne le
motivazioni, gli intenti e le capacità. Sviluppo una visione chiara della
Business
tipologia di dati e delle informazioni, pubblicamente esposte e plausibil-
mente utili ad un avversario per programmare un’azione offensiva contro
la propria organizzazione (es: asset, figure apicali, personale interno, per-
sonale esterno, team preposti alla sicurezza dell’organizzazione, budget
disponibili, documenti, etc.).
Raccolta di immagini, video e documenti per individuare la data, l’ora e il
Giornalismo
luogo in cui un fatto è potenzialmente avvenuto.
4 Il termine SOCMINT (Social Media Intelligence) si riferisce a un ramo dell’Open Source Intelligence specificatamente dedicato alla
raccolta di informazione attraverso i social network (Facebook, Twitter, Instagram, etc.).
5 Il termine VHUMINT (Virtual Human Intelligence) estende al mondo virtuale il concetto di Human Intelligence cioè una metodologia
investigativa imperniata sulla raccolta di informazioni per mezzo di contatti interpersonali. Attraverso la VHUMINT vi è dunque l’in-
terazione proattiva con gli attori della minaccia al fine di raccogliere informazioni di contesto necessarie a mitigare efficacemente la
minaccia.
©
Clusit 2021 85
Motivazione Caso d’uso

Attacco Attività di reconnaissance volta a individuare potenziali falle, umane o
Cibernetico infrastrutturali, da sfruttare contro un obiettivo.
Studio degli spostamenti di una potenziale vittima per individuare il mo-
Furto
mento migliore per agire indisturbati.
Utilizzo delle informazioni raccolte online, anche contenenti dati sensibili o
Scopo Offensivo
Estorsione
informazioni private, a scopo estorsivo.
Raccolta di informazioni su potenziali obiettivi compiacenti e facilmente
Crimine
corruttibili; individuazione delle aree urbane da utilizzare per azioni di
Organizzato
reclutamento.
Identificazione di aree geografiche attraverso l’uso di immagini satellitari
Terrorismo al fine di orchestrare azioni terroristiche; monitoraggio del traffico urbano
ed extraurbano.
Raccolta di informazioni su una potenziale vittima per individuarne le
Molestia abitudini, i gusti e le debolezze al fine di sfruttarle contro di essa (stalking,
bullismo, etc.).
Tabella 1 - Indagini OSINT, possibili motivazioni e casi d’uso
L’anonimato durante la conduzione di indagini OSINT

L’analista che conduce indagini OSINT può lasciare traccia della sua attività permettendo
al proprio obiettivo di intuire di essere oggetto di attività d’indagine. A seconda di cosa o
chi sia target dell’operazione investigativa, assume grande importanza individuare, al pari di
un’operazione militare sul campo, il grado di anonimato da mantenere durante la conduzione
delle attività di ricerca e analisi, siano esse effettuate manualmente o attraverso l’utilizzo
di strumenti automatici. Chiarire nelle regole d’ingaggio se operare sotto copertura (covert
operation) o in modalità clandestina (clandestine operation) è essenziale per determinare le
procedure operative (OPSEC6) adeguate a garantire, in sicurezza, il buon esito dell’indagine.
Il processo di anonimizzazione delle attività non passa esclusivamente attraverso l’utilizzo di
protocolli cifrati, proxy, virtual private network (VPN) o l’utilizzo, ad esempio, di tecniche di
onion routing. La corretta configurazione dei sistemi operativi, dei tool o più in generale dei
sistemi utilizzati durante la fase di ricerca, è fondamentale per garantire la non tracciabilità
delle operazioni investigative attraverso surface, deep e dark web7.
6 Con il termine OPSEC (Operation Security) si intende il processo mediante il quale, durante un’operazione, si previene l’esposizione
involontaria di informazioni sensibili/riservate/classificate riguardanti le proprie attività, intenzioni o capacità.
7 Il World Wide Web è spesso rappresentato dalla metafora dell’iceberg: la parte esposta in superficie (circa il 9.99%), il surface web,
descrive i contenuti indicizzati e facilmente raggiungibili attraverso i comuni motori di ricerca; la parte oltre il pelo dell’acqua, il deep
web, pari a circa il 90% del web, rappresenta i contenuti non indicizzati dai motori di ricerca tradizionali come ad esempio le pagine
web a valle di un form di autenticazione, siti web privati e aziendali, etc.; un ulteriore 0.01% di contenuti è rappresentato infine dal
dark web, la parte più nascosta del web i cui contenuti sono accessibili solamente attraverso l’utilizzo di appositi software in grado di
connettere l’utente alle cosiddette darknet spesso sfruttate per scopi illeciti (terrorismo, cybercrime, black-market, etc.).
86
Prima di condurre un’investigazione online è consigliabile completare una fase di prepara-

zione e configurazione dei sistemi da utilizzare durante la ricerca e l’analisi. La condizione
ideale sarebbe quella di operare su ambienti dedicati o comunque non utilizzati in prece-
denti indagini. L’uso di sistemi fisici dedicati o l’utilizzo di piattaforme cloud è una valida
opzione ma in generale, a prescindere dal sistema operativo scelto, l’adozione di ambienti
virtualizzati - virtual machine (VM) - generati e gestiti da un sistema host non “contamina-
to”, garantisce all’analista di lavorare con configurazioni ad-hoc, facilmente esportabili, in
un isolamento controllato e con l’opportunità di memorizzare, in modo semplice e veloce,
lo stato della macchina virtuale (snapshot) all’istante t0 con la conseguente possibilità, al
tempo tn, di tornare alle condizioni precedentemente fissate. La creazione di una OSINT
VM può avvenire secondo il paradigma DIY (Do It Yourself), cioè attraverso un processo di
installazione e configurazione della VM e degli strumenti software da utilizzare durante le
indagini, oppure mediante ambienti preconfigurati contenenti innumerevoli tool dedicati
all’OSINT, ad esempio Buscador VM, una macchina virtuale Linux based creata dagli spe-
cialisti di indagini OSINT David Wescott e Michael Bazzell, oppure Trace Labs OSINT
VM, una virtual machine creata dall’associazione no-profit canadese Trace Labs, anche nota
per l’organizzazione di competizioni internazionali, Search Party CTF8, per la ricerca di
informazioni su persone scomparse utilizzando tecniche OSINT.
Framework OSINT
Gli OSINT Framework sono costituiti da raccolte di strumenti che possono aiutare l’ana-
lista durante le investigazioni consentendogli di individuare rapidamente gli strumenti da
utilizzare per perseguire i propri obiettivi investigativi. Ne esistono di differenti e per lo
più costituiti da pagine web con elenchi organizzati di link a risorse OSINT. Il ricercatore
Bruno Mortier, attraverso la sua pagina web9, ne presenta una buona raccolta, fra questi ad
esempio Technisette, OSINT Curious Resource List, Bellingcat Investigation Toolkit, Ultima-
te OSINT Collection o il Justin Nordine OSINT Framework10. In particolare quest’ultimo
mediante un’interfaccia grafica che guida l’utente attraverso una classificazione di fonti di
intelligence distinta per argomenti e/o obiettivi rappresenta sicuramente un buon riferimen-
to per individuare gli strumenti da utilizzare durante le investigazioni.
Si propone di seguito una possibile applicazione pratica del Nordine OSINT Framework
per individuare la presenza sul web di nomi di dominio che per assonanza o per errori di
battitura (typosquatting), possano ingannare l’utente dirottandolo su pagine web aziendali
fake. Le motivazioni che spingono alla registrazione di nomi di domini con tali caratteristi-
che sono delle più disparate, dalla semplice pubblicità alla realizzazione di attacchi più o
meno sofisticati (es: furto di credenziali o di dati bancari, fake news, truffe, distribuzione di
8 https://www.tracelabs.org/initiatives/search-party
9 http://osintframework.de
10 https://www.osintframework.com
©
Clusit 2021 87
payload malevoli, etc.). Prendendo come riferimento il nome di dominio “sitoesempio.it”,

un possibile typosquatting potrebbe essere ottenuto registrando i seguenti domini:
1. sitoesemio.it
2. SITOESEMPIO.lT
3. sitoesempio.org
Nel primo caso, l’errore di battitura è ottenuto eliminando una lettera dal nome originale.
Nel secondo caso, volutamente scritto in maiuscolo (tranne per la penultima lettera), il
dominio di primo livello - .it - (ccTLD per l’Italia) è stato sostituito con - .LT - (ccTLD per
la Lituania) o meglio, con - .lT - (la prima lettera è una L in minuscolo). Infine nell’ultimo
caso, il Top Level Domain utilizzato non è più il - .it - ma il - .org -.
La Figura 3 mostra come l’OSINT Framework può semplificare le attività di raccolta delle
informazioni indirizzando l’analista su strumenti utili alle indagini del caso. Alla voce Typo-
squatting troviamo alcuni software/script da utilizzare per individuare le possibili permuta-
zioni di un dominio di interesse: dnstwist11 ne è un esempio. Le sue funzionalità di base
prevedono la generazione un ampio elenco di permutazioni del nome di dominio indicato
e la verifica della presenza delle permutazioni attive e in uso sul web. Per identificare even-
tuali certificati TLS associati ai nomi di dominio individuati, la sezione Certificate Search
propone varie opzioni, ad esempio l’uso di Crt.sh Certificate Search12, di CertGraph13 oppure
di Spyse14.
Per la ricerca di possibili sottodomini attivi, la sezione Subdomains presenta varie possibilità
e fra queste l’utilizzo Sublist3r15, uno strumento python progettato per enumerare sottodo-
mini di siti web utilizzando motori di ricerca come Google, Yahoo, Bing, Baidu e Ask ma an-
che Netcraft, Virustotal, ThreatCrowd, DNSdumpster e ReverseDNS. Infine, per identificare
possibili variazioni sugli indirizzi IP associati al dominio di interesse potrebbe essere utile
affidarsi ai sistemi PassiveDNS. Fra gli strumenti proposti come interfacce web per query
PDNS troviamo Mnemonic PassiveDNS16 oppure PTRarchive17.
11 https://github.com/elceef/dnstwist
12 https://crt.sh
13 https://github.com/lanrat/certgraph
14 https://spyse.com
15 https://github.com/aboul3la/Sublist3r
16 https://passivedns.mnemonic.no/
17 http://ptrarchive.com
88
Figura 3 - Justin Nordine OSINT Framework – Domain Name

https://www.osintframework.com
Come appare da questo semplice caso d’uso, che rappresenta solo la fase di raccolta, le
potenzialità di questo genere di framework sono elevate, anche se permane la necessità di
ricorrere ad integrazioni e revisioni degli script open-source o all’utilizzo di sistemi alternativi
frutto dell’esperienza e delle capacità sviluppate dall’analista. Esperienza che appare impre-
scindibile per il completamento delle ulteriori fasi del ciclo OSINT ed è essenziale nelle
attività di human intelligence, tipicamente svolte dagli organismi di law enforcement, neces-
sarie per interagire con un threat actor e ottenere anticipatamente informazioni su malware,
frodi, vulnerabilità o altri tipi di minaccia potenzialmente indirizzata agli asset da proteggere.
Quanto descritto si concretizza interagendo direttamente o virtualmente attraverso piatta-

forme di messaggistica, forum e blog al fine di ottenere la fiducia della community under-
groud ed assicurarsi l’accesso alle informazioni di interesse anche con largo anticipo rispetto
©
Clusit 2021 89
ad un possibile divulgazione pubblica. Un percorso che può durare anni e che richiede, agli
occhi degli interlocutori, la giusta reputazione e credibilità sul campo, da creare con storie e
profili costruiti e adattati a seconda delle situazioni in cui ci si ritrova ad interagire, nonché
capacità tecniche per evitare di essere a propria volta vittime di attività di tracciamento.
Standard Operating Procedure

La creazione di procedure operative standard (Standard Operating Procedure - SOP), guide
che indichino i passi da seguire durante la conduzione di indagini OSINT, consente di
rendere efficiente l’esecuzione di operazioni ripetitive permettendo al contempo di ottenere
uniformità nelle prestazioni, nella qualità degli output, evitando altresì il mancato rispetto
di standard e normative di settore, eventualmente imposte dalla propria organizzazione.
La modellazione di processo ipotizzata in Figura 4 rappresenta ad alto livello, un flusso
di lavoro, personalizzabile ed integrabile, da utilizzare per la conduzione di un’indagine
OSINT. Gli Stakeholder rappresentano coloro che richiedono la produzione di intelligen-
ce. In Input si sostanziano le richieste di informazioni (Request for Information – RFI) o la
definizione dei requisiti d’intelligence (Intelligence Requierements – IR); gli esempi di RFI/
IR possono essere vari: identificare un soggetto associato ad un dominio web, ad un IP, ad
un account online; monitorare e fornire intelligence prima, durante e dopo il manifestarsi
si un evento di interesse. Il CTI Engagement descritto in figura incorpora la fase del ciclo
CTI denominata Planning and Direction, tipicamente condotte da analisti CTI. In questa
fase vengono svolte alcune valutazioni necessarie a identificare e classificare in ordine di
priorità le lacune informative presenti per poi sviluppare metodi di compensazione o riso-
luzione di questi gap definendo un piano per ottenere le informazioni necessarie (es: posso
trovare ciò che mi occorre solo attraverso OSINT oppure è necessario attingere a risorse
CLOSINT18?).
Il Collection and Processing consiste nel mettere in pratica quanto precedentemente
pianificato per raccogliere dati e informazioni utili all’analisi e per la loro successiva prepa-
razione/normalizzazione. Questa fase è coadiuvata sia dall’utilizzo di servizi di Preparation
and Configuration che riguardano la predisposizione degli ambienti, dei tool, delle moda-
lità di connessione e dei protocolli di accesso al dark web (il linea con la normativa nazionale
ed in presenza di autorizzazione) da utilizzare per sottomettere le richieste di interesse,
sia da CTI & OSINT Management in cui far convergere funzioni quali ad esempio un
repository per la raccolta della conoscenza acquisita, la gestione delle sorgenti informative,
gli andamenti delle analisi effettuate, il threat model di riferimento e le sue evoluzioni.
Terminata la fase di raccolta e preparazione si passerà dunque ad Analysis and Pivoting,
fase che include l’utilizzo di processi e tecniche di analisi strutturata (SAT) utili a valutare
quanto ottenuto nei passi precedenti, reiterandoli in caso di necessità.
18 Iltermine fa riferimento a Close Source Intelligence, cioè il processo di raccolta di informazioni attraverso la consultazione di fonti
chiuse cioè non accessibili pubblicamente: intelligence feed, fonti governative, informazioni classificate, etc.
90
Il Reporting rappresenta la fase standard di realizzazione e dissemination di quanto pro-

dotto. Gli esiti delle investigazioni, oltre ad arricchire la sezione di CTI & OSINT Ma-
nagement precedentemente descritta, vengono rappresentati in specifici Deliverable da
distribuire agli stakeholder. Infine il Revert to Cleanup si riferisce al processo di archivia-
zione delle VM (in accordo con le retention policy dell’organizzazione o imposte dall’autorità
competente) e al ripristino delle condizioni precedenti l’indagine al fine di rendere le virtual
machine pronte per una nuova investigazione e prive di elementi riconducibili alle azioni
svolte in precedenza.
Figura 4 - Esempio di flusso di lavoro ad alto livello
Il modello descritto si riferisce a processi di alto livello. Ognuno dei business process indicati
può essere sviluppato e personalizzato; il processo OSINT Query potrebbe comprendere
ad esempio la predisposizione e il continuo l’aggiornamento di apposite SOP, con indica-
zioni step-by-step, per il recupero di informazioni inerenti email, username, alias, nomi reali,
indirizzi IP, numeri di telefono, nomi di dominio, documenti, location, etc.
©
Clusit 2021 91
Conclusioni
L’enorme quantità di dati e informazioni che più o meno consapevolmente diffondiamo nel
web, rappresenta un vantaggio competitivo per eventuali attaccanti. Tali circostanze esten-
dono notevolmente la superficie d’attacco a disposizione di coloro che con diverso intento,
capacità e opportunità possono costituire minacce, sia nel cyberspazio sia nella vita reale, per
persone, organizzazioni e cose. In questo scenario, impiegare la dottrina nell’ambito dell’in-
telligence al fine di sviluppare una visione chiara del proprio grado di esposizione è fattore
abilitante e funzionale per il consolidamento delle capacità di Cyber Threat Intelligence.
La raccolta delle informazioni attraverso l’utilizzo di metodi e tecniche OSINT rappresenta
un tassello importante per la produzione di CTI. Al riguardo al pari delle operazioni militari
sul campo, è necessario mantenere il corretto grado di riservatezza e anonimato durante la
conduzione delle attività operative, siano esse effettuate manualmente o mediante l’utilizzo
di strumenti automatici.
Per rendere più efficienti alcune delle tipiche attività di raccolta informativa, permettendo
al contempo di ottenere uniformità nelle performance operative nella qualità degli output
ed evitando altresì la non conformità a standard e normative di settore, è utile definire
preventivamente procedure operative (SOP) che supportino le fasi del ciclo OSINT. Le
modalità di impiego di tali SOP, definibili con diversi gradi di astrazione, ma la cui decli-
nazione in procedure operative di dettaglio può costituire la vera differenza in termini di
efficacia ed efficienza, è determinante per incrementare e aggiornare adeguatamente la
cyber situational awareness attraverso la produzione di intelligence di livello tecnico-tattico,
operativo e strategico.
92
Riferimenti
- G. Amato, S. Ciccarone, P. Digregorio, G. Natalucci, “A Service Architecture for an

Enhanced Cyber Threat Intelligence Capability”, Proceedings of the Italian Conference
on Cybersecurity ITASEC 2021.
- M. Pericò, S. Russo, P. Digregorio, “La gestione strutturate della raccolta dei dati nelle
attività di Cyber Threat Intelligence”, Rapporto Clusit 2021.
- DoD, “Dictionary of Military and Associated Terms”, 2021.
- M. Bazzell, “Open Source Intelligence Techniques – Eight Edition”, 2021.
- M. Bazzell, “Extreme Privacy – Second Edition”, 2020.
- M. Hoffman, “SANS SEC487 Textbook - Open Source Intelligence Gathering and
Analysis”, 2020-2021.
- B. Katz, “The Intelligence Edge - Opportunities and Challenges from Emerging Techno-
logies for U.S. Intelligence”, 2020.
- A. Hassan Nihad, Rami Hijazi, “Open Source Intelligence Methods and Tools: A Practi-
cal Guide to Online Intelligence”, 2018.
- B. Akhgar, F. Sampson, P. Saskia Bayerl, “Open Source Intelligence Investigation: From
Strategy to Implementation”, 2017.
- C. Hobbs, M. Moran, D. Salisbury, “Open Source Intelligence in the Twenty-First Cen-
tury: New Approaches and Opportunities”, 2014.
- Nik Cubrilovic, “60 Minutes Australia on Silk Road and Bitcoin”, 2014
- Andy Greenberg, “Hacker Lexicon: What Is the Dark Web?”, 2014
- L. Benes, “OSINT, New Technologies, Education: Expanding Opportunities and Threa-
ts. A New Paradigm”, 2013.
- Joint Intelligence Defense Technical Information Center (DTIC), “Joint Publication
2-0”, 2013.
- F. Schaurer, J. Störger, “The evolution of opensource intelligence (OSINT)”, 2013.
- M. Glassman, M.J. Kang, “Intelligence in the Internet age: The emergence and evolution
of OpenSource Intelligence (OSINT)”, 2012.
- R. Bakhshandeh, M. Samadi, Z. Azimifar, J. Schaeffer, “Degrees of Separation in Social
Networks”, 2011.
- ITACG, “Intelligence Guide for First Responder - 2nd Edition”, 2011
- A. De Borchgrave, T. M. Sanderson, J. MacGaffin, “Open source information: The mis-
sing dimension of intelligence”, 2006.
- Robert D. Steele, “Open Source Intelligence (OSINT)”, 2006.
- NATO, “OSINT Handbook v1.2”, 2001.
- M. Bergman, “The Deep Web: Surfacing Hidden Value”, 2001
- Dominic J. Farace, J. Frantzen, “Third International Conference on Grey Literature”,
1997.
©
Clusit 2021 93
SPECIALE FINANCE
Elementi sul cybercrime nel settore finanziario in Europa

[A cura di Pier Luigi Rotondo, IBM]
Il cybercrime finanziario ha subito un’ulteriore evoluzione nel corso degli ultimi 12 mesi,
sia nel modus operandi dei gruppi di criminali cyber che nei malware usati. Il cybercrime è
indubbiamente dominato da gruppi internazionali, ben strutturati e organizzati.
Nell’analisi che segue, presento e commento i risultati delle rilevazioni sul cybercrime nel
settore finanziario in Europa nel corso del 2020 e primo semestre 2021, ed evidenzio alcune
tendenze che potremmo osservare nei primi mesi del 2022. Questo lavoro è stato possibile
anche grazie ai contributi del gruppo di ricerca IBM Security, IBM X-Force, i dati estratti
dalla rete mondiale di IBM Security Trusteer e al lavoro quotidiano dei colleghi IBM Secu-
rity che desidero ringraziare.
Tutte le fonti consultate sono elencate nella bibliografia al termine del capitolo.
Un anno di cybercrime finanziario

Il settore finanziario, che include le industrie bancarie e assicurative, è stato il settore più
attaccato per il quinto anno consecutivo nel corso del 2020 [1] attirando il 23% di tutti gli
attacchi registrati dai 10 settori più attaccati.
Il financial fraud, frode bancaria o finanziaria, passa quasi sempre attraverso il furto delle
credenziali d’accesso ai sistemi bancari o di pagamento e riutilizzate per transazioni frau-
dolente all’insaputa del titolare. Invece di attaccare direttamente la banca, si preferisce
l’obiettivo più facile di attaccare i suoi clienti.
L’analisi delle principali campagne del 2021 mostra che la frode avviene prevalentemente
attraverso i seguenti vettori di attacco:
• malware per il furto di credenziali o fattori addizionali di autenticazione o manipolazione

di una transazione;
• phishing per il furto di credenziali di accesso e dei fattori di autenticazione forte (creden-
tial theft), spesso combinata con l’interazione con un operatore;
• hacking del dispositivo mobile tramite SIM Swap o emulazione software dello smartphone;
• e infine, attacco diretto all’infrastruttura dell’istituzione finanziaria, sfruttando prevalen-
temente la vulnerabilità Citrix CVE-2019-19781 (dicembre 2019).
La tecnica, o la combinazione di tecniche, varia in base alla vittima, con differenze tra il
cliente finale (retail) oppure aziendale (corporate) [2]. Malware e phishing si sono ripartiti
il compito in maniera abbastanza equa [2] sul mercato retail. Per il mercato corporate c’è
stata invece una prevalenza di schemi di attacco attorno ai malware [2].
Nella quasi totalità dei casi sono state combinate più tecniche per costruire schemi di com-
pleta manipolazione dell’utente.
©
Financial malware
ENISA, Agenzia dell’Unione Europea per la Cybersecurity, pone i malware al primo posto
nel panorama delle minacce informatiche [3].
Nel contesto variegato di tutti i malware, qui ci limitiamo a prendere in considerazione
solo il financial malware, o malware per frodi finanziarie. Riportiamo dati e valutazioni sul
malware per frodi al settore finanziario e alle sue declinazioni (banche, finanza diversificata
e assicurazioni) limitatamente a osservazioni fatte da IBM Security Trusteer nell’area geo-
grafica EMEA (Europa, Medio Oriente e Africa) sull’intero anno 2020.
QakBot, TrickBot, DanaBot e Bugat sono stati i principali malware dell’anno, seguiti da
una nutrita lista di altri malware con un impatto minore. Il primo diagramma (Figura 1)
descrive la distribuzione dei malware così come sono stati rilevati sugli endpoint (disposi-
tivi utente) infetti. Continua la tendenza che osserviamo ormai da diversi anni di graduale
frammentazione su un numero crescente di malware, ciascuno in porzione sempre minore.
Relativamente all’Italia, abbiamo osservato numerose campagne basate su Ursnif/Gozi,
sLoad downloader, Dridex, AgentTesla e soprattutto Emotet.
Nei diagrammi di Figura 1 e Figura 2 abbiamo scelto di non riportare l’incidenza di Emo-
tet, indubbiamente diffuso in Italia e in Europa, in quanto il suo ruolo è stato prevalente-
mente di loader per altri malware, in particolare QakBot e TrickBot, con un probabile soda-
lizio tra i gruppi criminali. In questo connubio, Emotet è il veicolo che infetta la macchina
della vittima, avendo spiccate caratteristiche di evasione dai prodotti antimalware, per poi
scaricare il payload, spesso l’eseguibile di QakBot o TrickBot a cui poi lascia il controllo.
Oltre alle infezioni sugli endpoint, abbiamo catturato e analizzato il traffico generato da
endpoint infetti da malware che tentano di accedere al sito web dell’organizzazione target,
ad esempio una banca, per perpetrare una transazione fraudolenta (Figura 2).
96
SPECIALE FINANCE - Elementi sul cybercrime nel settore finanziario in Europa
Il questo caso i malware che hanno generato maggiore attività sono Ursnif/Gozi, Urlzone,
Zeus, Ramnit, e a seguire una lunga lista di altri malware.
Questa seconda tipologia di rilevazione (Figura 2) è speculare a quanto già osservato relati-
vamente agli endpoint infetti (Figura 1). Le due rilevazioni si integrano l’un l’altra.
Mentre il diagramma di Figura 1 misura la capacità del malware di evadere le protezioni
di rete e di sistema e infettare il computer o smartphone della vittima, la Figura 2 misura
invece la quantità di traffico che i dispositivi infetti riescono a generare verso il sito web
della banca, e che potenzialmente mettono a rischio l’account utente. Nel raffrontare i due
diagrammi occorre tenere in giusta considerazione il diverso comportamento di ciascun
malware e soprattutto come vengono rilevati i dati.
Una soluzione di sicurezza deve essere in grado di individuare e bloccare entrambi i feno-
meni, combinandoli per proteggere l’endpoint e ciascuna fase della transazione bancaria.
Attività dei principali financial malware nel corso dell’anno

Secondo le nostre rilevazioni, i principali financial malware hanno mostrato un picco di
attività nel periodo estivo, e una tendenza di leggera crescita nel corso dell’anno.
TrickBot prosegue l’evoluzione verso una vera e propria piattaforma di attacco, con una
struttura modulare che consente di noleggiare il malware a terzi, secondo un modello MaaS
(Malware-as-a-Service).
Ciascuna campagna TrickBot è caratterizzata da un identificatore di gruppo (tag) assegnato
al cliente di turno. Ciascuno gruppo può così sfruttare le caratteristiche di propagazione di
TrickBot, importando all’interno del malware le tattiche, tecniche e procedure e costruire
attacchi altamente mirati [4].
Una coalizione di aziende Tech (Microsoft, FS-ISAC, ESET, Black Lotus Labs, NTT, e
Broadcom/Symantec) ha smantellato ad ottobre l’infrastruttura di backend della botnet per
la distribuzione di TrickBot [5]. Non è da escludere che il picco negativo novembre 2021
(Figura 3) sia proprio conseguenza di questa operazione.
©
Clusit 2021 97
Si stima che fino a quella data TrickBot ha infettato circa 1 milione di computer, inclusi
molti dispositivi IoT. Questa operazione, assieme a quella di gennaio 2021 contro la botnet
di Emotet, segnano due importanti battute di arresto di TrickBot del quale speriamo di
vedere ricadute positive nei prossimi mesi.
La cattura delle credenziali di accesso alla posta elettronica, sia webmail che client instal-
lati sul computer o smartphone, è un’attività apparentemente anomala per un financial
malware, ma è un andamento che osserviamo in crescita già da qualche anno. I gruppi
cyber criminali fanno questo per avere una base dalla quale lanciare attacchi di tipo BEC,
diffondendo malware da caselle elettroniche reali e spesso note alla vittima, con un’efficacia
nettamente maggiore rispetto a quanto non si riesca a fare con il tradizionale phishing. I
numerosi esempi di campagne veicolate tramite PEC ne sono un esempio.
Ciascun elemento, apparentemente insignificante, può essere utile per costruire e dare
maggiore credito ad attacchi futuri. Questo non può che farci pensare che mentre noi ana-
lizziamo quanto accaduto, i gruppi cyber criminali stanno già pensando a schemi di attacchi
futuri.
L’obiettivo principale dei malware per frodi finanziarie, era e rimane, l’impossessarsi delle
credenziali di accesso ai sistemi di pagamento, oppure dei dati delle carte di pagamento,
oppure ancora di cambiare ad insaputa della vittima le coordinate di pagamento.
A seconda della tattica, l’attacco può spaziare dal semplice furto di credenziali di accesso,
al furto del fattore di autenticazione forte del cliente (SCA – Strong Customer Authentica-
tion) introdotto della normativa PSD2 [6], al furto dei dati delle carte di pagamento, e in-
fine alla sostituzione delle coordinate di pagamento (IBAN o del wallet elettronico) questo
ultimo caso soprattutto per i malware per dispositivi mobili.
98
Il malware è veicolato nella maggioranza dei

casi attraverso documenti Office allegati ad
e-mail [3] o file .zip protetti da password,
all’interno di campagne di spamming che
emulano grafica e marchi conosciuti, come
ad esempio le comunicazioni di banche,
della pubblica amministrazione, oppure di
società di recapiti.
Nel caso del documento Office, una volta
aperto, l’utente viene invitato ad abilitare l’e-
secuzione di macro, o altri contenuti attivi.
Questa operazione apparentemente innocua
fornisce al documento i privilegi necessari
per scaricare il resto del malware da una
drop URL sfruttando quasi esclusivamente
strumenti nativi del sistema operativo, come
la Powershell di Windows.
Nel caso del file zip, il documento malevolo è all’interno del pacchetto compresso e protetto
da password, ma con una password molto semplice e sempre inclusa in chiaro nel testo del-
la mail, In questo modo la vittima è in grado di aprire il file compresso e poi il documento
malevolo contenuto all’interno. La catena degli incapsulamenti, con un file compresso e
protetto da password, serve esclusivamente ad eludere alcuni sistemi di scansione e analisi
automatica della e-mail che non riescono ad espandere archivi protetti da password.
Il malware è ospitato su provider russi

nel 31% dei casi, statunitensi del 25%
dei casi, ed in percentuali via via decre-
sciti anche in altri paesi.
La collocazione geografica del provider
indica solo dove è stato inizialmente ca-
ricato il malware, e non ci fornisce indi-
cazioni precise sui threat actors.
Analizzando nel dettaglio le singole
URL, e i provider usati, si nota che i
cyber criminali noleggiano spazio pres-
so provider, oppure compromettono siti
internet già esistenti, non aggiornati o
con cattive configurazioni, oppure an-
cora depongono il malware in folder di
upload pubblici e visibili, dai quali è poi universalmente disponibile. Spesso all’insaputa dei
legittimi proprietari dello spazio che diventano vittime loro stesse.
©
Clusit 2021 99
Emblematico il caso della sezione Musei della Basilicata sul sito del Ministero per i Beni e
le Attività Culturali che lo scorso luglio, per almeno cinque giorni, ha distribuito il malware
Emotet caricato in una cartella non protetta senza che questo venisse prontamente indivi-
duato e rimosso. Da allora la URL della Direzione Regionale Musei Basilicata è segnalata
come potenziale sorgente di malware, e di conseguenza la navigazione sull’intera sezione del
portale è bloccata da molti browser e provider.
Questa condizione presenta un importante rischio in Italia, in quanto il recente Monito-
raggio dei portali istituzionali della PA [7], condotto da Cert-AgID nel dicembre 2020 su
oltre 21.000 portali istituzionali della Pubblica Amministrazione, evidenzia che solo il 9%
di questi sono sufficientemente sicuri, mentre il restante 91% è caratterizzata da mancanza
del protocollo HTTPS, gravi problemi di sicurezza, oppure ancora è mal configurato.
Nel corso del 2019 avevamo osservato molti documenti malevoli sfruttare la CVE-2017-
0199 e la CVE-2017-11882, due Remote Execution Vulnerability per Windows molto in-
sidiose, in quanto era sufficiente aprire il documento, e in talune circostanze fare la sola
preview, per eseguire la componente malevola che scaricava il codice malware. Il mec-
canismo, su macchine non aggiornate, era particolarmente potente in quanto richiedeva
un’interazione minima da parte della vittima.
Nel corso del 2020 gli attaccanti si sono mossi invece su un terreno decisamente più facile,
sfruttando prevalentemente la debolezza umana, con documenti Office contenenti funzioni
macro malevole.
La differenziazione tra una campagna e

l’altra sta principalmente nel messaggio
usato per invitare la vittima ad aprire il
documento e abilitare l’esecuzione delle
macro, anche se l’obiettivo rimane lo stes-
so. Gli inviti più frequenti sono di abilita-
re le macro in quanto necessario per un
aggiornamento di Word, oppure perché il
documento è protetto, oppure molto più
frequentemente in quanto il documento
è creato con una versione più recente
di Word. Tutte motivazioni false, il cui
unico obiettivo è di eseguire la macro nascosta e non visibile all’interno del documento,
che scarica e infine attiva il malware. Dopo l’attivazione, il malware comunica con la sua
infrastruttura di controllo e con il gruppo cyber criminale attraverso una rete di nodi di
Command-and-Control (C&C), dai quali riceve ulteriori elementi di configurazione, watch
list, comandi remoti da eseguire sul sistema infetto, o attraverso i quali esfiltra i dati della
macchina infetta, come username, password o URL visitate.
100
Durante la pandemia COVID-19 sono state osservate numerose ondate di spamming ba-
sate attorno a finte comunicazioni apparentemente provenienti dell’Agenzia dell’Entrate,
INPS o altri enti che erogavano contributi economici. Tutte contenevano al loro interno
allegati che sfruttavano macro di Office malevole.
Questo veicolo, molto più semplice dal punto di vista implementativo, ha reso possibile la
realizzazione di una quantità molto elevata di campagne di attacco.
L’epopea di Emotet
Emotet è noto sin dal 2014, inizialmente come malware bancario specializzato nel furto
di credenziali. A partire dal 2016 si ritaglia gradualmente una posizione di rilevo come
loader per altri malware, principalmente QakBot, TrickBot e il ransomware Ryuk [8] in un
probabile sodalizio criminale con altre cyber gang, offrendo la sua infrastruttura botnet per
veicolare altri malware. Il modello operativo di Emotet è presumibilmente Access-as-a-Ser-
vice, in quanto veicola fin dentro la macchina della vittima malware scritto da altri gruppi
cyber criminali.
Anche in questo caso i documenti Office

(prevalentemente Word) allegati ad e-mail
invitate in automatico dalle tre botnet Epo-
ch1, Epoch2 e Epoch3 sono stati il principale
vettore.
Le campagne di spamming associate ad
Emotet hanno spaziato dai pagamenti, alle
notifiche di spedizioni giacenti, fino alle in-
formazioni sul COVID-19, queste ultime so-
prattutto nei primi mesi della pandemia, per
poi diminuire gradualmente nel corso dell’an-
no.
L’elusione dei sistemi antimalware passa an-
che tramite la generazione di codice polimor-
fico che cambia continuamente l’eseguibile
del malware generando una quantità enorme
di signatures (hash). Poiché molte soluzioni antimalware si basano proprio sul concetto di
signature, una continua modifica dell’eseguibile malevolo induce difficoltà di rilevamento e
analisi, rendendo possibile l’infezione anche su sistemi protetti. Negli esempi osservati da
IBM X-Force ciascun hash è stato usato in media in 1.3 e-mail [9]. Con buona approssima-
zione possiamo immaginare che ciascuna e-mail malevola porta al suo interno una versione
di Emotet pressoché unica. Alcune organizzazioni hanno individuato più di 200.000 varianti
di Emotet [4].
Le vittime di Emotet sono localizzate, in ordine decrescente, negli Stati Uniti, Giappone,
©
Clusit 2021 101
Germania, Italia, Regno Unito, Spagna e numerose altre nazioni. Si stima che nel periodo
tra il 1° aprile 2020 e il 17 gennaio 2021 Emotet abbia infettato 1,6 milioni di computer in
tutto il mondo [10].
Il 27 gennaio 2021 un’importante operazione delle forze di polizia di Olanda, Germania,

Stati Uniti, Regno Unito, Francia, Lituania, Canada e Ucraina, coordinata da Europol ed
Eurojust [11], ha portato all’arresto in Ucraina di due persone, e all’identificazione di molti
altri fiancheggiatori in altre nazioni, ma soprattutto al controllo dei server delle tre botnet
di Emotet da parte dei tecnici delle forze di polizia coinvolte. Senza dubbio una delle più
imponenti operazioni di polizia contro il cybercrime dell’ultimo decennio.
Una prima analisi dei conti bancari usati dal gruppo cyber criminale ha mostrato transazioni
per circa 10.5 milioni di dollari negli ultimi due anni. Gli investigatori hanno anche accer-
tato che il gruppo ha speso oltre mezzo milione di dollari per mantenere l’infrastruttura di
circa 700 server, affittati (ma a volte semplicemente compromessi) presso provider di oltre
50 nazioni [10].
Al termine dell’operazione, le forze dell’ordine sono riuscite a prendere il controllo dell’in-
frastruttura, reindirizzando tutti i computer infetti verso alcuni server appositamente pre-
parati, sui quali è stata caricata una configurazione per disabilitare tutti i nodi infetti. Un
approccio nuovo e di sicuro risultato per interrompere efficacemente le attività del crimine
organizzato informatico.
Allo stato dei fatti non sono state riscontrate più attività delle botnet di Emotet a partire dal
27 gennaio 2021 che coincide con l’operazione di takedown.
Emotet ha quindi subito una battuta d’arresto che sembra davvero definitiva. Rimane tutta-
via il problema dei malware ancora in circolazione, TrickBot e QakBot ad esempio, in passa-
to veicolati da Emotet. C’è un’importante disponibilità di malware estremamente potente,
e pochi veicoli di infezione. Ed è proprio l’attività della botnet di TrickBot che sembra aver
ripreso piede in maniera consistente, subito dopo il takedown di Emotet.
Phishing verso il settore finanziario italiano

Il settore finanziario è tra le maggiori vittime del phishing [12].
Lo studio che segue si basa sull’analisi di 594 campagne di furto di credenziali per l’accesso
a banche e altre istituzioni finanziarie italiane, attive e monitorate nel periodo 1° luglio
– 31 dicembre 2020 (2H2020) assieme a ulteriori 1353 campagne nei primi 9 mesi del
2021. Questa analisi non prende in considerazione i domini registrati con nomi verosimili
di banche o prodotti finanziari (domain squatting) e mai attivati, presumibilmente bloccati
durante l’attivazione oppure abbandonati dagli stessi creatori.
102
Limitandosi al settore finanziario italiano,

nel secondo semestre del 2020 è stata os-
servata una media di 3,2 nuove pagine di
phishing al giorno attivate e perfettamen-
te funzionanti, con una crescita graduale
nel corso dell’anno. Il picco si è raggiunto
nel mese di dicembre 2020, con una me-
dia di 5,6 nuove pagine al giorno.
Il ritmo è ulteriormente cresciuto nel
corso della prima parte del 2021, con un
picco massimo di 10,5 nuove campagne
al giorno raggiunto a febbraio 2021, per
poi scendere gradualmente fino a giugno
2021. L’andamento è stato blando duran-
te il periodo estivo per prendere nuova
forza a partire dai primissimi giorni di
settembre.
I brand più frequentemente vittima di phishing sono stati quelli di Intesa Sanpaolo (28%
delle campagne di phishing analizzate), UniCredit Banca (19% delle campagne), Poste Ita-
liane (13%) e a seguire Banca ING, Findomestic, Banca MPS e poi molti altri brand.
Una pagina di phishing ha generalmente una vita breve. Nel 72% dei casi studiati dura
meno di 48 ore, ma il ricambio è tale da mantenere il numero di pagine attive sempre
sostenuto. Ci sono comunque notevoli eccezioni, con alcune pagine rimaste attive anche
oltre due mesi.
Nel primo semestre del 2021 il 60% dei siti di phishing verso il settore finanziario italiano
è ospitato negli Stati Uniti, in crescita dal 54% nella seconda metà del 2020. (Figura 6)
C’è da notare che quasi un terzo (32%) di tutti i siti analizzati, è ospitato su un unico provi-
der, la statunitense Namecheap, tra le principali aziende di web hosting al mondo con oltre
10 milioni di domini gestiti.
Proprio come per le drop URL del malware, la collocazione geografica del provider che
ospita la pagina di phishing non fornisce alcuna indicazione su dove siano realmente i
threat actors. È ipotizzabile che la collocazione e la scelta del provider siano da attribuirsi
alla combinazione della facilità di creare domini, anche in maniera automatica via API e
pagando in criptovaluta, assieme agli scarsi controlli da parte dei provider.
Il dato che più di ogni altro deve farci rilfettere è che il 91.2% delle URL di phishing usa il
protocollo HTTPs, il cosidetto HTTP “sicuro”.
Tecnologie come HTTPS e l’SSL/TLS sono progettate per proteggere le comunicazioni tra
client e server, tuttavia l’icona del lucchetto nella barra indirizzi del browser può creare la
©
Clusit 2021 103
falsa l’illusione che un sito web possa essere considerato attendibile. Questo interferisce
molto con il giudizio che i visitatori danno del internet.
Tutto questo deve indubbiamente guidare le indicazioni che le organizzazioni forniscono ai
propri clienti, relativamente alla presenza di un lucchetto chiuso e dalla dicitura “https://”
nella barra degli indirizzi come elementi per distinguere una pagina sicura da una non sicu-
ra. Se l’uso di una connessione HTTP di tipo semplice (http://) sicuramente non fornisce
nessuna garanzia sulla controparte, l’uso del protocollo HTTPS, senza successive verifiche
sul tipo di certificato, chi lo ha emesso e per quali scopi, ancora una volta non può darci nes-
suna indicazione di sicurezza.
La decisione sulla veridicità di una connessione HTTPS dovrebbe essere legata alla valida-
zione del dominio. Nella totalità dei casi i phisher usano domini con certificati di tipo Do-
main Validation (DV), la forma più semplice di validazione e quella proposta dai siti di web
hosting per qualche euro o addirittura gratuitamente. I certificati di tipo Domain Validation,
malgrado siano in grado di garantire comunicazioni criptate e sicure attraverso connessioni
HTTPS, poco o nulla dicono sulla autenticità di chi possiede il sito web al quale siamo col-
legati. Questa ambiguità viene sfruttata dai phisher quando usano comunicazioni HTTPS.
Non esiste nessuna forma di controllo sull’entità o sulla persona che richiede un certificato
SSL/TLS per abilitare un sito al protocollo HTTPS, ma si controlla in automatico solo che
chi richiede il certificato abbia il controllo del dominio in questione, cosa ovvia.
I siti reali di banking italiani, purtroppo ancora con qualche grave eccezione, usano quasi
sempre certificati di tipo Organization Validated (OV), o meglio ancora, Extended Valida-
tion (EV). Quest’ ultimo tipo di validazione del certificato, il cui rilascio è articolato e su-
bordinato a numerosi controlli anche di natura legale sull’entità che lo richiede, fornisce le
maggiori garanzie sulla controparte. Per evitare il phishing, il controllo non dovrebbe essere
sull’utilizzo del protocollo HTTPS, ma bensì sul tipo di validazione del certificato usato, e
limitarsi a connessione solo verso siti che usino certificati di tipo Organization Validated
(OV) o Extended Validation (EV).
Alcuni, ma non tutti, i browser forniscono un’indicazione visiva sul tipo di validazione del
certificato, ed è su questo che gli utenti dei servizi di banking andrebbero informati e istruiti.
104
Frequente durante l’anno il fenomeno delle phishing fac-

tory, vere e proprie fabbriche di phishing che riescono a re-
gistrare e spesso attivare una grande quantità di domini di
phishing anche verso target diversi, nel giro di poche ore.
Il phishing verso il settore finanziario italiano è veicolato
principalmente tramite e-mail e SMS, e quest’ultima va-
riante è comunemente denominata smishing, parola ot-
tenuta dalla contrazione di SMS e phishing. In generale
il phishing finanziario mira al furto delle credenziali di
accesso, come il codice cliente in tutte le sue denomi-
nazioni, la password o PIN, e la OTP di accesso e tutti i
suoi equivalenti, ma anche altre informazioni utili a ren-
dere più agevole un accesso fraudolento, come numero di
telefono dell’utente, il codice fiscale e l’indirizzo e-mail.
La frode è normalmente realizzata attraverso una sequen-
za di passi successivi, in ciascuno dei quali vengono rubate solo alcune credenziali, o pezzi
di credenziali, per poi ricomporre tutto assieme durante l’attacco.
Nel corso del 2020, abbiamo notato un incremento dell’uso di falsi operatori bancari, e chat
live di assistenza. I falsi operatori bancari richiamano il numero di telefono che spesso viene
chiesto nella pagina di phishing, presentandosi come addetti della banca che hanno notato
movimenti sospetti. Questa tecnica viene chiamata vishing (da Voice Phishing). Dipenden-
temente da quanto la vittima ha già eventualmente inserito nella prima fase del phishing,
i finti operatori chiedono tutti gli elementi di autenticazione, oppure solo quelli mancanti.
In particolare, questa tecnica è molto usata per convincere la vittima a dare i codici one-ti-
me di autenticazione forte del cliente (Strong Customer Authentication) che sotto diverse
denominazioni ciascuna banca invia in virtù delle specifiche tecniche contenute nella diret-
tiva PSD2. Si può ipotizzare che, mentre è al telefono con noi, il finto addetto faccia login
sul sito vero della banca e per questo ha bisogno dei codici one-time che proprio in quel
momento la banca invia al nostro cellulare o alla App installata sul nostro smartphone, e che
lui non può avere senza il nostro aiuto.
C’è da notare che molti sistemi VOIP consentono la configurazione del numero chiamante
in uscita, quindi non c’è da sorprendersi se alcune delle chiamate dai finti operatori arrivano
da un numero di telefono che è proprio quello della banca [13].
©
Clusit 2021 105
Approccio simile si ha nelle finestre di chat live che cominciano ad essere presenti su
alcune pagine di furto di credenziali. In questo caso l’operatore via chat ha lo stesso ruolo
dell’operatore telefonico nel caso descritto precedentemente, e mira a carpire gli elementi
di autenticazione ancora mancanti, e l’elemento di autenticazione forte necessario per alcu-
ne operazioni a più alto rischio, inclusa l’immissione bonifici.
Vista la semplicità realizzativa e del basso livello di rischio di chi la perpetra, si prevede una
crescita di questo approccio combinato al phishing.
Per riassumere, le caratteristiche distintive delle campagne di phishing e malware sono:

• Perfetta localizzazione in lingua italiana. Sono pressoché scomparse le e-mail contenenti
i grossolani errori grammaticali che vedevamo in passato, o tradotte in automatico;
• Utilizzo frequente di chat live in lingua italiana o addetti bancari telefonici. Questo, assie-
me al punto precedente, ci porta a pensare che il fenomeno degli attacchi bancari in Italia
è operato da attori cyber criminali italiani, anche se con utilizzo di infrastruttura estera.
• Necessità di furto del secondo fattore di autenticazione, che spinge necessariamente la
frode ad un livello molto più avanzato di quanto non era fino a pochi mesi fa.
Molti phishing kit espongono in chiaro, tramite URL accessibili a chi ne conosce il path
esatto, i dati delle vittime della campagna di phishing. Questa che ad una prima analisi
potrebbe apparire un errore di chi ha scritto il phishing kit (Sensitive Data Exposure) per la
sua frequenza potrebbe invece essere spiegata come una scelta dei threat actor per attingere
ai dati “pescati” senza la necessità di alcuna forma di login al sito di phishing, rendendo più
difficile il tracciamento e un’eventuale l’analisi forense.
Questa situazione è di particolare gravità e pericolo per la vittima, in quanto i suoi dati
rimangono visibili e potrebbero cadere in mano, non solo degli attaccanti (cosa di per sé
già estremamente pericolosa), ma anche di altri threat actors “parassiti” che seguono gli
attacchi, e catturano le credenziali di accesso per poi costruirci nuove campagne di attacco.
106
SIM swap ed emulazione dello smartphone

Il SIM swap (scambio di SIM) è uno dei fenomeni che ha registrato maggiore crescita
durante l’anno. L’attacco SIM swap parte da una nuova SIM con stesso numero telefonico
della vittima, ma emessa a sua insaputa usando un suo documento rubato o contraffatto, e
in taluni casi anche in assenza del documento sfruttando la compiacenza del rivenditore,
e consente di ricevere gli SMS o gli altri codici autorizzativi inviati dalla banca alla vitti-
ma. Questo, associato a phishing tradizionale, permette di impossessarsi completamente
dell’account della vittima (account takeover) attraverso gli SMS usati come one time pas-
sword (OTP) nel processo di autenticazione o autorizzazione.
Il SIM swap è una delle tecniche più utilizzate dagli attaccanti nei confronti di vittime che
si avvalgono della possibilità di ricevere i codici via telefono. [2]
Il fenomeno è cresciuto in tutta Europa, sfruttando di volta in volta le carenze procedurali
o tecniche della emissione del duplicato di una SIM oppure nella portabilità del numero di
telefono da un operatore all’altro, cosa che genera l’emissione di una nuova SIM.
Le app bancarie, a seconda dell’implementazione, hanno meccanismi alternativi di auto-
rizzazione delle operazioni, che vanno dalle push notifications, codici di conferma mostrati
a schermo attraverso l’app stessa, all’autorizzazione con l’impronta digitale, e che contri-
buiscono in maniera robusta all’autenticazione del reale intestatario del conto, essendo
più difficili da catturare rispetto agli SMS. È quindi buona pratica installare e usare le app
bancarie, allontanandosi velocemente dagli SMS, tuttavia, questo non ci mette al riparo
dagli attacchi SIM swap in quanto gli attaccanti possono usare la nuova SIM per installare
su un loro smartphone l’app della banca usando tutte le nostre credenziali.
È da capire il ruolo che hanno avuto in questo contesto le campagne di phishing verso
l’applicazione dealerfree di Telecom Italia della prima parte dell’anno. Altresì da stimare
l’impatto che avrà nei prossimi mesi il databreach ad ho Mobile di dicembre 2020 [14].
Gli operatori di telefonia mobile e i loro rivenditori sono diventati, in alcuni casi, una vul-
nerabilità per i sistemi di autenticazione che si basano sul numero telefonico. Promettenti
sono gli esperimenti portati avanti da alcuni operatori che segnalano all’intestatario l’emis-
sione di una nuova SIM e gli danno un tempo sufficiente per bloccare l’operazione.
Completamente nuovi sono invece gli attacchi basati sull’emulazione degli smartphone
[15]. Gli emulatori imitano le caratteristiche dei dispositivi mobili e vengono solitamente
usati dagli sviluppatori per testare le applicazioni e le funzionalità su un’ampia gamma di
tipi di dispositivi con caratteristiche diverse, senza la necessità di acquistarli.
Questi attacchi, non teorici ma già realmente osservati sul campo, emulano i dispositivi
dell’utente (device spoofing) a cui ci si vuole sostituire, caricando dati esfiltrati da campa-
gne di malware o phishing, come le caratteristiche del dispositivo, marca, modello, versione
del sistema operativo, caratteristiche dello schermo, lingua, IMEI, posizione GPS e altro
ancora. Cioè tutti elementi usati per il device fingerprinting. Infine, al dispositivo viene
associato al nome utente e alla password della vittima per poi tentare un attacco al suo
©
Clusit 2021 107
account, che oltre le credenziali dell’utente simuli anche il suo dispositivo. Trattandosi di
un’emulazione software, è possibile replicare questa operazione a volontà e in un gran nu-
mero di istanze, lanciando attacchi automatizzati in contemporanea.
Conclusioni
L’anno appena trascorso ha dimostrato ancora una volta che gli attacchi informatici sono
dominati da gruppi criminali tecnicamente competenti, ben organizzati, pronti a reagire
rapidamente alle contromisure di volta in volta adottate. La protezione e la risposta agli at-
tacchi deve necessariamente adottare lo stesso approccio di competenza tecnica, strumenti,
organizzazione e rapidità.
Nel caso specifico delle frodi finanziarie, punto di partenza imprescindibile è una corretta
informazione al cliente e formazione dei propri dipendenti. È comunque da mettere in
conto che prima o poi un attacco possa realmente accadere, anche nel caso di contromisure
di buon livello.
L’organizzazione che eroga il servizio, ad esempio la banca, deve essere in grado di stabilire
in modo rapido e trasparente la veridicità dell’identità digitale dell’utente ben oltre l’au-
tenticazione fornita dalla username e password, e continuare a verificarla durante tutta la
transazione, classificando il livello di rischio di ciascun utente, connessione, operazione, e
applicando quando necessario controlli di autenticazione più rigidi.
La tecnologia disponibile consente già adesso di analizzare molti fattori. Analisi compor-
tamentale dell’utente, identificazione del dispositivo, associazione, autenticità, igiene del
dispositivo, configurazione, aggiornamenti del sistema operativo e delle applicazioni, posi-
zione, dettagli tecnici sulla SIM, numero di telefono, attributi di sessione e di rete. Questi
dati possono essere combinati con l’ausilio dell’intelligenza artificiale, la threat intelligence
e lo scambio di informazione con altri servizi di prevenzione dai cyber attacchi.
Promettenti i progressi del paradigma di cyber security Zero Trust. Tra i princìpi fondanti
ci sono:
• fornire solo accessi di tipo “least privilege”, con i privilegi minimi per effettuare l’opera-
zione, rilevando e valutando i rischi su dati, identità, endpoint, app e infrastruttura;
• non fidarsi mai, ma verificare sempre con il controllo dell’accesso sensibile al contesto a
tutte le app, dati, API, endpoint e risorse cloud ibride;
• infine, assumere che una violazione possa prima o poi accadere. Identificare le minacce
e predisporre risposte automatiche (Incident Response) che non solo fermano l’attacco
immediato, ma adattano dinamicamente i controlli di accesso.
Interessanti anche le soluzioni che sfruttano l’Intelligenza Artificiale. Il Machine Learning,

in particolare, permette di analizzare costantemente il comportamento di ciascun utente e
il traffico di rete e apprendere autonomamente cosa è normale per un utente o per il traffico
di rete, per poi evidenziare eventuali anomalie.
108
Il tema è quantomai attuale. Il Ponemon Institute, nel Cost of a Data Breach Report, pone
proprio l’intelligenza artificiale, assieme all’automazione nella risposta agli incidenti, tra i
fattori che possono maggiormente contribuire alla riduzione del danno, e quindi dei costi
associati, nel caso in cui una azienda sia vittima di un data breach.
La User Behaviour Analytics, o UBA, sfrutta modelli di Machine Learning che tengono
costantemente sotto controllo le attività di autenticazione e accesso di ciascun utente, i
download, gli upload, i data transfer e infine i movimenti laterali. I modelli apprendono da
soli sulla base dell’attività di ciascun utente, cominciano subito dopo l’installazione e con-
tinuano così apprendendo sempre meglio e in totale autonomia. Più passa il tempo, e più
l’algoritmo diventa preciso. Un comportamento anomalo, sulla base di quanto ciascun uten-
te normalmente fa, ad esempio un file transfer via http in uscita di dimensioni particolar-
mente grandi o verso destinazioni inusuali, oppure una navigazione inconsueta all’interno di
un’applicazione, viene immediatamente evidenziato come attività anomala e può scatenare
azioni automatiche, più o meno importanti, in base alla effettiva rischiosità dell’operazione.
Nella soluzione di Network Threat Analytics ci sono invece modelli di Machine Learning
specializzati nell’analizzare il traffico di rete. La fase di addestramento inizia subito dopo la
configurazione, e questa costruisce un modello di traffico considerato tipico.
Ci sono situazioni nelle quali il Machine Learning può esserci davvero d’aiuto. E sono tutte
quelle in cui si vogliono catturare anomalie rispetto al comportamento “caratteristico” di
ciascun utente o del traffico di rete, demandando però alla soluzione l’onere di capire cosa
è caratteristico utente per utente. Collegarsi da una località geografica insolita, oppure
collegarsi a un orario insolito, e sappiamo quando lo smart working abbia rivoluzionato il
concetto di orario di lavoro e luogo di lavoro, e lo abbia diversificato persona per persona.
Oppure fare sequenze di operazioni insolite. Navigare all’interno di un sito web seguendo
pattern anomali. Oppure fare improvvisamente file transfer insoliti o verso reti o servizi
considerate a rischio. O accedere ad una quantità insolita di documenti office, come fanno
molti ransomware. Questo ora siamo in grado di seguirlo utente per utente, proprio perché
ciascun utente nell’organizzazione ha un modo di lavorare unico che il Machine Learning
è in grado di catturare.
Ci sono poi altre applicazioni dell’Intelligenza Artificiale applicabili alla cyber security. Wa-
tson for CyberSecurity è alla base di molte soluzioni di cyber security. Analizza, ormai da
alcuni anni, blog, siti web, discussioni dell’underground, mailing list, report, security advi-
sory ed estrae contenuti rilevanti per la cyber security da un insieme di contenuti non strut-
turati e scritti in linguaggio naturale, e che quindi sarebbero difficilmente fruibili da una
soluzione informatica. lo fa combinando la traduzione automatica con il Natural Language
Understanding e la Content Analytics per estrarre da informazioni non strutturate e scritte
in linguaggio naturale e in molte lingue nazionali diverse, contenuti, pattern, tendenze e in-
dicatori che possono essere riusati da un’applicazione. Dalla enorme molte di informazioni
sulla cyber security generate ogni ora, su una moltitudine di canali diversi, vengono estratte
©
Clusit 2021 109
informazioni fruibili da una macchina e che supportano il lavoro di decisione e azione delle
varie figure coinvolte nella cyber security, a tutti i livelli. Inoltre, permettono di individuare
automaticamente condizioni sulle quali scatenare azioni di Incident Response automatiche
o supportate dall’operatore.
Alla crescente complessità degli schemi di attacco si uniscono la velocità, la moltitudine
dei sistemi, dati e applicazioni on-premises e nel cloud, lasciando davvero poco tempo per
valutare e rispondere in maniera appropriata agli eventi di sicurezza. Indipendentemente
dalla dimensione dell’organizzazione.
Relativamente al contesto del financial cybercrime italiano, l’89% delle campagne di distri-
buzione malware bancario analizzata è rimasta attiva meno di 48h (Figura 8). Più in gene-
rale, lo sviluppo delle campagne di attacco recenti è molto rapido e per bloccare minacce e
attacchi occorre agire con simile rapidità.
È necessario reinventare la risposta agli attacchi, sia dal un punto di vista tecnologico che
organizzativo. Una tendenza fortemente emergente sfrutta l’utilizzo della Threat Intelligen-
ce nelle soluzioni di sicurezza, combinata alle soluzioni SOAR (Security Orchestration,
Automation and Response). La Threat Intelligence potenzia le soluzioni con informazioni
puntuali su minacce e attacchi che contestualizzati nello specifico settore e area geografica
in cui opera l’organizzazione, e confrontati con quanto realmente installato permettono di
capire se, come e dove l’organizzazione è a rischio oppure è stata già colpita.
La Threat Intelligence è una base di informazioni costruita da un insieme indicatori di
compromissione, in inglese indicators of compromise (IOC), aggiornati in tempo reale e
disponibili in formato “actionable” che ne consenta cioè la fruizione con regole in grado di
generare allarmi e scatenare azioni di risposta automatizzate. La Threat Intelligence è pas-
sata dall’essere uno strumento utile ad uno strumento indispensabile nelle organizzazioni
che vogliono proteggersi efficacemente dagli attacchi cyber. La gestione dell’incidente deve
110
poter coinvolgere tutte le figure necessarie, dando loro gli strumenti e le informazioni per
decidere e interagire velocemente secondo le best practice di mercato e nel rispetto delle
normative di settore, ma demandando il controllo e la gestione di minacce ed attacchi ad
una soluzione tecnologicamente avanzata, lasciando l’organizzazione in grado di operare sul
suo core business, senza alcuna interruzione.
Bibliografia
[1] X-Force Threat Intelligence Index 2021 IBM Security, February 2021
[2] Sicurezza e frodi informatiche in banca – Come prevenire e contrastare attacchi infor-
matici e frodi su Internet e Mobile Banking CERTFin ABI Lab, luglio 2020
[3] ENISA Threat Landscape - List of top 15 threats ENISA European Union Agency for
Cybersecurity, April 2020
[4] Internet Organised Crime Threat Assessment 2020 Europol, October 2020
[5] C. Cimpanu Microsoft and others orchestrate takedown of TrickBot botnet ZDNet, Oc-
tober 2020
[6] Directive (EU) 2015/2366 of the European Parliament and of the Council Official
Journal of the European Union, November 2015
[7] Monitoraggio sul corretto utilizzo del protocollo HTTPS e dei livelli di aggiornamento
delle versioni dei CMS nei portali Istituzionali della PA Cert-AgID, dicembre 2020
[8] Pier Luigi Rotondo Elementi sul cybercrime nel settore finanziario in Europa Rapporto
CLUSIT 2020 sulla sicurezza ICT in Italia, ottobre 2020
[9] Emotet Botnet Activity Monitoring – public collection IBM X-Force Exchange, 2020
[10] Emotet Botnet Disrupted in International Cyber Operation The United States Depart-
ment of Justice, 28 January 2021
[11] World’s most dangerous malware EMOTET disrupted through global action Eurojust –
Europol, 27 January 2021
[12] A. Pilkey Phishing is here to stay F-Secure, December 2020
[13] Contrasto alla criminalità finanziaria - Attività della Polizia Postale contro le frodi “Alias”
Commissariato di P.S. online, novembre 2020
[14] ho. Mobile denuncia attività illecita di ignoti su dati di una parte della propria base
clienti https://www.ho-mobile.it/comunicazione0401/ ho. Mobile, dicembre 2020
[15] S. Gritzman, L. Kessem IBM Trusteer Exposes Massive Fraud Operation Facilitated by
Evil Mobile Emulator Farms SecurityIntelligence, December 2020
[16] V. Drury, U. Meyer Certified Phishing: Taking a Look at Public Key Certificates of Phi-
shing Websites USENIX, Proceedings of the Fifteenth Symposium on Usable Privacy
and Security, august 2019
[17] NCA in international takedown of notorious malware Emotet United Kingdom Natio-
nal Crime Agency, January 2021
[18] ENISA Threat Landscape – Phishing ENISA European Union Agency for Cybersecu-
rity, April 2020
[19] Pier Luigi Rotondo Shopping e saldi invernali più sicuri con i pagamenti elettronici
IBM thinkMagazine, dicembre 2019
[20] Pier Luigi Rotondo IBM X-Force: un passo avanti nella difesa dagli attacchi finanziari
più evoluti IBM thinkMagazine, febbraio 2018
[21] Pier Luigi Rotondo Multifactor Authentication Delivers the Convenience and Security
Online Shoppers Demand SecurityIntelligence, January 2019
©
Clusit 2021 111
[22] Pier Luigi Rotondo How Will Strong Customer Authentication Impact the Security of
Electronic Payments? SecurityIntelligence, September 2019
[23] Pier Luigi Rotondo Come proteggersi dagli attacchi Business Email Compromise INTE-
SA, maggio 2019
[24] Trickbot’s Updated Password-Grabbing Module Targets More Apps and Services Trend-
Micro, December 2019
[25] L. Abrams TrickBot Now Steals Windows Active Directory Credentials BleepingCom-
puter, January 2020
[26] O. Harpaz TrickBot’s Cryptocurrency Hunger: Tricking the Bitcoin Out of Wallets Se-
curityIntelligence, February 2018
[27] O. Ozer The Curious Case of a Fileless TrickBot Infection SecurityIntelligence, August
2019
[28] Pier Luigi Rotondo Sai cosa sono gli attacchi BEC? IBM thinkMagazine, giugno 2019
[29] Pier Luigi Rotondo Multifactor Authentication Delivers the Convenience and Security
Online Shoppers Demand SecurityIntelligence, January 2019
[30] Pier Luigi Rotondo How Will Strong Customer Authentication Impact the Security of
Electronic Payments? SecurityIntelligence, September 2019
[31] Pier Luigi Rotondo Come proteggersi dagli attacchi Business Email Compromise INTE-
SA, maggio 2019
[32] Pier Luigi Rotondo Acquisti online? Ecco come farli in modo sempre più sicuro IBM
thinkMagazine, dicembre 2018
[33] Pier Luigi Rotondo Proteggere le risorse informative con la sicurezza cognitiva e con
soluzioni in grado di adattarsi alle minacce future ICT Security Magazine n.140/2016,
October 2016
[34] M. Schieppati I 5 tech-trend del 2020 in banca Bancaforte, gennaio 2020[35] Pier Lu-
igi Rotondo Soluzioni di sicurezza più efficaci con la threat intelligence di IBM X-Force
Exchange IBM thinkMagazine, aprile 2021
112
SPECIALE FINANCE
Evoluzione delle minacce cyber nel settore finanziario

italiano
[A cura di Roberto Tordi e Gabriele Gamberi, CERTFin]
Il CERTFin, Computer Emergency Response Team del settore finanziario1, nato su ini-
ziativa dell’ABI e della Banca d’Italia, cui successivamente hanno aderito ANIA, IVASS e
Consob, nell’ambito delle proprie attività istituzionali, nei mesi di marzo e maggio del 2021,
ha avviato due survey di settore, con l’obiettivo di analizzare i trend dei fenomeni di frode
e di gestione della cybersecurity all’interno degli ambiti bancario e assicurativo, in Italia.
A seguire, dunque, si intende condividere un estratto delle principali evidenze emerse

dall’analisi dei dati raccolti e pubblicati in maniera più dettagliata all’interno di due report
curati dal CERTFin. Successivamente, per completezza, si offrirà una breve panoramica
sulle principali minacce che si prevede potranno interessare il settore finanziario italiano
nel breve-medio periodo.
Analisi e trend in atto nel settore bancario italiano

Nel 2021, la rilevazione dedicata al settore bancario ha indagato il fenomeno delle frodi
informatiche realizzate nel corso dell’anno, attraverso i canali Internet e Mobile Banking e
le conseguenti azioni di prevenzione e di contrasto realizzate dalle banche italiane.
Oltre al consueto dimensionamento e alla caratterizzazione delle frodi, è proseguita la rac-
colta di informazioni sui nuovi modelli di social engineering realizzati a danno della clien-
tela e sui principali attacchi finalizzati a compromettere la confidenzialità, l’integrità e la
disponibilità di dati, informazioni e servizi interni alla banca e/o offerti al cliente.
I dati richiesti sono riferiti al periodo temporale compreso fra il 1° gennaio e il 31 dicembre
2019. Hanno partecipato alla rilevazione in oggetto 23 banche operanti sul mercato italia-
no, con una rappresentanza, in termini di personale dipendente, del 73% del settore.
In generale si può affermare che, nell’arco del 2020, si sia assistito ad un lieve aumento del
numero complessivo di attacchi andati a buon fine.
Sul totale delle transazioni anomale, la percentuale delle frodi che hanno comportato un
impatto economico, aggregando i segmenti Retail e Corporate, è stata infatti pari al 17%,
contro il 14,5% dell’anno precedente. Tra i fattori alla base di tale incremento, si evidenzia
una quota di frodi effettive attuate attraverso bonifici istantanei e un maggior peso, nel pas-
sato trascurabile, delle transazioni fraudolente effettive sulle ricariche di carte prepagate,
passate, per il segmento Retail, dal 5% del 2019 al 25% del 2020 e per il segmento Corpo-
rate dallo 0% a circa il 20%.
1 In linea con quanto previsto dalla Convenzione Istitutiva del CERTFin, con il termine “settore finanziario italiano” si intende l’insieme
delle organizzazioni che operano in questo ambito, ovvero: banche, imprese assicurative, provider dei servizi di pagamento, infrastrut-
ture critiche di settore, istituti di moneta elettronica e ogni altro tipo di istituzione finanziaria.
©
Clusit 2021 113
Fig. 1 - CERTFin – Rapporto Sicurezza e Frodi informatiche in banca ed. 2021 –

Ripartizione Bloccate/Effettive - analisi sul numero di accadimenti clientela Corporate e
Retail
Più in generale, sembra essere confermata la tendenza già registrata in occasione delle
precedenti rilevazioni, che vede la clientela Retail interessata da una numerosità di attacchi
quattro volte maggiore, rispetto al Corporate.
Nonostante il brusco cambio di scenario dovuto agli impatti della pandemia, tutt’ora in atto

e l’ulteriore sofisticazione di alcuni pattern di frode a cui abbiamo assistito, pur con una
8VERWE^MSRM si mantiene
leggera flessione, la percentuale di transazioni fraudolente bloccate/recuperate
a livelli elevati: in media l’83%. JVEYHSPIRXIIJJIXXMZI
8VERWE^MSRM
JVEYHSPIRXI
FPSGGEXIVIGYTIVEXI
8VERWE^MSRM
JVEYHSPIRXIIJJIXXMZI
8VERWE^MSRM
JVEYHSPIRXI
FPSGGEXIVIGYTIVEXI

Ripartizione percentuale sul numero di accadimenti (complessivo Retail e Corporate)
114
SPECIALE FINANCE - Evoluzione delle minacce cyber nel settore finanziario italiano
Sul fronte dei vettori d’attacco, invece, nel corso del 2020 si è assistito ad un incremento
consistenze di fenomeni legati alla creazione di siti clone e particolarmente diffuse sono
state le campagne di phishing e di malspam aventi come target l’utente finale: in sostanza,
i cyber criminali hanno sfruttato a loro vantaggio il tema “pandemia” utilizzandolo come
“esca” per distribuire trojan bancari e manipolare utenti al fine di ottenere profitti illeciti.
In generale, appare opportuno evidenziare come ormai le tecniche miste (ad esempio social
engineering combinato con malware) siano prevalenti rispetto alle altre, arrivando a rap-
presentare il 65% degli attacchi, toccando ben l’80% considerando la sola clientela Retail.
Fig. 3 - CERTFin – Rapporto Sicurezza e Frodi informatiche in banca ed. 2021 – Tipologia
e distribuzione tecniche di attacco - Canale Mobile - Casi di frodi identificate – Clientela
Retail
Il segmento Corporate risulta essere, di contro, maggiormente soggetto a frodi perpetrate

tramite l’utilizzo di malware, molti dei quali con funzionalità di tipo MITB (Man in the
Browser).
Si riporta inoltre, come evidenza particolarmente positiva emersa dall’analisi dei dati rac-
colti, la diminuzione del fenomeno SIM SWAP (solo il 5% delle tecniche utilizzate per il
segmento Retail).
Il ridimensionamento di questa tipologia di frode è in parte riconducibile anche allo sforzo
prodotto dal tavolo di lavoro congiunto tra settore bancario, rappresentato dal CERTFin, e
gli operatori telefonici, attivo già dalla fine del 2019 che ha permesso l’avvio di una speri-
mentazione, ancora in corso, di alcune contromisure tecniche che, al momento, sembrano
essersi dimostrate efficaci e che, se opportunamente diffuse, potrebbero neutralizzare tale
fenomeno o renderlo, nei fatti , del tutto marginale.
©
Clusit 2021 115
Spostando, poi, l’attenzione sugli attacchi rivolti alla confidenzialità, integrità e disponibilità
, nell’arco del 2020 è stato registrato un picco di eventi RDDoS (eventi che risultavano es-
sere sporadici in passato), in massima parte concentrati su 3 grandi ondate, con il 57% degli
istituti che ha dichiarato di averne subito almeno uno.

Rilevazione attacchi DDoS anno 2020
Interessante, anche sottolineare il mutato scenario nella distribuzione geografica dei conti
di riciclaggio del denaro frutto di frodi: da Paesi dell’area economica europea si va sem-
pre più verso destinazioni diverse, anche extra UE. Dall’analisi del dato appena descritto,
emerge l’importanza di rafforzare le collaborazioni internazionali, finalizzate ad una diffusa
condivisione non soltanto di informazioni tecniche ma anche di pattern di attacco, così da
poter definire meccanismi di prevenzione e difesa sempre più efficaci.
Va sottolineato, infine, come il settore, nel suo complesso, abbia mostrato un buon livello di
risposta agli incidenti, anche grazie al rafforzamento dei profili di sicurezza e monitoraggio
degli accessi con nuove soluzioni, quali ad esempio il Cloud Access Security Broker.
Trend in atto nel settore assicurativo

Nel 2021, per il secondo anno consecutivo, il CERTFin e l’ANIA hanno elaborato una
survey di settore, con l’obiettivo di delineare lo scenario relativo alla gestione della cyberse-
curity nel settore assicurativo: le strutture di governo, i trend tecnologici in atto, i fenomeni
di frode rilevati e i processi di prevenzione e contrasto.
Hanno partecipato alla rilevazione 19 imprese assicurative, con una rappresentanza sul
mercato italiano di circa il 70% del settore.
116
Andando nel dettaglio, all’interno dell’analisi relativa alla conformazione delle strutture di
Cybersecurity, è emerso come anche nel settore assicurativo vi siano stati alcuni cambia-
menti significativi in termini di modalità operative e dotazioni acquisite, in concomitanza
con il ricorso intensivo al lavoro agile dovuto all’emergenza epidemiologica da COVID-19.
A tal proposito, il 100% delle imprese assicurative rispondenti ha dichiarato di aver intro-
dotto, nel corso del 2020, lo strumento del lavoro agile al proprio interno, seppur con quote
differenti di personale:
• il 72% delle imprese rispondenti ha dichiarato di aver indirizzato verso il lavoro agile fino
al 100% del proprio personale;
• il 17% dei rispondenti ha dichiarato di aver indirizzato verso il lavoro agile una quota di
personale variabile tra 50 e il 70%;
• l’11% dei rispondenti ha dichiarato di aver indirizzato verso il lavoro agile meno della metà
del proprio personale.
Ad ogni modo, si prevede che gli sforzi di adeguamento tecnologico e organizzativo, soste-
nuti in gran parte durante l’anno 2020, potranno essere di utilità anche nel breve-medio
periodo, poiché il 94% delle imprese prevede di mantenere il lavoro agile come possibile
modalità di lavoro per il personale dipendente, anche a conclusione dell’attuale crisi pan-
demica.
Rispetto al dimensionamento dei fenomeni cyber rilevati, si segnala come il settore sia
esposto ai principali modelli di attacco o di frode che si riscontrano nel settore finanziario
(es. diffusione di Ransomware, attacchi DDoS, campagne di Phishing, etc.).
Per quanto riguarda, invece, il livello di sofisticazione percepito sui diversi modelli di attac-
co rilevati, si segnala che il 78% delle imprese rispondenti ha registrato, innanzitutto, un
aumento del grado di sofisticazione delle campagne di phishing e il 50% segnala un aumen-
to della sofisticazione degli attacchi ransomware.
©
Clusit 2021 117
Fig. 5 - CERTFin-ANIA La: La gestione della Cybersecurity nel settore assicurativo italiano,
ed.2021 - Tendenza evolutiva percepita in termini di sofisticazione degli eventi cyber rilevati.
A partire da quest’anno si è deciso di analizzare l’incidenza di alcuni fenomeni cyber di

particolare rilevanza per il settore assicurativo ed in parte monitorati anche dagli organismi
di vigilanza.
Nello specifico, si fa riferimento al fenomeno della clonazione a scopo fraudolento dei siti
web ufficiali delle imprese assicurative e al fenomeno del ghost broking, nella forma perpe-
trata attraverso il canale internet, ovvero la pratica secondo la quale il frodatore, spaccian-
dosi per agente di un’impresa assicurativa, a seguito del pagamento di un “premio” rilascia
al cliente una polizza assicurativa, ovviamente falsa.
Rispetto al primo fenomeno descritto, si evidenza come la maggior parte delle imprese, il
72%, ha dichiarato di non aver rilevato casi di clonazione dei propri siti web nell’arco del
2020.
Il restante 28% dichiara, al contrario, di aver rilevato questo tipo fenomeno.
Ad ogni modo, dall’analisi dei dati emerge come la maggior parte delle imprese presenti sul
mercato italiano si è dotata di strumenti utili per la «detection» di questo tipo di minaccia.
118
Fig. 6 - CERTFin-ANIA (La gestione Fig.7 - Modalità tramite le quali le

della Cybersecurity nel settore assicurativo imprese assicurative coinvolte sono venute
italiano, ed.2021) Percentuale di a conoscenza dei fenomeni di clonazione
imprese che hanno riscontrato fenomeni dei siti web aziendali a scopo fraudolento.
di clonazione dei siti aziendali a scopo
fraudolento.
Per quanto riguarda, invece, il ghost broking, il 33% delle imprese rispondenti ha segnalato
di aver rilevato casistiche di questo fenomeno ai danni della clientela.
La totalità di queste ultime, ovvero il 100%, ha dichiarato che i casi riscontrati hanno ri-
guardato l’ambito delle polizze RCA, il 33% ha registrato casistiche anche nell’ambito delle
polizze danni non auto, mentre il 17% dei casi nell’ambito delle polizze vita.
Ulteriori elementi di analisi raccolti durante le diverse occasioni di confronto con i prin-
cipali player del settore assicurativo italiano, lasciano ipotizzare, per il futuro, un trend in
aumento del fenomeno del ghost broking.
Per questo motivo, appare auspicabile avviare una discussione interna al settore al fine di
trovare una soluzione efficace per arginare questo fenomeno, che oltre a minare la reputa-
zione delle imprese coinvolte può mettere in seria difficoltà la vittima del raggiro, convinta
di potersi avvalere, all’occorrenza, di una copertura assicurativa che in realtà non possiede.
Tra gli obiettivi della survey in oggetto, vi era anche l’intenzione di monitorare la diffusione
e la conformazione degli strumenti di “Cyber Insurance” presenti sul mercato.
A tal proposito, si segnala che:
• il 76,5% delle imprese assicurative, dichiara di aver provveduto a stipulare una polizza di
cyber insurance per la propria protezione (+18% rispetto alla precedente rilevazione);
• il 58% delle imprese assicurative dichiara di essere già presente sul mercato delle polizze
di cyber insurance (+17,5% rispetto alla precedente rilevazione) e il 5% prevede di entrar-
vi nell’arco del 2021;
• i costi per la violazione dei dati, gli indennizzi per l’assistenza tecnica, l’assistenza legale e
la copertura dei danni da interruzione di esercizio risultano essere le coperture maggior-
mente presenti all’interno delle polizze di cyber insurance offerte alla clientela.
©
Clusit 2021 119
Panorama delle minacce cyber per il settore finanziario italiano

Dopo aver analizzato le principali evidenze di interesse per i principali ambiti del settore fi-
nanziario, si ritiene opportuno offrire una panoramica sintetica delle minacce che potranno
interessare, nel breve-medio periodo, le istituzioni finanziarie.
Più nello specifico, per i prossimi mesi, appare plausibile ipotizzare uno scenario delle
minacce cyber di interesse per il settore finanziario, in sostanziale continuità con l’attuale.
Si fa particolare riferimento all’evoluzione dei seguenti fenomeni cyber:
• Vulnerabilità da parte di fornitori di terze parti: le organizzazioni criminali pro-
seguiranno la ricerca attiva di vulnerabilità 0-day che impattano software ampiamente
diffusi.
Infatti, l’andamento delle vulnerabilità critiche individuate dalla cyber community sta
crescendo rapidamente in tutto il mondo.
Lo sfruttamento di tali vulnerabilità potrebbe facilitare l’ingresso nelle reti delle organiz-
zazioni anche in considerazione del fatto che il patch management sta diventando sempre
più complesso e con tempi di intervento mediamente più lunghi rispetto al passato.
• Attacchi DDoS su servizi 3DS: oltre al consueto targeting delle infrastrutture IT,
negli ultimi mesi alcuni attacchi DDoS hanno preso di mira i servizi di autenticazione 3D
Secure utilizzando piccoli volumi di traffico. In questi attacchi, gli aggressori mascherano
gli effettivi indirizzi IP vettori dell’attacco (attraverso tecniche di spoofing) con indirizzi
IP di soggetti legittimati ad accedere a servizi 3DS con l’obiettivo di causare l’inserimento
in blacklist degli indirizzi IP legittimi, generando dei disservizi. Difatti, tale dinamica
potrebbe portare ad una situazione in cui un merchant, in fase di elaborazione e autoriz-
zazione di una transazione del cliente, tenta di accedere senza successo al servizio 3DS a
causa delle misure di prevenzione messe in atto.
Come conseguenza del tentativo di autorizzazione non andato a buon fine, il merchant
avrebbe quindi la possibilità di rinunciare alla transazione oppure autorizzarla rinuncian-
do alla verifica, ma offrendo il fianco a eventuali frodi.
Per completezza, si ricorda che il CERTFin aggiorna e pubblica semestralmente (nel mese
di giugno e di dicembre di ogni anno) il report denominato “Threat Landscape Scenario for
the Italian Financial Sector”.
120
SURVEY
La percezione delle aziende e organizzazioni italiane in

merito alle minacce informatiche, all’impatto degli attacchi
ed alla capacità di difesa
[A cura di Vita Santa Barletta e Danilo Caivano (Università degli Studi di Bari) e di
Luisa Colucci e Domenico Raguseo (Exprivia S.p.a.)]
Il rapporto Clusit 2021 ha evidenziato come, nel corso del 2020, il numero di attacchi gravi
di dominio pubblico siano in crescita del +12% rispetto al 2019 (1.871). In media 156
attacchi gravi al mese a livello globale. Ciò è confermato anche dai dati riportati dall’Osser-
vatorio sulla CyberSecurity di Exprivia che registra nell’ultimo anno (2020 – Fig. 1) e nei
primi mesi del 2021 (Fig. 2) un incremento del numero di attacchi, incidenti e violazioni di
privacy connessi al cybercrime su tutto il territorio nazionale (Fig. 3).
Uno scenario che considerando anche gli ultimi eventi pandemici vissuti, tende a crescere.
Basti pensare alla trasformazione digitale in corso delle aziende che per sopravvivere devo-
no necessariamente essere “smart”. Un termine che negli ultimi mesi è stato utilizzato in
diversi contesti e in diverse sfaccettature, ma che non rende sicuramente un’azienda o un
dipendente sicuro da attacchi informatici. Anzi, il cambiamento imposto alle aziende per
far fronte al periodo di lockdown dovuto al COVID-19 ha reso smart determinate tipologie
di attacchi.
Analizzare l’andamento degli attacchi che maggiormente influenzano la percezione delle

aziende/enti, permette di delineare non solo linee guida per poter aumentare il livello di
sicurezza, ma soprattutto comprendere il problema relativo alla tipologia di vulnerabilità alla
quale l’azienda/ente è soggetta.
©
Figura 1 - Attacchi Cybercrime nel corso del 2020 – Osservatorio Exprivia CyberSecurity
Figura 2 - Attacchi Cybercrime nel corso del 2021 – Osservatorio Exprivia CyberSecurity
122
SURVEYY - La percezione delle aziende e organizzazioni italiane in merito alle minacce
informatiche, all’impatto degli attacchi ed alla capacità di difesa
Figura 3 - Suddivisione attacchi, incidenti e violazioni privacy per aree geografiche -

Osservatorio Exprivia CyberSecurity
Obiettivo dello studio

Lo studio è stato realizzato con l’obiettivo di valutare la percezione che le organizzazioni
hanno della sicurezza informatica al fine di poter definire strategie di contenimento del
rischio applicabili non solo all’infrastruttura IT, ma anche al software utilizzato e all’orga-
nizzazione tutta.
A tale scopo è stato realizzato un survey utile a fornire una caratterizzazione quali-quantita-
tiva del fenomeno. Le aree di investigazione sono state:
• regione in cui l’azienda opera;
• tipologia di azienda rispondente;
• attacchi informatici subiti ed eventuali danni rilevati anche durante il periodo del lock-
down;
• capacità di difendersi in caso di attacco informatico;
• grado di consapevolezza dei dipendenti circa i rischi conseguenti un attacco;
• conformità a standard e regolamenti in ambito privacy e security.
Al survey hanno risposto 304 aziende/enti. Per la sua promozione e somministrazione sono
stati utilizzati differenti canali social, Linkedin, Twitter e Facebook, con lo scopo di mas-
simizzare il numero di soggetti coinvolti e potere così fornire una panoramica ampia del
fenomeno. Il survey è accessibile al seguente link https://forms.gle/NjrCt7RmwH9SdJTw8
©
Clusit 2021 123
Analisi dei risultati

Delle 304 risposte raccolte, possiamo notare che il campione che ha aderito allo studio
opera in diverse regioni del territorio italiano (Fig. 4): Abruzzo, Emilia-Romagna, Lazio,
Liguria, Lombardia, Marche, Piemonte, Puglia, Sicilia Toscana e Veneto. Inoltre alcune
aziende, 24, hanno riportato che forniscono servizi in tutto il territorio nazionale.
Figura 4 - Ripartizione del campione intervistato per regione
Il 52,4% si riferisce a piccole imprese (fino a 50 dipendenti), il 28,3% a medie (da 51 a 250
dipendenti) e il 28,3% a grandi (oltre 250 dipendenti) (Fig. 5).
Il 12,7% del campione è un soggetto pubblico, l’85,7% privato e, infine, il 1,6% a soggetti
pubblico-privato (Fig. 6).
124
Figura 5 - Ripartizione del campione intervistato per dimensione
Figura 6 - Ripartizione del campione intervistato per tipologia
La Figura 7 presenta invece la distribuzione dei soggetti intervistati per settore di riferi-
mento. Il 33,4% operano nel settore “Consulting e Software/Hardware Vendor” e il 19% in
“Research-Education”.
Seguono rispettivamente con il 6,3% “Critical Infrastructure”, “Manufacturing”, “Sanità” e
“Servizi Online e Cloud”, e con il 3,2% “Governo-Militare” e “ICT”. Il 4,8%, invece, opera
in “Studio Ingegneria” e con il 1,6% ciascuno i settori “Automotive”, “Banca e Finanza”,
“Comunicazione”, “Estetica”, “Grande Distribuzione e Vendita al dettaglio”, “Osteopatia”
e “Turismo”.
©
Clusit 2021 125
Figura 7 - Ripartizione del campione intervistato per settore di appartenenza
Procedendo con l’investigare gli attacchi nel corso del 2020, si ha che il 76,2% del cam-
pione ha dichiarato di non essere stato soggetto ad attacchi informatici. Il 23,8%, invece,
riporta di aver subito attacchi (Fig. 8) ed in particolare il 3,2% afferma che gli attacchi
informatici subiti sono relativi al periodo di lockdown a causa del COVID-19. Il 19%, al
contrario, ha dichiarato che gli attacchi subiti non hanno nessuna connessione con il pe-
riodo di lockdown, ed infine l’1,6% non ha nessuna percezione sulla possibilità che i danni
subiti possano essere in relazione al periodo vissuto (Fig. 9).
126
Figura 8 - Distribuzione dei soggetti vittima di attacchi nel corso del 2020
Figura 9 - Distribuzione dei soggetti vittima di attacchi nel periodo di lockdown a causa del
COVID-19
I danni subiti sono stati valutati trascurabili per il 26,7% dei soggetti coinvolti, bassi per il
13,3%, di media entità per il 40%, e molto alti per il 20% (Fig. 10). Nessuno ha valutato
con un valore alto l’impatto subito.
©
Clusit 2021 127
La tipologia di danni subiti (Fig. 11) risulta essere per il 37,5% riconducibile ad una
perdita/esfiltrazione di dati, per il 25% di natura economica, per il 16,7% a un danno di
immagine, il 16,6% di tipo fisico/infrastrutturale e di tempo. Mentre il 4,2% non ha rilevato
alcun danno a seguito dell’attacco ricevuto.
Figura 10 - L’azienda/ente come valuta i danni subiti
Figura 11 - Ripartizione del campione per tipo di danni subiti
128
Per quanto riguarda la capacità dei soggetti intervistati di difendersi in caso di attacco infor-
matico, il 41,3% si ritengono pienamente in grado di difendersi, il 17,5% sufficientemente
capaci, il 41,2% poco o incapace di difendersi (Fig. 12).
Figura 12 - Ripartizione del campione per capacità di difesa da attacchi informatici
La Figura 13 mostra la ripartizione del campione intervistato per grado di conformità a

standard e regolamenti in ambito privacy e security. Il 31,7% si dichiara completamente
conforme, il 22,2% di esserlo abbastanza. Il 12,7% ritiene di esserlo sufficientemente, il
22,2% poco e il 11,1% per niente. Di conseguenza è possibile affermare che la maggioranza
del campione si ritiene conforme a regolamenti e standard in ambito privacy e security.
©
Clusit 2021 129
Figura 13 - Ripartizione del campione intervistato per grado di conformità a standard e

regolamenti in ambito privacy e security
Per quanto concerne la percezione circa la probabilità di un attacco informatico, il 47,6% lo

ritiene altamente possibile, il 23,8% sufficientemente probabile. Mentre il 25,4% lo ritiene
poco probabile e solo il 3,2% ritiene nulla la probabilità (Fig. 14).
Figura 14 - Ripartizione del campione intervistato per probabilità di attacco informatico
Al contempo, per quanto riguarda i dati relativi al grado di consapevolezza dei dipendenti
circa i rischi conseguenti ad un attacco informatico (Fig. 15), il 19% e il 22,2% dei soggetti
intervistati dichiarano rispettivamente una consapevolezza molto alta e abbastanza alta. Il
15,9% sufficientemente consapevole, il 30,2% e il 12,7% invece, poco o per niente consa-
pevoli.
130
Figura 15 - Ripartizione del campione intervistato per grado di consapevolezza sui rischi
conseguenti un attacco
Il 54% dei soggetti intervistati dichiara che all’interno della propria azienda si tengono corsi
di formazione specifici sulla sicurezza mentre i restanti 46% dichiara di no (Fig.16).
Figura 16 - Ripartizione del campione intervistato rispetto all’attività formativa svolta sulla
sicurezza informatica
Analizzando, invece, la percezione del campione circa la necessità di formazione specifica

sulla sicurezza informatica, si evince che il 95,2% valuta positivamente la frequenza a corsi,
a differenza del 4,8% (Fig. 17).
©
Clusit 2021 131
Figura 17 - Ripartizione del campione intervistato rispetto all’utilità percepita di corsi di

formazione sulla sicurezza informatica
Per quanto riguarda le misure di prevenzioni adottate (Fig. 18) dai soggetti intervistati, il
34,6% ricorrono a “Firewall e Data Firewall”, il 32,4% ad “Antivirus”, il 12,3% a strumenti
di “Data Loss Prevention”, l’11,7% utilizzano “Intrusion Prevention System e Intrusion De-
tection System”, il 6,1% SIEM, l’1,7% di Penetration Testing Software, ed infine l’1,1% non
adotta alcun metodo o strumento o non ne è a conoscenza.
Il 44,4% dei soggetti, meno della metà del campione, si preoccupa di verificare i requisiti di
sicurezza sia durante la fase di acquisto di software/servizi da terze parti, che all’interno dei
termini e condizioni di sottoscrizione dei servizi cloud. Il 55,6%, invece, non opera alcuna
verifica (Fig. 19).
132
Figura 18 - Ripartizione del campione intervistato per misure di prevenzione adottate
Figura 19 - Ripartizione del campione intervistato rispetto all’attività di verifica sicurezza in

fase di procurement
©
Clusit 2021 133
Percezione vs Stato della Cybersecurity

Il 76,2% del campione intervistato dichiara di non aver subito un attacco, ma tale percezio-
ne è in netta contraddizione con i dati rilevati dall’Osservatorio, in quanto registra una netta
crescita degli attacchi sul territorio italiano (Fig. 2). Agli attacchi e incidenti va poi aggiunto,
per avere uno scenario completo, anche il tema relativo alla violazione della privacy. Non
dimentichiamo, infatti, che gli attacchi sono solo una parte del problema. Le violazioni
della privacy registrate entro agosto 2021 rappresentano il 5,1% dei problemi e il 20,9% è
rappresentato dagli attacchi che si trasformano in incidenti (Fig. 20).
Figura 20 - Attacchi, incidenti, violazioni di privacy - Osservatorio Exprivia CyberSecurity
I settori maggiormente colpiti sono “Software/Hardware” e “Finance”, seguono la “Pubblica

Amministrazione”, il settore “Retail” e “Industria”.
La tipologia di danni subiti, come riportato dal campione intervistato (Fig. 21), è confer-
mata anche nel 2021 dall’Osservatorio. L’esfiltrazione/perdita di dati è la tipologia di danno
maggiormente subito (Fig. 22).
134
Figura 21 - Suddivisione per tipologia di vittime - Osservatorio Exprivia CyberSecurity
Figura 22 - Danni subiti - Osservatorio Exprivia CyberSecurity
©
Clusit 2021 135
La tecnica di attacco maggiormente utilizzata è il “Phishing/Social Engineering”, seguita da

“Malware” e “Known Vulnerabilities” (Fig. 23). I malware maggiormente utilizzati risultano
i “Trojan” e “Banking Trojan” (Fig. 24).
Figura 23 - Tecniche di attacco - Osservatorio Exprivia CyberSecurity
Figura 24 - Malware - Osservatorio Exprivia CyberSecurity
136
Conclusioni
Lo studio condotto sullo stato della sicurezza informatica in Italia ha complessivamen-
te coinvolto un campione di 304 aziende/enti. Va evidenziato che i risultati, per quanto
significativi, vanno interpretati con cautela e certamente in chiave pessimistica. Coloro
che hanno partecipato al survey, per le modalità con cui quest’ultimo è stato promosso ed
erogato, hanno un livello di alfabetizzazione informatica medio-alto e rappresentano una
percentuale modesta di coloro che giornalmente fanno uso inconsapevole di sistemi e tec-
nologie digitali.
Più della metà dei soggetti intervistati riguarda la piccola azienda (52,4%) con settori estre-
mamente diversificati. Ciò potrebbe riguardare la necessità dei soggetti di aderire a pro-
grammi che permettano loro di aumentare il livello consapevolezza sulla sicurezza informa-
tica per poter far fronte al contesto delle minacce informatiche. Basti pensare che più della
metà del campione (55,6%) non opera alcuna verifica sui requisiti di sicurezza sia durante
la fase di acquisto di software/servizi da terze parti, che all’interno dei termini e condizioni
di sottoscrizione dei servizi cloud.
Su 304 aziende, il 23,8% riporta di aver subito attacchi informatici nel corso dell’anno, con
una valutazione dei danni medio-alto. Un dato importante visto la maggior parte di loro
hanno subito danni economici, di immagine e soprattutto di perdita di dati. Inoltre, ciò
è stato confermato dai dati registrati fino ad agosto 2021 dall’Osservatorio Cybersecurity
di Exprivia. Il 41,2%, infatti, non ritiene la sua azienda in grado di difendersi da attacchi
informatici. Una percentuale alta e che molto probabilmente nasconde anche l’assenza di
capacità nel rilevare un attacco informatico. Infatti tra le misure di prevenzione adottate
non emergono nessuna tipologia di esercizi di Red Team e/o Blue Team per poter addestrare
il proprio personale a difendersi.
Non a caso il 95,2% dei soggetti ritengono utile la formazione sulla sicurezza informatica.
Un risultato che esprime come le aziende/enti stiano cambiando la loro percezione sul
livello di consapevolezza sulla sicurezza informatica.
©
Clusit 2021 137
SURVEY
L’efficienza delle strutture sanitarie italiane per affrontare

i rischi di sicurezza informatica
[A cura di Denis Valter Cassinerio, Bitdefender]
Lo studio, realizzato da Bitdefender, evidenzia rilevanti criticità sia in termini tecnologici

che di competenze: rilevazione degli attacchi (44%), cultura (44%) e competenze (46%)
sono i punti più deboli tra tutti i fattori presi in esame.
Negli ultimi due anni la pandemia Covid-19 ha scosso il mondo sanitario sotto un duplice
punto di vista: da un lato il forte stress a cui il personale medico è stato sottoposto, dall’altro
la necessità di intensificare il processo di trasformazione digitale ormai indispensabile an-
che in questo settore. Non solo, l’aumentato interesse nei confronti della sanità ha portato
alla luce anche questioni aperte riguardanti la cybersecurity. Da una ricerca Gartner su
scala globale emerge come la telemedicina stia diventando protagonista negli investimenti,
indicata come la priorità nel 61% dei casi. Per il 46% anche la gestione dei dati e relativa
analisi sono da prendere in considerazione con urgenza, mentre la sicurezza IT arriva subito
dopo con il 42%.
In questo contesto, abbiamo deciso di monitorare con attenzione l’evoluzione delle temati-
che di cybersecurity sul mercato italiano dell’healthcare, attraverso l’indagine “Healthcare
Cybersecurity” realizzata nel nostro Paese lo scorso maggio 2021 per valutare lo status
di efficienza della sicurezza informatica nel settore sanitario. Dall’indagine emerge
complessivamente una preparazione nettamente insufficiente sia in termini di tec-
nologie che di competenze professionali. Un dato che mette in allarme considerando
la trasformazione digitale che il mondo dell’healthcare, nel suo complesso, sta vivendo.
Nell’analisi è stato direttamente coinvolto il personale delle strutture sanitarie, per l’85%
pubbliche e le restanti 15% private, omogeneamente distribuite su scala geografica e per
la maggioranza di medie-grandi dimensioni (54%, pari a una disponibilità letti tra i 100 e i
500). Secondo lo studio, inoltre, il 93% delle aziende del settore sanitario ha subito attacchi
informatici in passato mentre il 64% ritiene probabile, o altamente probabile, un attacco
informatico nel prossimo futuro.
La cura del paziente, la sicurezza delle informazioni e dei dispositivi di diagnosi e intervento
rendono il settore sanitario un ecosistema vasto e complesso come ben pochi altri ambiti.
Inoltre il settore è fortemente preso di mira dalla criminalità informatica. Solo ad aprile
2021 sono stati rilevati in Italia circa 7 mila attacchi.
Sei pilastri per un’efficiente Cybersecurity nella sanità

Per contrastare la vulnerabilità ai cyberattacchi, si ritiene che le organizzazioni nell’ambito
della sanità debbano garantire sei fattori principali: protezione, rilevamento, risposta,
competenze, budget, e organizzazione, cultura e leadership. Tutti e sei gli elementi,
©
Clusit 2021 139
essenziali per una cybersicurezza efficiente, sono stati esaminati nell’indagine online che ha
coinvolto responsabili delle decisioni IT nell’ambito della sicurezza informatica per valutare
il livello di efficienza e/o le lacune per il raggiungimento della completa efficienza.
L’efficienza complessiva della protezione è al 57%

Secondo gli intervistati, tra i parametri richiesti per valutare il fattore protezione, i più effi-
cienti sono attualmente l›uso di soluzioni per la protezione degli endpoint (74%), la visibi-
lità sugli asset da proteggere (67%) e l’uso di una soluzione per la gestione delle password
(66%). Le principali lacune sono legate all’uso di sistemi operativi non supportati o obsoleti
come sostiene il 64% degli intervistati e la mancanza di adeguati livelli di protezione per i
dispositivi medici secondo i regolamenti UE, sottolineato da ben il 59% dei partecipanti.
140
SURVEY - L’efficienza delle strutture sanitarie italiane per affrontare i rischi di sicurezza informatica
L’efficienza complessiva per il rilevamento è al 44%

In tutti gli aspetti presi in considerazione nell’indagine e indispensabili per un rilevamento
efficiente, le percentuali non raggiungono mai la sufficienza.
Gli attuali strumenti di rilevamento in ambito Endpoint Detection and Response e Advan-
ced Persistent Threat sono considerati efficienti solo per il 53% degli intervistati. Evidenti
le difficoltà anche nel determinare la fonte dell’attacco, individuata solo nel 43% dei casi.
Inoltre gli intervistati rivelano importanti criticità anche per le seguenti attività:
- monitoraggio costante dei rischi per le infrastrutture sanitarie e i macchinari diagnostici
che nel 67% dei casi non viene eseguito;
- monitoraggio della visibilità dei livelli di rischio dell’organizzazione effettuata (41% degli
intervistati);
- utilizzo di strumenti di analisi del rischio impiegati solo nel 43%.
©
Clusit 2021 141
L’efficienza globale per le attività di risposta è al 49%

Secondo gli intervistati, tra tutti gli elementi oggetto d’indagine per il fattore risposta i più
efficienti sono attualmente la prontezza nel rispettare il «Perimetro di Sicurezza Informa-
tica” e il GDPR (61%), la capacità di recupero dopo un attacco ransomware (60%) mentre
in merito all’esistenza di un piano di risposta a seguito di un incidente di cybersecurity le
percentuali iniziano a scendere (56%).
Le principali lacune sono legate al fatto di non avere un Security Operation Center (67%),
non eseguire abbastanza simulazioni di attacchi per comprendere dove rafforzare i processi
di resilienza (63%) e non avere piena visibilità sulla catena degli attacchi (59%).
142
L’efficienza globale per le competenze è al 46%

Secondo gli intervistati, per il fattore competenze, gli aspetti più efficienti si riferiscono
all’impiego di esperti esterni se necessario (67%) e al basso turnover dei dipendenti (66%).
I principali aspetti in cui emergono criticità mettono in luce come lo skill gap che affligge
il settore privato in ambito cybesecurity si rifletta drammaticamente anche in ambito sani-
tario: l’indagine Bitdefender infatti, pone l’accento sull’insufficienza del personale specia-
lizzato in cybersecurity denunciata dal 74% degli intervistati, il conseguente sovraccarico
di lavoro a cui è sottoposto il personale attuale (64%) e la difficoltà nel reperire personale
qualificato attraverso nuove assunzioni (64%).
©
Clusit 2021 143
L’efficienza complessiva in merito al budget è al 53%

Secondo gli intervistati, tra tutti i pilastri richiesti per il fattore budget, i più efficienti si
riferiscono al rischio relativamente basso di tagli al budget (66%) e al fatto che quando una
minaccia per la cybersecurity viene identificata, solitamente si può accedere a risorse di
budget allocate per coprire l’esigenza specifica (63%).
Le principali difficoltà sono legate al fatto di non avere un budget dedicato alla cybersecu-
rity determinato in funzione dell’analisi del rischio e basato sul ritorno sugli investimenti in
sicurezza come evidenzia il 60% degli intervistati. A queste, si somma l’incapacità di guidare
i cambiamenti necessari con il budget attuale, come sottolineato dal 53% degli intervistati.
144
L’efficienza complessiva per organizzazione, cultura e leadership è

al 44%
Secondo gli intervistati, gli aspetti più efficienti in questa categoria si riferiscono all’inclu-
dere la cybersecurity ogni volta che si introducono nuove soluzioni IT (61%) e al supporto
delle normative vigenti in termini di adozione delle tecnologie per la sicurezza informatica
(54%).
In questo ambito emergono però anche preoccupanti mancanze, legate all’assenza di for-
mazione di leadership nella cybersecurity per le funzioni chiave dell’organizzazione (70%),
all’insufficiente riconoscimento del rischio di cybersecurity da parte del consiglio di ammi-
nistrazione (70%) e al non sentirsi supportati dal governo per migliorare il livello di cyber-
security (66%).
©
Clusit 2021 145
L’efficienza complessiva per la sicurezza informatica in ambito sanitario è al 49%. Secondo

gli intervistati, tra tutti i sei fattori chiave richiesti per la cybersecurity, il più efficiente,
con risultati comunque sotto la soglia della sufficienza, è attualmente la protezione (57%)
seguita dal budget (53%). Tutti gli altri quattro fattori sono a meno di metà strada verso la
completa efficienza. Il divario maggiore è riportato per rilevamento (56%) e organizzazione,
cultura e leadership (56%) e competenze (54%).
In conclusione
Tutti e sei i fattori devono migliorare per raggiungere livelli di sicurezza informatica accet-
tabili nel settore della sanità. È difficile migliorare istantaneamente su tutti i fronti; ecco
perché la maggior parte delle organizzazioni sanitarie sta cercando di esternalizzare parte
delle operazioni di cybersecurity come sottolinea il 79% degli intervistati. Questa
è la tendenza futura che emerge chiaramente dai risultati dell’indagine. La sicurezza in-
formatica inoltre, è un ambito molto complicato che necessita di personale specializzato per
colmare lo skill gap di cui risente tutto l’ecosistema sanitario.
146
Il mercato del lavoro in Italia: professionisti più richiesti,
competenze e certificazioni, gender diversity
[A cura di Gian Marco Sgro e Silvia Boccardelli, Experis - ManpowerGroup]
Introduzione
Nel panorama italiano e internazionale, sono sempre di più le aziende che hanno la necessi-
tà di mettere in sicurezza i propri dati. Da questo scenario emerge un’esponenziale crescita
di domanda di profili appartenenti al settore della cyber security.
Fino a qualche anno fa, le aziende non erano dotate di dipartimenti di sicurezza informatica
strutturati, che molto spesso era affidata a società esterne specializzate. Negli ultimi anni,
con l’accelerazione della digitalizzazione e il conseguente aumento degli attacchi cyber, la
richiesta di profili specializzati in cyber security è aumentata in modo esponenziale, met-
tendoci di fronte al problema del Talent Shortage, ovvero la difficoltà dei datori di lavoro nel
reperire le persone con le giuste competenze, che in Italia si attesta al 76%, come emerso
dalla ricerca condotta da ManpowerGroup (Talent Shortage Survey).
Panorama dei profili Cyber in Italia

Per far fronte alla carenza di talenti in questo settore le aziende oggi si affidano sempre di
più ad head hunter e società di ricerca e selezione di personale qualificato.
Nella Tabella 1 si riportano i profili della cyber security più richiesti dalle aziende italiane
nel 2021, secondo i dati di Experis Italia.
Tabella1. I profili cyber più richiesti nel 2021

Profilo Anni di esperienza RAL media
CISO da 8 a 10 80k
SOC Manager da 8 a 10 60k
SOC Analyst da 2 a 4 35k
Penetration Tester (junior-senior) da 1 a 7 da 30k a 80k
Ethical Hacker (junior-senior) da 1 a 7 da 30k a 80k
Security System Administrator da 5 a 7 45k
Security Systems Engineer da 1 a 3 30k
Cyber Threat Intelligence Specialist da 2 a 4 35k
Security Researcher (junior-senior) da 1 a 8 da 30k a 80k
Risk, Governance & Compliance Specialist da 2 a 4 35k
Security Architect da 7 a 10 55k
*Dati Experis Italia
©
In particolare, Experis, global leader nella Ricerca e Selezione del personale nei settori
IT, rispetto al 2020 osserva nel settore della cyber security un aumento delle richieste di
profili tecnici, a discapito dei profili manageriali che hanno subito una leggera flessione.
Tale andamento si deve al fatto che molte aziende stanno ampliando la loro piramide dei
dipartimenti cyber e hanno bisogno di profili più tecnici, sia junior che middle.
Proseguendo nell’analisi del mercato del lavoro dei professionisti cyber, si evidenzia una
forte crescita in termini retributivi nei primi anni di esperienza dei candidati, con un suc-
cessivo appiattirsi della curva retributiva all’aumentare dell’esperienza. Ad esempio, un
Penetration Tester può passare da una RAL (Retribuzione Annua Lorda) di 24/25.000€
(retribuzione percepita durante la prima esperienza lavorativa) ad una RAL di 40/45.000€
dopo soli 5/6 anni di lavoro, per poi stabilizzarsi su questa cifra, salvo importanti evoluzioni
manageriali. Non è raro, infatti, che un professionista cyber lavori con colleghi che hanno
il doppio della sua esperienza in termini di seniority, ma che percepiscono la sua stessa
retribuzione.
Secondo l’analisi dei dati di Linkedin Talent Insights e di Experis Italia, i professionisti della
cyber security in Italia sono circa 6.000. La durata media di impiego è di circa un anno e
mezzo per datore di lavoro, in linea con la media del target di professionisti in ambito ICT.
Le regioni italiane in cui troviamo la maggiore concentrazione sono la Lombardia, il Lazio e
il Piemonte, mentre le università più frequentate dagli esperti di cybersecurity sono nell’or-
dine la Sapienza Università di Roma, l’Università degli Studi di Milano, il Politecnico di
Milano e il Politecnico di Torino.
I profili più richiesti nel 1° semestre del 2021

Secondo un’analisi dei dati Experis, è emerso che i tre professionisti della cyber security
più ricercati dalle aziende nel primo semestre del 2021, sono il Penetration Tester, l’Ethical
Hacker e il Security Consultant.
Penetration Tester: si tratta di un profilo richiesto soprattutto in ambito banking o da system

integrator. Questa tipologia di profilo professionale è deputata ad analizzare le vulnerabilità
e simulare possibili attacchi con l’obiettivo di segnalare le possibili debolezze interne dei
sistemi sul quale viene svolta l’attività. Le competenze richieste a questi candidati sono
conoscenza di Kali Linux, Metasploit, Burp Suit, buone basi di reti e sistemi e tutte le
metodologie utili a svolgere attività di VA/PT. La RAL media per questa tipologia di profili
è di 34.000 € con 4/5 anni di seniority. Le analisi dei dati di Linkedin Talent Insights han-
no dimostrato che la durata media dell’impiego è in linea con la media dei profili ICT, ma
scende sotto l’anno per i profili più junior. Di questi profili, circa il 46% ha cambiato lavoro
durante l’ultimo anno, un forte segnale della direzione del mercato. Per quanto riguarda gli
istituti di formazione di questi professionisti spiccano l’Università degli Studi di Milano e
l’Università degli Studi di Salerno.
148
Ethical Hacker: si tratta di un profilo richiesto soprattutto nel settore della difesa e in so-
cietà di prodotto. Sono candidati con conoscenze approfondite lato sviluppo e, in generale,
rispetto ai temi della sicurezza informatica dell’azienda per la quale lavorano. Il loro compito
è quello di contrastare preventivamente eventuali attività criminali di “hacker maligni” svi-
luppando soluzioni di sicurezza. Le tecnologie più richieste sono i linguaggi di sviluppo C e
Python, oltre a buone conoscenze di network security, reverse engineering e malware analy-
sis. Secondo i dati di Experis Italia, la RAL media per questa tipologia di professionisti è di
38.000€ con 4/5 anni di seniority. Secondo l’analisi dei dati di Linkedin Talent Insights, la
durata media di un impiego presso lo stesso datore di lavoro è di circa un anno, con una per-
centuale del 30% di professionisti che ha cambiato lavoro nell’ultimo anno. Tra le università
di origine ci sono l’Università degli Studi di Milano e la Sapienza Università di Roma.
Security Consultant o Risk, governance and compliance Specialist: questo profilo è richiesto
soprattutto dalle società di consulenza. Il Security Consultant supporta le aziende nei loro
risk assessment interni, analizzando tutti i possibili scenari, studiando tutte le policy e le
procedure di sicurezza dei vari dipartimenti e dell’infrastruttura IT e portando l’azienda a
rispettare i principali standard di sicurezza informatica internazionali. Le skills richieste per
questa tipologia di profili sono la conoscenza delle principali policy e procedure di sicurezza
informatica italiane e internazionali, esperienza nei risk assessment, conoscenza del GDPR
e certificazione Lead Auditor ISO/IEC 27001. Secondo i dati di Experis Italia la RAL per
questa tipologia di profili è di 35.000 € con 4/5 anni di seniority. Si tratta della categoria di
professionisti cyber più popolosa rispetto le due sopra citate, secondo l’analisi dei dati di
Linkedin Talent Insights. La durata per datore di lavoro è superiore alla media per i profes-
sionisti del settore superando i due anni e mezzo. Tra le università di origine più frequenti,
la Sapienza Università di Roma.
Di seguito la Tabella 2 rappresenta le 5 regioni italiane in cui si concentrano i professionisti

della cyber security.
Tabella 2. Distribuzione geografica dei professionisti cyber

TOP 5 Regioni Numerosità professionisti Percentuale sul totale
Lombardia 1657 34%
Lazio 934 19%
Piemonte 394 8%
Emilia-Romagna 385 8%
Veneto 334 7%
*Analisi dei dati di Linkedin Talent Insights
©
Clusit 2021 149
Come si può osservare dalla tabella, le regioni italiane con il più alto numero di professioni-
sti nel settore della cyber security, che coincidono con le aree geografiche delle Università
di specializzazione di questi profili, sono: Lombardia, Lazio, Piemonte, Emilia-Romagna e
Veneto.
Le regioni con minor numero di questi profili sono: Valle d’Aosta, Molise, Basilicata, Um-
bria e Calabria.
Formazione
Un ulteriore dato emerso dalla analisi dei dati di Experis Italia è l’importanza della forma-
zione nel mondo della cyber security.
Sempre più professionisti investono in corsi di formazione tecnica, con l’obiettivo di certifi-
care le competenze e accrescere sempre più le skills verticali. Secondo il punto di vista delle
aziende, avere professionisti certificati all’interno della loro organizzazione è fondamentale
e utile anche per partecipare a gare e bandi.
Nella Tabella 3 si riportano le certificazioni maggiormente richieste dalle aziende nel 2021
e sulle quali le imprese investono in corsi di formazione interna:
Tabella 3. Certificazioni di sicurezza più richieste

Divisioni di sicurezza Certificazioni
R&D OSCP, OSCE, CEH
Networking CISSP, CCSP
Security Management CISM
Governance, Risk & Compliance CISA, ISO/IEC 27001
*Dati Experis Italia
È importante sottolineare che sono sempre di più i professionisti (soprattutto i profili ju-
nior), che investono in formazione on the job. Molto spesso partecipano a CTF (Capture the
Flag) come competizioni o giochi online, disponibili su varie piattaforme dedicate o creano
dei veri e propri laboratori a casa, dove poter esercitarsi e sperimentare nuove tecniche.
Questo avviene soprattutto per i profili tecnici e nel mondo della ricerca.
Dalle conversazioni con ragazzi non laureati e non certificati emerge una profonda cono-
scenza di determinati argomenti e tecnologie, frutto di studi, esperienze e ricerche persona-
li, che denota una certa curiosità nei professionisti di questo settore in continua evoluzione.
150
Gender Diversity
Secondo il report “7 Steps to Conscious Inclusion” di ManpowerGroup, a livello globale
oltre il 50% della forza lavoro è composta da donne. Nonostante questo risultato, secondo
gli intervistati dell’indagine la strada verso la parità di genere è ancora lunga. Quel momen-
to sarà riconoscibile dall’inclusione inconscia, cioè “non fare nulla per farlo accadere, ma
vederlo la strada verso ruoli di leadership è ancora lunga. accadere”.
Secondo i dati emersi dal Global Gender Gap Report 2020, presentato al World Economic
Forum 2021, nel settore ICT la gender diversity femminile si attesta al 25%. Nello specifico,
nei settori di innovation più recenti, la percentuale di incidenza scende ulteriormente: nel
settore dell’AI le donne scendono al 22%, in quello della cyber security diminuiscono fino
a 1 lavoratore su 10. I trend sulla disparità di genere in questo settore sono anche visibili
dall’analisi dei dati di Linkedin Talent Insights, anche se proporzionalmente più alti: si
riscontra il 30% di presenza femminile sul comparto di professionisti IT, che scende al
22% per il settore specifico della cyber. Secondo le due basi di dati si evidenzia quindi che,
all’interno del settore cyber security, l’incidenza femminile è ancor minore rispetto all’intero
comparto di professionisti ICT.
©
Clusit 2021 151
Focus On 2021
La sicurezza dell’email tra nuove tecnologie e best practice

[A cura di Antonio Ieranò e Loïc Guézo, Proofpoint]
Le statistiche sugli attacchi informatici degli ultimi anni danno la chiara indicazione che
la criminalità informatica è sempre più preparata, aggressiva ed attiva e continua a far leva
sull’email come elemento da introdurre nelle kill-chain di un attacco.
Le ragioni di questo comportamento sono legate ad alcuni aspetti fondamentali:

• I Cybercriminali sono mossi da motivazioni economiche e ragionano in termini di ROI.
Guadagni interessanti si ottengono non solo attaccando grandi bersagli, ma anche distri-
buendo attacchi più semplici ma in grandi volumi.
• la mail è uno strumento la cui pervasività è praticamente assoluta sia in ambito aziendale
che in ambito personale: ogni anno vengono inviate 102,6 miliardi di email1
• La mail, per sua natura, è intrinsecamente non sicura a causa delle sue specifiche.
• I mail server contengono moltissime informazioni delicate e sensibili indispensabili alle
aziende, proprietà intellettuale e scambi comunicativi importanti
• Gli utenti utilizzano le email senza capirne le vulnerabilità associandoci al contrario un
livello di confidenza pericoloso.
Per le aziende oggi, l’email è uno strumento fondamentale per lavorare ed è anche uno dei
principali vettori di minacce.
1 Statistica, “Number of Sent and Received E-mails Per Day Worldwide from 2017 to 2025 (Numero di email inviate e ricevute al giorno
a livello mondiale dal 2017 al 2025)”, febbraio 2021
©
Clusit 2021 153
In termini pratici le minacce principali associabili alla mail possono essere riassunte nel
modo seguente.
Minaccia n. 1: ransomware
Il ransomware è un tipo di malware che viene utilizzato per bloccare l’accesso ai dati o a un
sistema informatico, solitamente facendo ricorso alla crittografia, finché la vittima non paga
un riscatto all’estorsore.
Benché l’uso di ransomware non sia una novità, continua a essere un fenomeno in crescita.
Anziché tenere in ostaggio un singolo computer portatile o dispositivo, ora i criminali in-
formatici puntano all’azienda nel suo complesso, fino a bloccarne completamente l’attività.
Si stima che nel 2020, due terzi delle aziende abbiano subito un attacco ransomware2
Minaccia n. 2: phishing
Gli attacchi di phishing comportano l’invio di email dannose, concepite per indurre gli
utenti a comunicare informazioni finanziarie, credenziali di accesso o altri dati sensibili.
Gli attacchi su larga scala continuano a minacciare le aziende anche in tempo di pandemia
utilizzando i temi legati al covid come esca..
Il 57% delle aziende ha subito un attacco di phishing andato a buon fine nel 2020, in au-
mento rispetto al 55% nel 20193.
Minaccia n. 3: violazione dell’email aziendale (BEC, Business Email

Compromise)
Tra le minacce per la sicurezza dell’email, gli attacchi BEC sono una delle minacce in più
rapida crescita. hQuesti attacchi non utilizzano malware o link dannosi, ma inducono la
2 Proofpoint, “Report State of the Phish 2021”, gennaio 2021

3 Proofpoint, “Report State of the Phish 2021”, gennaio 2021
154
FOCUS ON 2021 - La sicurezza dell’email tra nuove tecnologie e best practice
vittima a trasferire fondi sul conto corrente del criminale informatico. Gli attacchi BEC più
comuni includono le frodi legate alle fatture dei fornitori, l’appropriazione indebita degli
stipendi e le truffe delle carte regalo. Nel 2019 gli attacchi BEC sono aumentati di quasi
il 100%4, mentre nel 2020 gli attacchi BEC/ EAC (Email Account Compromise ovvero
violazione degli account email) sono risultati il principale reato responsabile delle perdite,
per un importo di 1.866.642.107 dollari5, pari al 44% di tutte le perdite subite da aziende e
consumatori per tale anno.
A fronte di questo quadro risulta chiaro come sia assolutamente fondamentale procedere
a rendere sicura la trasmissione e ricezione di posta elettronica. Un back to basic fonda-
mentale altrimenti si rischia di lasciare aperto un canale di attacco di estrema importanza.
Ma cosa vuol dire proteggere la email?
Per poter procedere a rendere sicuro un canale di questo tipo occorre comprenderne il
contesto tecnico.
Lo scambio di email si basa, essenzialmente, sul protocollo SMTP che per sua natura,
anche considerando gli sviluppi RFC più recenti è essenzialmente un protocollo debole dal
lato sicurezza.
Le criticità più grosse sono legate al fatto che:
• la autenticazione di un mittente non è obbligatoria;
4 Gartner, “Protecting Against Business Email Compromise Phishing.” (Protezione contro il phishing con attacchi BEC), Marzo 2020
5 FBI, “2020 Internet Crime Report” (Report sui reati di Internet), 2020
©
Clusit 2021 155
• i contenuti di una mail possono essere estremamente sofisticati potendo trasmettere non
solo testo, ma anche allegati di qualsiasi tipo dalle immagini agli eseguibili, URL anche
mascherate, codice malevolo direttamente integrato nel corpo del messaggio e via dicendo;
• in quanto sistema di comunicazione tra esseri umani, la vulnerabilità rispetto ad attacchi
di social engineering è altissima.
Un contenuto malevolo può quindi essere facilmente veicolato via mail da una sorgente
malevola che si spaccia per legittima.
È sempre più comune trovare anche casi in cui la sorgente di una mail malevola sia le-
gittima (ad esempio un fornitore) ma i cui sistemi postali siano stati compromessi da un
attaccante che utilizza il servizio in luogo del legittimo proprietario. Attacchi di questo tipo
(AEC, Account Email Compromise) in Italia sono risultati evidenti in ambito PEC.
Per ovviare a questi problemi occorre quindi agire in maniera coerente. I punti elementari
da considerare sono:
• l’introduzione di un email gateway con capacità di analisi di sicurezza avanzata
• L’uso di sistemi di threat Intelligence in grado di fornire contesto agli attacchi: campagne,
threat Actors, modalità di attacco, utenti esposti al rischio
• Un sistema di remediation automatico
• L’implementazione corretta dei protocolli di autenticazione: SPF, DKIM e DMARC
• La formazione agli utenti sull’uso della email e sui rischi associati
• Backup delle email
L’ e-mail gateway
Uno dei primi fondamenti della sicurezza è quello di evitare di esporre, per quanto possibi-
le, il mail server che contiene sia le caselle di posta che le email degli utenti, direttamente
su internet.
Non è poi passato molto tempo dalle notizie su HAFNIUM con lo sfruttamento di diverse
vulnerabilità su server Exchange on premise. L’episodio dovrebbe essere un chiaro campa-
nello di allarme su come sia sempre opportuno non esporre direttamente un server di posta
su internet per ridurre la superficie di attacco.
Nella classifica6 dei paesi con il maggior numero di server Exchange vulnerabili confermati,
l’Italia si conferma al quinto posto:
USA: 20.000
Germania: 11.000
Regno Unito: 4.900
Francia: 4.000
Italia: 3.700
6 https://www.cybersecurity360.it/nuove-minacce/vulnerabilita-in-microsoft-exchange-server-ecco-le-soluzioni-di-mitigazione/
156
HAFNIUM non lavora solo indirizzando i server Exchange on-premise ma anche quelli
O365 e quindi, al netto delle vulnerabilità prima citate, un approccio cautelativo ai server
di posta elettronica è una scelta estremamente opportuna.
Per fare questo occorre interporre tra il mail server (che sia cloud based o nel proprio da-
tacenter poco importa) un email gateway, questo ha il duplice scopo di separare il server di
posta da internet, e introdurre misure di sicurezza a protezione dei flussi di email.
Le minimali funzioni di un mail gateway sono quindi:
• Gestire i flussi di posta da e verso internet isolando il mail server
• Gestire filtri di controllo di sicurezza sulla posta sia in ingresso che in uscita con regole
distinte per i due flussi. I controlli in uscita, ad esempio, sono fondamentali per indiriz-
zare problematiche di abuso del mail server da parte di malintenzionati.
• Prevedere la possibilità di porre filtri contenutistici che indirizzino sia esigenze di content
filtering che di limitazione sulla tipologia di allegati (esempio per dimensione, per livello
di nesting, se eseguibili o meno)
• Provvedere al riconoscimento dei vari tipi di posta categorizzando per quanto possibile
le varie tipologie malevoli (elemento fondamentale per porre in atto azioni preventive e
di remediation consistenti al rischio cui si è esposti) ed utilizzare sistemi di segregazione
(quarantene) opportuni.
• Gestione agile del safelisting7, che andrebbe sempre limitato al minimo e ridotto solo agli
utenti direttamente interessati.
Ovviamente vi sono molti altri aspetti che vanno considerati, ma quelli citati sono il minimo
indispensabile che deve essere considerato.
L’importanza della threat intelligence

Un sistema di sicurezza deve poter offrire una analisi di contesto della esposizione al ri-
schio, e permettere di correlare le informazioni legate a tale esposizione.
Non basta quindi “bloccare le email malevole” ma occorre anche capire di che tipo di at-
tacco si tratta, chi è il target, chi sia l’attaccante e quali siano i suoi obiettivi. Senza queste
informazioni diventa pressoché impossibile avere una visione olistica del rischio aziendale.
Occorre ricordare, ancora una volta, che lo sfruttamento delle email come vettore di attacco
può essere solo uno degli step di una kill-chain attuale e quindi correlare le informazioni è
fondamentale per capire la reale esposizione al rischio.
La remediation
Nessun sistema è infallibile, vi è sempre la possibilità di incorrere in incidenti indipenden-
temente dal livello di protezione in atto. Pensare in maniera proattiva alla remediation è
quindi fondamentale. Se questo è vero in generale è vero anche nei confronti della messa
in sicurezza della posta elettronica.
7 https://thepuchiherald.com/the-email-files-allowlisting-email-poi-non-lamentarti/
©
Clusit 2021 157
Ma cosa significa fare remediation in ambito di posta elettronica? Essenzialmente 2 cose:

1. togliere dalle caselle degli utenti il prima possibile tutte le eventuali email pericolose
che possano aver passato i filtri di sicurezza;
2. essere in grado di riconoscere che rischio era associato a quelle email per mettere in
piedi le azioni correttive opportune.
Il secondo punto è spesso trascurato ma fondamentale. Ad esempio se la mail passata era

associata ad un attacco malware, la remediation deve focalizzarsi sulle possibili infezioni dei
device coinvolti (laptop, smartphone, tablet) mentre se l’evento è associato ad una mail di
credential phishing l’intervento deve focalizzarsi sulla utenza (reset password, distruzione
dei token di sessione), se infine si trattasse di BEC la remediation dovrebbe mettere in
piedi i controlli relativi a transazioni economiche, pagamenti o cambi di riferimenti finaziari.
I protocolli di autenticazione
Una corretta implementazione di un sistema di posta non può prescindere dalla corretta
implementazione dei protocolli di autenticazione SPF, DKIM e DMARC.
L’implementazione di questi protocolli deve tenere in considerazione da un lato la necessità
di gestione dei medesimi nell’analisi e filtro della posta in ingresso, dall’altro nella corretta
implementazione dei medesimi per la posta in uscita.
Questi protocolli sono uno strumento fondamentale per sopperire alle mancanze del proto-
collo SMTP e sono quindi fortemente raccomandati, anche se ancora con completamente
diffusi.
In particolare assume una importanza fondamentale, nel contesto corrente, arrivare ad una
corretta e coerente implementazione del protocollo DMARC sia per i flussi in ingresso che
per la posta in uscita. Questo consente di dare una certa confidenza in merito alla identità
del mittente per le email inviate verso le terze parti (utile sia in ambito B2C che B2B).
Un approccio coerente per alzare il livello di sicurezza dovrebbe comportare la richiesta di
implementazione di tale protocollo verso i business partner al fine di garantire un livello
minimo di trust in ambito B2B.
Questa richiesta potrebbe poi essere accompagnata da richieste più stringenti come ad
esempio l’uso di canali TLS o la introduzione dell’encryption nello scambio di contenuti
sensibili.
Va evidenziato ancora una volta come le informazioni inerenti il monitoraggio dei protocolli
di autenticazione sia utile alla comprensione del contesto di rischio, e quindi come la inte-
grazione di queste informazioni sia ancora una volta chiave alla comprensione della postura
di rischio stesso.
158
La formazione agli utenti

L’utente, quando si parla di posta elettronica, rimane un punto chiave del processo, essendo
il soggetto che invia, riceve e processa le informazioni scambiate. La gran parte degli attac-
chi che prevedano la introduzione nella kill-chain della posta elettronica fanno leva proprio
sulle reazioni degli utenti.
In questo senso tecniche sofisticate di social engineering, uso di hyperlink che puntino di-
rettamente o indirettamente a contenuti malevoli, contenuti malevoli inseriti in attachment
(non si pensi solo alle macro dei documenti, ma anche a tecniche più sofisticate come la
steganografia) sono oramai la “normalità”.
Occorre quindi che gli utenti prendano consapevolezza dello strumento e si comportino in
maniera da abbassare la soglia di rischio. Per poter ottenere ciò è necessario implementare
sistemi di awareness, che facciano leva anche su una esperienza pratica, come ad esempio
attraverso campagne di phishing simulato i cui template devono essere allineati al threat
landscape corrente.
Il Backup
Non esiste nulla come un attacco ransomware per farti rimpiangere di non aver investito
meglio nei backup.
Un sistema che non preveda, all’interno delle proprie procedure, una attività di disaster
recovery è un sistema intrinsecamente destinato al fallimento, ed uno dei sistemi base per
garantirsi una corretta recovery è appunto il backup.
La posta elettronica non fa eccezione e quindi i dati dei sever di posta devono essere sogget-
ti a backup periodici e a test di ripristino. Non credo occorra ricordare che i backup hanno
esigenze specifiche, devono essere schedulati in funzione di quale sia la finestra minima
di dati che si è disposti a perdere in caso di eventi distruttivi e che i backup stessi devono
essere soggetti a misure di sicurezza, ivi compreso l’avere i dati salvati off-line. È prassi co-
mune per i moderni ransomware procedere non solo all’encryption dei dati, ma anche alla
loro esfiltrazione ed alla cancellazione dei meccansimi di ripristino.
Conclusione
Proteggere i sistemi di posta è oggi più che mai essenziale. Per poter avere una protezione
efficace occorre considerare l’ambito allargato cui la posta fa riferimento in particolare gli
utenti e l’integrazione delle informazioni di threat intelligence recuperabili anche dall’ana-
lisi dei flussi di posta. Ma se l’introduzione di nuove tecnologie, come quelle ad esempio in
grado di indirizzare il social engineering, aumentano sensibilmente il livello di protezione,
non si può prescindere da una corretta implementazione che comprenda le basi come i
protocolli di autenticazione, i backup o la segregazione dei server di posta tramite e-mail-ga-
teway. Il non farlo significa esporsi ad un rischio sensibile vanificando investimenti in secu-
rity per la dimenticanza di un enorme portone aperto.
©
Clusit 2021 159
FOCUS ON 2021
SD-WAN: vantaggi e rischi

[A cura di Aldo Di Mattia, Fortinet]
Continua l’adozione di soluzioni SD-WAN (Software Defined - Wide Area Network) da

parte delle organizzazioni di tutto il mondo, con una crescita costante e inarrestabile. Si
tratta di uno dei vari passaggi storici a livello tecnologico che porta ad una transizione
irrinunciabile. I benefici delle soluzioni SD-WAN sono facilmente individuabili e sono as-
soluti. L’incremento della banda Internet/Intranet con una elevatissima alta affidabilità dei
link (fibra, rame, 5G, 4G, satellitare, ecc) garantiscono un’esperienza utente innovativa. Le
soluzioni SD-WAN oltre alle elevate prestazioni offerte assicurano un livello di affidabilità
mai visto prima, con la capacità di sommare molteplici link wireless e wired di varia natura.
I benefici apportati alla continuità di servizio sono rivoluzionari e questo cambiamento è
decisivo in un momento storico che vede il fallimento della connettività Internet/Intranet
corrispondere alla sospensione totale o parziale dei servizi, compresi quelli essenziali come
trasporti, sanità, finanza e così via.
Reti legacy - Fallimento dei link senza ripristino o con limitata capacità
I benefici delle soluzioni SD-WAN sono chiari ma per evitare che il passaggio evolutivo si
trasformi in un incubo bisogna analizzare attentamente i rischi relativi.
Rischi nella transizione SD-WAN

I rischi sono molteplici e la maggior parte hanno massima criticità. Come da definizione, si
tratta di stravolgere l’accesso alla WAN di una organizzazione e con essa di tutti i concetti
annessi, compresa la robusta sicurezza che nel tempo è stata costruita attorno alhle infra-
strutture legacy, seguendo quelle che man mano sono diventate “best practice” consolidate.
©
Clusit 2021 161
La transizione delle architetture classiche verso soluzioni SD-WAN deve essere sfruttata
non solo per garantire migliori prestazioni ma per migliorare ulteriormente la sicurezza as-
sociata e solo attraverso il concetto di “security by design” si può arrivare a tale scopo. Se
si volesse banalizzare il concetto di SD-WAN in una frase potremmo dire: “le soluzioni
SD-WAN consentono di aggregare più link di diversa natura, scegliendo per ogni applica-
zione il miglior collegamento tra quelli disponibili, cioè quelli costituiti dal sottoinsieme dei
link che rispettano in quell’esatto momento i livelli di servizio desiderati”. Lo scopo della
soluzione è proprio quello di garantire le esigenze delle applicazioni in termini di banda,
pacchetti persi, latenza, jitter e superare al contempo i limiti attuali, che spesso portano a
percorsi non ottimizzati tra client e server (esempio: reti con centro-stella nelle architetture
MPLS). Le soluzioni SD-WAN monitorano i vari link disponibili nel tempo, garantendo
così la possibilità di modificare la scelta più volte e superando un altro limite delle reti
legacy, legato alla perdita dei pacchetti di un percorso.
Un altro concetto fondamentale delle soluzioni SD-WAN e della rivoluzione che ne deriva
è costituito dal “local breakout”. Il local breakout è imprescindibile per le moderne applica-
zioni che soffrono latenza/jitter e consente alle filiali sparse nel territorio di cortocircuitare
le applicazioni fruite dai client direttamente con i servizi erogati dal cloud (SaaS, IaaS,
PaaS). L’evoluzione delle infrastrutture legacy a SD-WAN permette infatti di non accumu-
lare ritardi, perdita di pacchetti e soprattutto jitter e latenza inutile con un percorso non
ottimizzato, specialmente in considerazione del fatto che i servizi cloud non devono essere
considerati come esterni all’azienda ma fanno parte del nuovo perimetro.
Reti SD–WAN - Internet local breakout
162
FOCUS ON 2021 - SD-WAN: vantaggi e rischi
Per garantire un local breakout sicuro vi è la necessità non solo che le soluzioni SD-WAN
adottino le stesse funzionalità di sicurezza tipicamente presenti nel quartier generale di una
azienda come stateful firewall, sistemi anti-intrusione (IPS), gateway antimalware, Web Fil-
tering, Application Control, Data Loss Prevention (DLP) e altro ancora, ma anche un con-
trollo certosino degli applicativi che possono beneficiare di questa novità. E’ infatti fonda-
mentale esser certi che non ci sia traffico malevolo che possa sfruttare un buco di sicurezza
garantendo il superamento dei controlli sopra citati. Parte delle soluzioni SD-WAN presenti
sul mercato hanno mostrato in tal senso grossi limiti, introducendo dei rischi di sicurezza
enormi. Una soluzione SD-WAN deve tenere conto di diversi fattori per garantire il traffico
che beneficia di local breakout, sfruttando un mix di funzionalità composto almeno da:
• controllo applicativo (livello 7 della pila iso osi)
• controllo del certificato server
• controllo della destinazione (indirizzo IP tipicamente dinamico fornito dai cloud provider)
Sfortunatamente parte dei sistemi SD-WAN utilizzano esclusivamente il controllo appli-

cativo come unico metodo di verifica, offrendo così ad un attaccante la possibilità di ma-
scherare il proprio traffico, che può essere diretto a IP malevoli, ma contenendo un header
opportunamente camuffato ha la possibilità di sfuggire al controllo e arrivare alla destinazio-
ne stabilita dall’attaccante, passando così per traffico applicativo lecito (SaaS, IaaS, PaaS).
L’ultimo aspetto fondamentale delle soluzioni SD-WAN è la capacità di effettuare ispezione

dei protocolli SSL attraverso il Man-In-The-Middle dei certificati. Il local breakout è ormai
largamente utilizzato per le applicazioni cloud, applicazioni che sono ormai tutte cifrate
SSL, al netto di qualche rarissima eccezione. L’ispezione SSL diventa così obbligatoria
ed essenziale per l’utilizzo di funzionalità di sicurezza vitali quali IPS, Antimalware, DLP
oltre che per la verifica a livello 7 degli stessi applicativi. Una soluzione infatti che non sa
riconoscere gli applicativi, non solo fallisce dal punto di vista della security ma anche nella
capacità SD-WAN stessa, che per definizione permette di scegliere il miglior percorso per
ogni applicazione, che deve necessariamente riconoscere.
Le minacce Internet 2021 in Italia

Nella trasformazione SD-WAN bisogna tener conto delle minacce Internet e le notizie qui
non sono confortanti, tutt’altro. Prosegue infatti la crescita inesorabile delle minacce e i
criminali informatici continuano ad affinare attacchi e malware unitamente alle tecniche di
evasione sempre più sofisticate. Non cresce solo la complessità ma anche la numerosità, i
dati presenti nei seguenti due grafici mostrano una crescita, mese su mese, sia in termini di
attacchi che di malware sul territorio italiano nel primo quadrimestre dell’anno. La crescita
è costante (unica eccezione nel mese di febbraio con una flessione verso il basso nella nu-
merosità dei malware), i grafici non hanno bisogno di alcun commento e rappresentano uno
scenario drammatico. Tutti i dati di seguito mostrati sono stati estratti dai FortiGuard Labs
Fortinet e fanno riferimento ai primi mesi del 2021.
©
Clusit 2021 163
21000
20500
20000
19500
19000 2021-01
18500 2021-02
2021-03
18000
2021-04
17500
17000
16500
16000
2021-01 2021-02 2021-03 2021-04
FortiGuard Labs - Attacchi totali riscontrati in Italia nel primo quadrimestre 2021
3200
3100
3000
2900
2021-01
2800
2021-02
2700 2021-03
2021-04
2600
2500
2400
2300
2021-01 2021-02 2021-03 2021-04
FortiGuard Labs - Malware totali riscontrati in Italia nel primo quadrimestre 2021
Nella tabella seguente è possibile vedere gli attacchi più riscontrati da Fortinet sul territorio
italiano nel primo semestre 2021. Nel sito web https://www.fortiguard.com, nel campo di
ricerca al centro della pagina, può essere inserito il nome delle signature mostrate così da
avere ogni dettaglio.
164
Nome della minaccia Contatore Periodo

NETGEAR.DGN1000.CGI.Unauthenticated.Remote.Code.
1865 Gennaio 2021
Execution
ThinkPHP.Controller.Parameter.Remote.Code.Execution 1863 Gennaio 2021
Dasan.GPON.Remote.Code.Execution 1806 Gennaio 2021
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 1771 Gennaio 2021
D-Link.Devices.HNAP.SOAPAction-Header.Command.
1699 Gennaio 2021
Execution
PHP.CGI.Argument.Injection 1690 Gennaio 2021
Generic.XXE.Detection 1664 Gennaio 2021
PHP.Diescan 1635 Gennaio 2021
JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution 1634 Gennaio 2021
Apache.Axis2.Default.Password.Access 1568 Gennaio 2021
vBulletin.Routestring.widgetConfig.Remote.Code.Execution 1566 Gennaio 2021
Drupal.Core.Form.Rendering.Component.Remote.Code.
1561 Gennaio 2021
Execution
ThinkPHP.Request.Method.Remote.Code.Execution 1544 Gennaio 2021
Joomla!.Core.Session.Remote.Code.Execution 1539 Gennaio 2021
ThinkPHP.HTTP.VARS.S.Remote.Code.Injection 1517 Gennaio 2021
Telerik.Web.UI.RadAsyncUpload.Handling.Arbitrary.File.
1470 Gennaio 2021
Upload
HTTP.Header.SQL.Injection 1452 Gennaio 2021
Nmap.Script.Scanner 1403 Gennaio 2021
Netis.WF2419.Router.Remote.Command.Execution 1366 Gennaio 2021
HTTP.Referer.Header.SQL.Injection 1356 Gennaio 2021
PhpStudy.Web.Server.Remote.Code.Execution 1213 Gennaio 2021
vBulletin.tabbedcontainer.Template.Remote.PHP.Code.
1171 Gennaio 2021
Execution
TrueOnline.ZyXEL.P660HN.V1.Unauthenticated.Command.
1126 Gennaio 2021
Injection
©
Clusit 2021 165

Masscan.Scanner 1122 Gennaio 2021
MikroTik.RouterOS.Arbitrary.File.Read 1117 Gennaio 2021
Tongda.Office.Anywhere.Unauthorized.File.Upload 1068 Gennaio 2021
Seeyon.Office.Anywhere.htmlofficeservlet.Arbitrary.File.
1046 Gennaio 2021
Upload
Phpweb.CMS.appcode.Information.Disclosure 1038 Gennaio 2021
OpenSSL.Heartbleed.Attack 1026 Fabbraio 2021
Dasan.GPON.Remote.Code.Execution 1918 Fabbraio 2021
1912 Fabbraio 2021
Execution
ThinkPHP.Controller.Parameter.Remote.Code.Execution 1884 Fabbraio 2021
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 1849 Fabbraio 2021
PHP.CGI.Argument.Injection 1741 Fabbraio 2021
1735 Fabbraio 2021
Execution
PHP.Diescan 1660 Fabbraio 2021
1620 Fabbraio 2021
Upload
Generic.XXE.Detection 1618 Fabbraio 2021
PhpStudy.Web.Server.Remote.Code.Execution 1582 Fabbraio 2021
vBulletin.Routestring.widgetConfig.Remote.Code.Execution 1579 Fabbraio 2021
Apache.Axis2.Default.Password.Access 1575 Fabbraio 2021
ThinkPHP.Request.Method.Remote.Code.Execution 1573 Fabbraio 2021
Joomla!.Core.Session.Remote.Code.Execution 1550 Fabbraio 2021
Bash.Function.Definitions.Remote.Code.Execution 1536 Fabbraio 2021
1533 Fabbraio 2021
Execution
Nmap.Script.Scanner 1518 Fabbraio 2021
ThinkPHP.HTTP.VARS.S.Remote.Code.Injection 1513 Fabbraio 2021
1506 Fabbraio 2021
Execution
HTTP.Header.SQL.Injection 1450 Fabbraio 2021
Tongda.Office.Anywhere.Unauthorized.File.Upload 1444 Fabbraio 2021
166

1420 Fabbraio 2021
Upload
JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution 1412 Fabbraio 2021
Phpweb.CMS.appcode.Information.Disclosure 1407 Fabbraio 2021
HTTP.Referer.Header.SQL.Injection 1351 Fabbraio 2021
Liferay.Portal.JSONWS.Insecure.Deserialization 1350 Fabbraio 2021
Zeroshell.Kerbynet.Type.Parameter.Remote.Command.
1230 Fabbraio 2021
Execution
Masscan.Scanner 1143 Fabbraio 2021
MS.Windows.HTTP.sys.Request.Handling.Remote.Code.
980 Fabbraio 2021
Execution
ThinkPHP.Controller.Parameter.Remote.Code.Execution 2026 Marzo 2021
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 2004 Marzo 2021
1961 Marzo 2021
Execution
Dasan.GPON.Remote.Code.Execution 1893 Marzo 2021
1875 Marzo 2021
Execution
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution 1858 Marzo 2021
1808 Marzo 2021
Execution
JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution 1723 Marzo 2021
PHP.CGI.Argument.Injection 1704 Marzo 2021
PHP.Diescan 1644 Marzo 2021
1617 Marzo 2021
Upload
Generic.XXE.Detection 1611 Marzo 2021
Axis.SSI.camnbr.Remote.Command.Execution 1609 Marzo 2021
Linux.Kernel.TCP.SACK.Panic.DoS 1575 Marzo 2021
vBulletin.Routestring.widgetConfig.Remote.Code.Execution 1536 Marzo 2021
Apache.Solr.SolrResourceLoader.Directory.Traversal 1533 Marzo 2021
PhpStudy.Web.Server.Remote.Code.Execution 1528 Marzo 2021
Apache.Axis2.Default.Password.Access 1510 Marzo 2021
ThinkPHP.Request.Method.Remote.Code.Execution 1509 Marzo 2021
©
Clusit 2021 167

1506 Marzo 2021
Execution
Netlink.GPON.Router.formPing.Remote.Command.Injection 1502 Marzo 2021
Nmap.Script.Scanner 1498 Marzo 2021
Joomla!.Core.Session.Remote.Code.Execution 1493 Marzo 2021
ThinkPHP.HTTP.VARS.S.Remote.Code.Injection 1446 Marzo 2021
Tongda.Office.Anywhere.Unauthorized.File.Upload 1390 Marzo 2021
1375 Marzo 2021
Upload
HTTP.Header.SQL.Injection 1370 Marzo 2021
Phpweb.CMS.appcode.Information.Disclosure 1345 Marzo 2021
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution 2138 Aprile 2021
Dasan.GPON.Remote.Code.Execution 2037 Aprile 2021
ThinkPHP.Controller.Parameter.Remote.Code.Execution 2031 Aprile 2021
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 1997 Aprile 2021
1968 Aprile 2021
Execution
1816 Aprile 2021
Execution
Netlink.GPON.Router.formPing.Remote.Command.Injection 1759 Aprile 2021
Linux.Kernel.TCP.SACK.Panic.DoS 1755 Aprile 2021
Nmap.Script.Scanner 1662 Aprile 2021
PHP.CGI.Argument.Injection 1659 Aprile 2021
1634 Aprile 2021
Upload
PHP.Diescan 1619 Aprile 2021
Generic.XXE.Detection 1583 Aprile 2021
PhpStudy.Web.Server.Remote.Code.Execution 1540 Aprile 2021
1537 Aprile 2021
Execution
vBulletin.Routestring.widgetConfig.Remote.Code.Execution 1532 Aprile 2021
Apache.Axis2.Default.Password.Access 1528 Aprile 2021
ThinkPHP.Request.Method.Remote.Code.Execution 1528 Aprile 2021
168

1503 Aprile 2021
Execution
Joomla!.Core.Session.Remote.Code.Execution 1499 Aprile 2021
ThinkPHP.HTTP.VARS.S.Remote.Code.Injection 1461 Aprile 2021
Web.Server.Password.Files.Access 1450 Aprile 2021
HTTP.Header.SQL.Injection 1435 Aprile 2021
Tongda.Office.Anywhere.Unauthorized.File.Upload 1412 Aprile 2021
Ralink.SDK.goform.SystemCommand.Command.Injection 1391 Aprile 2021
1387 Aprile 2021
Upload
Phpweb.CMS.appcode.Information.Disclosure 1357 Aprile 2021
HTTP.Referer.Header.SQL.Injection 1344 Aprile 2021
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution 2188 Maggio 2021
Dasan.GPON.Remote.Code.Execution 2071 Maggio 2021
ThinkPHP.Controller.Parameter.Remote.Code.Execution 2051 Maggio 2021
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 1991 Maggio 2021
1979 Maggio 2021
Execution
JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution 1854 Maggio 2021
1835 Maggio 2021
Execution
Linux.Kernel.TCP.SACK.Panic.DoS 1763 Maggio 2021
1760 Maggio 2021
Upload
Nmap.Script.Scanner 1675 Maggio 2021
Generic.XXE.Detection 1641 Maggio 2021
PHP.Diescan 1622 Maggio 2021
PHP.CGI.Argument.Injection 1616 Maggio 2021
ThinkPHP.Request.Method.Remote.Code.Execution 1514 Maggio 2021
PhpStudy.Web.Server.Remote.Code.Execution 1485 Maggio 2021
Apache.Axis2.Default.Password.Access 1457 Maggio 2021
vBulletin.Routestring.widgetConfig.Remote.Code.Execution 1446 Maggio 2021
1420 Maggio 2021
Execution
©
Clusit 2021 169

1412 Maggio 2021
Execution
Joomla!.Core.Session.Remote.Code.Execution 1402 Maggio 2021
ThinkPHP.HTTP.VARS.S.Remote.Code.Injection 1374 Maggio 2021
Apache.Solr.SolrResourceLoader.Directory.Traversal 1335 Maggio 2021
HTTP.Header.SQL.Injection 1325 Maggio 2021
1325 Maggio 2021
Upload
Tongda.Office.Anywhere.Unauthorized.File.Upload 1309 Maggio 2021
Axis.SSI.camnbr.Remote.Command.Execution 1308 Maggio 2021
Phpweb.CMS.appcode.Information.Disclosure 1274 Maggio 2021
HTTP.Referer.Header.SQL.Injection 1232 Maggio 2021
1186 Maggio 2021
Execution
Apache.Struts.2.Jakarta.Multipart.Parser.Code.Execution 2091 Giugno 2021
Dasan.GPON.Remote.Code.Execution 2075 Giugno 2021
ThinkPHP.Controller.Parameter.Remote.Code.Execution 2023 Giugno 2021
PHPUnit.Eval-stdin.PHP.Remote.Code.Execution 1987 Giugno 2021
FortiOS.SSL.VPN.Web.Portal.Pathname.Information.
1972 Giugno 2021
Disclosure
1961 Giugno 2021
Execution
1846 Giugno 2021
Upload
1836 Giugno 2021
Execution
JAWS.DVR.CCTV.Shell.Unauthenticated.Command.Execution 1821 Giugno 2021
Linux.Kernel.TCP.SACK.Panic.DoS 1735 Giugno 2021
Nmap.Script.Scanner 1696 Giugno 2021
Bash.Function.Definitions.Remote.Code.Execution 1687 Giugno 2021
Generic.XXE.Detection 1635 Giugno 2021
PHP.Diescan 1411 Giugno 2021
Apache.Solr.SolrResourceLoader.Directory.Traversal 1313 Giugno 2021
Masscan.Scanner 1224 Giugno 2021
170

PHP.CGI.Argument.Injection 1121 Giugno 2021
Red.Hat.JBoss.AS.doFilter.Insecure.Deserialization 1096 Giugno 2021
F5.BIG.IP.TMM.URI.Normalization.Buffer.Overflow 1088 Giugno 2021
ZmEu.Vulnerability.Scanner 1056 Giugno 2021
ThinkPHP.Request.Method.Remote.Code.Execution 1023 Giugno 2021
MS.Windows.HTTP.sys.Request.Handling.Remote.Code.
1021 Giugno 2021
Execution
MS.Exchange.Server.ProxyRequestHandler.Remote.Code.
1019 Giugno 2021
Execution
995 Giugno 2021
Execution
943 Giugno 2021
Execution
Muieblackcat.Scanner 922 Giugno 2021
PhpStudy.Web.Server.Remote.Code.Execution 901 Giugno 2021
866 Giugno 2021
Execution
vBulletin.Routestring.widgetConfig.Remote.Code.Execution 847 Giugno 2021
FortiGuard Labs - Minacce più riscontrate in Italia nel primo semestre 2021
Alcuni degli attacchi riscontrati nel primo semestre e mostrati nella tabella trovano ap-
plicabilità in una infrastruttura SD-WAN non sicura, in particolare quelli che eseguono
scansioni mirate a indentificare buchi di sicurezza e vulnerabilità, sfruttate poi in un se-
condo momento con attacchi mirati. Tantissime minacce identificate nel territorio italiano
e mondiale, ma non in tabella in quanto meno riscontrante in termini numerici, hanno lo
scopo specifico di identificare falle nella security, prodotte dai recenti cambi infrastrutturali
dovuti proprio all’introduzione massiva del telelavoro e all’utilizzo di servizi cloud. Lo stesso
interesse da parte degli attaccanti, verrà senza dubbio riservato alle disattenzioni che le
aziende avranno nell’affrontare questo ulteriore passaggio storico.
©
Clusit 2021 171
FOCUS ON 2021
Sistemi di controllo industriali, analisi della cybersecurity e

del cybercrime
[A cura di Gastone Nencini, Trend Micro Italia]
Il tema della sicurezza dei sistemi di controllo industriale (ICS, Industrial Control System)
è salito alla ribalta negli ultimi anni per via della crescente interconnessione tra i processi
di business presenti sul lato IT e i processi fisici associati al lato OT. Se è vero che questa
interconnessione migliora la visibilità, l’efficienza e la velocità, tuttavia espone inavvertita-
mente gli ICS alle minacce che da decenni colpiscono le reti IT.
Per verificare la sicurezza degli ICS e stabilire un profilo di riferimento globale per esami-
nare le minacce rivolte contro questi sistemi, abbiamo analizzato le specifiche famiglie di
malware che si riscontrano negli endpoint ICS.
La tipologia di malware che i cybercriminali scelgono di adoperare in particolari incidenti

permette di avere una visione della portata e della gravità di questi cyberattacchi offrendo
indizi su due aspetti chiave: gli attaccanti e la rete colpita.
La scelta del malware utilizzato aiuta a capire le motivazioni degli attaccanti e il relativo
grado di capacità tecnica. Per esempio, il ricorso a un ransomware o un coinminer indica
motivazioni finanziarie, l’uso di un wiper o di altri malware distruttivi suggerisce finalità di
sabotaggio, mentre la presenza di una backdoor o di malware per la sottrazione di informa-
zioni è legata a tentativi di spionaggio. In termini di competenze, un malware customizzato
è indice di alte capacità tecniche o di comprensione dell’ambiente attaccato, mentre il
malware generico preconfezionato viene solitamente (ma non sempre) scelto da dilettanti.
Il malware che viene ritrovato all’interno del sistema può far luce anche sull’ambiente di
rete colpito e sulle relative pratiche di cybersicurezza. Possiamo comprendere l’inadegua-
tezza dei metodi di sicurezza presenti sulle reti colpite a partire dalle infezioni presenti. Per
esempio, le varianti malware che sfruttano alcune vulnerabilità implicano la mancanza di
applicazione di patch agli endpoint. Inoltre, i virus che infettano i file suggeriscono l’incom-
pleta eliminazione di infezioni precedenti, con il virus rimasto presente all’interno di gruppi
di dispositivi non sottoposti a controlli.
Identificando e categorizzando il malware scoperto negli ICS attraverso i dati che abbiamo
raccolto nel 2020 intendiamo offrire una panoramica sulla postura di sicurezza generale dei
sistemi di controllo industriale presenti negli ambienti IT/OT e su quello che gli attaccanti
fanno una volta che riescono a entrare nei sistemi. Non mancheranno, al termine, alcuni
consigli circa le azioni da intraprendere per proteggere questi ambienti.
©
Clusit 2021 173
In sintesi: cosa abbiamo scoperto

1. Il ransomware rimane una minaccia preoccupante e in rapida evoluzione che riguarda
gli endpoint ICS in tutto il mondo.
2. I coinminer entrano negli ICS principalmente attraverso sistemi operativi privi di pa-
tch. Dato che gli endpoint ICS sono ancora esposti a EternalBlue, i coinminer distri-
buiti attraverso i tool di Equation Group [1] che sfruttano questa vulnerabilità sono
tuttora diffusissimi in molti Paesi, specialmente in India.
3. Conficker si sta ancora propagando sugli endpoint ICS anche se dotati di sistemi
operativi recenti. Le varianti di Conficker dotate di routine supplementari per l’attacco
con forza bruta delle condivisioni ADMIN$ possono infettare gli endpoint ICS anche
se stanno girando su un OS non suscettibile rispetto a MS08-067, una vulnerabilità di
Windows Server Service che Conficker può sfruttare come vettore di attacco.
4. Il malware legacy continua a crescere nelle reti IT/OT. Pur essendo tipologie di
malware relativamente datate, worm che si propagano attraverso drive rimovibili come
Autorun, Gamarue e Palevo si trovano ancora comunemente negli endpoint ICS.
5. Il malware rilevato sugli endpoint ICS varia a seconda del Paese. In termini percen-
tuali, tra i primi dieci Paesi il Giappone ha la minor quantità di endpoint ICS colpiti
da malware o da software potenzialmente rischioso, mentre la Cina si trova all’estremo
opposto. Gli Stati Uniti presentano il maggior numero di infezioni da ransomware,
mentre l’India è il Paese più colpito dai coinminer.
Definizioni
Rete IT/OT
Termine che riguarda la convergenza dell’IT con la rete OT; la connessione dei processi
di business sul lato IT con il processo fisico sul lato OT. Questo collegamento permette lo
scambio di dati, oltre che il monitoraggio e il controllo delle operazioni dalla rete IT. Ai fini
della presente ricerca, i dati provengono da endpoint ICS che fanno parte di reti IT/OT e
non comprendono quelli degli endpoint ICS residenti su sistemi isolati o privi di connes-
sione Internet.
Endpoint ICS
Le reti IT/OT si avvalgono di endpoint ICS nel design, nel monitoraggio e nel controllo dei
processi industriali. Su questi endpoint ICS vengono installati software specifici per l’ese-
cuzione di importanti funzioni ICS. Alcuni esempi di questi software sono:
• Suite di automazione industriale come Siemens Totally Integrated Automation, Kepware
KEPServerEX e Rockwell Automation FactoryTalk
• Engineering Workstation (EWS), software che viene utilizzato nella programmazione di
workflow o processi industriali. Ad esempio:
- Sistemi di controllo come Mitsubishi Electric MELSEC GX Works o Phoenix Contact
Nanonavigator
174
FOCUS ON 2021 - Sistemi di controllo industriali, analisi della cybersecurity e del cybercrime
- HMI (Human Machine Interface) come MELSEC GT Works o Schneider GP-PRO

EX
- Software per la programmazione robotica come ABB Robotstudio
- Software per progettazione come Solidworks
- Software per dati storici come Honeywell Uniformance
- Software SCADA (Supervisory Control and Data Acquisition) come Siemens Simatic
WinCC SCADA
- Software per la configurazione e la gestione di dispositivi sul campo come PACTware
e Honeywell EZconfig
- Convertitori da connessione seriale a USB come Moxa Uport
Questi endpoint ICS si trovano in diversi livelli dell’architettura della rete IT/OT tranne che
a livello di processo e di controllo. Tutti gli endpoint ICS identificati sono dotati di sistemi
operativi Windows.
Figura 1 - Gli endpoint ICS, evidenziati, come previsti da un’architettura Purdue
Anche se sappiamo che questi endpoint sono dotati di software ICS, non vi è alcuna certez-
za che essi stiano controllando dei processi industriali. Alcuni di questi endpoint potrebbero
essere stati installati a scopo di test o di addestramento; ci siamo comunque assicurati di
escludere macchine palesemente usate per test, endpoint utilizzati da ricercatori specializ-
zati in sicurezza ed endpoint appartenenti a università, così da poter asserire con tranquil-
lità che la maggioranza dei nostri dati proviene da ICS reali e che i dati di rilevamento del
malware non sono distorti da macchine usate a scopo di studio, di ricerca o di analisi.
©
Clusit 2021 175
Abbiamo identificato gli endpoint ICS utilizzando un mix di indicatori come nomi dei file,
percorsi dei file e processi riportati alla Trend MicroTM Smart Protection NetworkTM. Il trat-
tamento dei data point necessari è stato svolto in conformità con la policy Data Collection
Disclosure di Trend Micro mantenendo l’anonimato dei clienti lungo l’intero processo.
Gli utenti hanno la facoltà di recedere dalla raccolta dei dati disabilitando le funzioni Cer-
tified Safe Software Service, Smart Scan e Behavior Monitoring dalla console di ammini-
strazione del prodotto, anche se questa scelta impedisce di beneficiare della protezione
aggiornata in tempo pressoché reale offerta da Smart Protection Network.
Si noti che i numeri relativi ai rilevamenti provengono dalla copertura dei sensori SPN
distribuiti a livello globale. Le classifiche e i numeri a livello regionale non possono essere
indipendenti da variazioni nella distribuzione influenzate dalla market share.
Minacce malware contro gli endpoint dotati di software ICS
Ransomware post-intrusione
Nel 2020 abbiamo registrato un aumento significativo nell’attività di ransomware diretta
contro i sistemi di controllo industriale soprattutto a causa di una crescita negli attacchi
Nefilim, Ryuk, LockBit e Sodinokibi tra settembre e dicembre. Questo gruppo di ran-
somware nel suo complesso è responsabile di oltre la metà degli attacchi ransomware che
hanno colpito gli ICS nel 2020.
Figura 2 - Suddivisione del ransomware che ha colpito i sistemi di controllo industriale nel
2020 (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Gli Stati Uniti sono il Paese con la maggior quota di rilevamenti di ransomware riguardanti
ICS; India, Taiwan e Spagna seguono. Anche l’Italia è presente.
176
Figura 3 - Suddivisione dei rilevamenti di ransomware su sistemi di controllo industriale nel

2020 per Paese e numero di organizzazioni (Fonte: Infrastruttura Trend MicroTM
Smart Protection NetworkTM)
Gli Stati Uniti sono un Paese molto vasto con un enorme numero di aziende che posso-
no cadere vittime di ransomware. Se consideriamo invece la percentuale di organizzazioni
dotate di sistemi di controllo industriale che sono state colpite da ransomware, i primi tre
Paesi sono Vietnam, Spagna e Messico.
È interessante notare come i rilevamenti di ransomware in Vietnam riguardano infezioni

residuali di GandCrab, un ransomware che ha colpito questo Paese nel 2018 [2] e che da
allora è scomparso – probabilmente a causa dell’arresto del suo distributore, avvenuto nel
2020.[3]
Negli ICS il ransomware può provocare la perdita della visibilità o del controllo dei processi
fisici. La costruzione delle interfacce di monitoraggio e controllo come HMI e EWS si basa
su immagini (file .jpg, .bmp, .png) e file di configurazione; tuttavia, gli attacchi ransomware
crittografano anche questi dati rendendoli inutilizzabili da parte del software ICS. In questo
modo il ransomware riesce a paralizzare efficacemente [4] HMI e EWS.
Questo provoca perdite di produttività e fatturato nell’impianto colpito. Infatti, quando ab-
biamo creato un finto stabilimento che fungesse da honeypot, [5] abbiamo registrato diversi
giorni di fermo operativo mentre ripristinavamo il funzionamento in seguito agli incidenti
causati dal ransomware sull’ICS responsabile del monitoraggio e del controllo dei processi
industriali.
©
Clusit 2021 177
Figura 4 - Una HMI che non riesce a caricare poiché il ransomware ha reso illeggibili i file
di configurazione e le immagini di cui si avvale per costruire l’interfaccia.
(Immagine: Trend MicroTM [4])
Un altro aspetto degli attacchi ransomware che colpiscono gli ICS riguarda la recente ten-
denza alle doppie estorsioni, [6] che si verificano quando i file colpiti non vengono solamen-
te crittografati ma anche esfiltrati e resi pubblici. Questo problema riguarda soprattutto i
componenti ICS dedicati alla progettazione e allo sviluppo dei processi industriali. Design,
programmi e documenti come elenchi di fornitori, liste di componenti e procedimenti in-
dustriali presenti negli EWS, se fatti fuoriuscire dai sistemi e quindi ricevuti dalle persone
sbagliate, possono regalare agli attaccanti informazioni confidenziali o progetti proprietari di
prodotti. Per esempio, gli attaccanti responsabili del ransomware Sodinokibi che ha colpito
Quanta, un importante fornitore di Apple, avevano minacciato di rilasciare una parte dei
documenti che erano riusciti a sottrarre. Tali documenti, a quanto pare, comprendevano gli
schemi di modelli iMac e Macbook Air non ancora usciti sul mercato. [7]
Coinminer
A parte il ransomware, i coinminer sono un altro malware che colpisce gli ICS sulla spinta
di motivazioni finanziarie. Sebbene il codice di un coinminer non sia progettato per distrug-
gere file o dati, l’utilizzo di CPU associato all’attività di mining può influire negativamente
sulle performance dell’endpoint ICS. Nella nostra ricerca basata su un finto stabilimento
honeypot [5] abbiamo verificato come gli endpoint ICS non rispondessero più una volta che
178
gli attaccanti avevano installato coinminer al loro interno. Un coinminer può provocare
indirettamente la perdita della visualizzazione e del controllo di un ICS, specialmente se i
relativi computer possiedono una limitata capacità di CPU e/o un sistema operativo obsole-
to, una combinazione che non è raro ritrovare negli ambienti industriali.
La famiglia di coinminer maggiormente diffusa nei sistemi di controllo industriale nel 2020
è MALXMR, un coinminer post-intrusione. Anche se viene solitamente installato attra-
verso tecniche fileless, a partire dal 2019 abbiamo osservato infezioni di MALXMR che
utilizzano i tool di Equation Group per sfruttare la vulnerabilità EternalBlue allo scopo di
facilitare la distribuzione e il movimento laterale.
Figura 5 - Suddivisione dei coinminer che hanno colpito i sistemi di controllo industriale nel
2020 (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Tra i Paesi in cui MALXMR è stato trovato su endpoint ICS, l’India conta oltre un terzo
dei rilevamenti. Ciò non significa tuttavia che l’India sia particolarmente nel mirino delle
gang di cryptominer che ricorrono a MALXMR. Un’occhiata alle infezioni del ransomware
WannaCry mostra che questo Paese ha registrato anche più di un terzo delle infezioni di
WannaCry sugli endpoint ICS.
©
Clusit 2021 179
Figura 6 - Distribuzione di MALXMR per Paese e aziende

(Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Figura 7 - Distribuzione di WannaCry per Paese e aziende

Questo suggerisce che l’India presenti il maggior numero di infezioni MALXMR perché
una grande quantità di computer dotati di software ICS è vulnerabile a EternalBlue, dal
momento che i tool di Equation Group usati da MALXMR e WannaCry sfruttano tale vul-
nerabilità in entrambi i casi. Questi dati mostrano come il livello di diffusione delle patch
all’interno di un Paese lo renda o meno suscettibile a determinate minacce.
180
Conficker
In maniera simile a quanto riscontrato in occasione di una precedente ricerca dedicata agli
ambienti di produzione industriale, [8] continuiamo a verificare la presenza di Conficker (o
Downad) quale minaccia persistente per gli endpoint ICS. Scoperto per la prima volta nel
lontano 2008, questo worm è stato ancora rilevato in modo persistente su 200 endpoint
individuali.
Abbiamo scoperto che almeno il 94% degli endpoint analizzati era configurato con sistemi
operativi Windows 10 o Windows 7. Il metodo di propagazione più conosciuto di Conficker
avviene sfruttando la vulnerabilità MS08-067 che consente l’esecuzione di codice remoto
quando il sistema colpito riceva una richiesta RPC (Remote Procedure Call) appositamente
predisposta.[9] Il fatto è che MS08-067 non si applica a Windows 10 né a Windows 7, il
che ci porta a concludere che queste infezioni si propaghino attraverso drive rimovibili o
attacchi a dizionario contro le condivisioni ADMIN$.
Figura 8 - Distribuzione dei sistemi operativi sugli endpoint ICS sui quali è presente
Conficker. (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Relativamente all’ipotesi precedente, abbiamo scoperto che almeno l’85% dei casi di Confi-
cker rilevati è da ricondurre a drive rimovibili e che almeno il 12% dei rilevamenti è limitato
esclusivamente all’interno della directory di sistema di Windows. Ciò indica il successo
dell’infezione di Conficker anche quando la macchina colpita non è vulnerabile a MS08-67.
Trend Micro intercetta la maggioranza delle infezioni presenti nella directory di sistema di
Windows come WORM_DOWNAD.EZ e WORM_DOWNAD.AD (maggiori informazio-
ni al riguardo sono disponibili in appendice al presente documento): si tratta di varianti di
Conficker dotate della capacità supplementare di depositare una copia di se stesse all’in-
terno di ADMIN%\system32 usando le credenziali di un utente connesso o lanciando un
©
Clusit 2021 181
attacco a dizionario [10] con password comuni. Si tratta di un dato interessante perché signi-
fica che anche un endpoint dotato di una versione di Windows più recente non vulnerabile
a MS08-067 può subire un’infezione di Downad a causa di credenziali di amministrazione
deboli.
Figura 9 - Posizione dei rilevamenti di Conficker sulla base del percorso dei file.
Il contenimento delle epidemie di worm è un lavoro difficile e questo scenario dimostra

come molteplici metodi di propagazione (exploit della rete, drive rimovibili e attacchi a
forza bruta sulle credenziali) ne rendano difficile l’eradicazione. Il personale incaricato della
sicurezza deve accertarsi che tutti i metodi di propagazione siano affrontati adeguatamente.
In questo caso sono necessari l’applicazione di patch (o virtual patching), la scansione dei
drive rimovibili alla ricerca di malware, la protezione delle condivisioni di rete e la disponi-
bilità di un IDS (Intrusion Detection System) e di un IPS (Intrusion Prevention System) in
grado di rilevare e impedire i tentativi di login associati a un attacco a forza bruta.
182
Malware legacy
Figura 10 - Suddivisione del malware legacy trovato negli endpoint ICS.

Nelle reti dove sono presenti ICS abbiamo rilevato la presenza di vecchi worm il cui prin-
cipale metodo di propagazione si basa su condivisioni di rete o drive USB rimovibili. Anche
se questo malware legacy si trova in meno del 2% delle aziende, esso viene individuato
frequentemente e su diversi endpoint nell’ambito della medesima rete, a segnalare una
epidemia localizzata.
Worm come Autorun, Gamarue e Palevo si sono scatenati nel 2013 e nel 2014 ma da
allora sono scomparsi grazie alla vasta diffusione di policy di sicurezza che disabilitano la
funzionalità autorun (quella per cui i file eseguibili dichiarati nel file autorun.inf vengono
lanciati automaticamente al collegamento di un dispositivo rimovibile). Anche se non sor-
prende trovare questi vecchi worm legacy all’interno di ambienti IT/OT, ci sono un paio di
pratiche che contribuiscono a questa situazione. La prima è il trasferimento di file e dati
tramite chiavette e dischi esterni USB, solitamente utilizzato come pratica soluzione per il
passaggio di dati tra reti isolate. La seconda quando gli utenti creano backup di sistema o
terminali inattivi in standby salvandoli su drive rimovibili, senza però effettuare scansioni di
sicurezza alla ricerca di eventuale software pericoloso.
©
Clusit 2021 183
Lo stesso vale per i virus che infettano i file. Condizioni simili a quelle che hanno permesso
ai worm di sopravvivere nelle reti isolate hanno consentito anche a virus come Sality, Ram-
nit e Virut di svilupparsi negli stessi ambienti. Questa tipologia di virus è ancora più vecchia
rispetto a quella dei worm per drive rimovibili, con alcune varianti di Virut che risalgono
addirittura al 2009.
Anche se questi worm e virus legacy non sono associati ad alcun gruppo di cybercriminali
o attaccanti sponsorizzati da Stati nazione, la loro continua presenza all’interno di reti IT/
OT suggerisce una sicurezza inadeguata e una scarsa manutenzione dei backup e dei drive
rimovibili. Ciò non solo ha reso assai più difficoltosa l’eradicazione di questi virus, ma ha
anche creato un rifugio appartato nel quale il malware legacy ha potuto sopravvivere, come
provato da diversi endpoint che hanno rilevato molteplici malware legacy nello stesso drive
rimovibile.
Questo prova anche come i drive rimovibili possano essere un punto debole di questi en-
dpoint ICS, un elemento che un tipo di malware ben più sofisticato come Stuxnet ha
sfruttato negli attacchi rivolti contro sistemi SCADA (Supervisory Control and Data Acqui-
sition) specifici. [11]
Rilevamenti di malware e grayware nei primi 10 Paesi

Questa sezione è dedicata ai casi di malware e grayware (come applicazioni potenzialmente
indesiderate, adware e tool per hacking) rilevati nei primi 10 Paesi per numero di reti IT/
OT con endpoint ICS.
Il grafico di Figura 11 mostra la percentuale di endpoint ICS contenenti malware o graywa-

re nel 2020. Il Giappone possiede la minor quantità di reti IT/OT dove sono stati rilevati
malware e grayware, mentre al contrario la Cina è il Paese che ne ha evidenziati di più.
Anche l’Italia ha una buona percentuale.
Da un punto di vista geografico possiamo vedere come alcune tipologie di minacce riguar-
dino alcuni Paesi più di altri. Come già sottolineato, gli Stati Uniti presentano il maggior
numero di aziende colpite dal ransomware (Figura 12, dato in colore lilla).
Il malware legacy (in particolare i worm nei drive rimovibili e i virus che infettano i file),
sono stati rilevati soprattutto in India, Cina, Stati Uniti e Taiwan. L’India guida la classifica
in quanto a coinminer, malware Equated e ransomware WannaCry.
Il Giappone presenta il numero più alto di infezioni Emotet. Ma se Emotet è noto per
dispiegare Ryuk, Trickbot o Qakbot successivamente all’infezione, i dati di cui sopra non
sembrano indicare ulteriori installazioni di malware. Gli ICS in Germania sono quelli più
colpiti dall’adware, soprattutto da quello che circola in bundle con i tool software.
184
Figura 11 - Percentuale di sistemi di controllo industriale contenenti malware e grayware nei

primi 10 Paesi. (Fonte: Infrastruttura Trend MicroTM Smart Protection NetworkTM)
Figura 12 - Suddivisione dei rilevamenti a seconda del tipo di malware nei primi 10 Paesi
©
Clusit 2021 185
In conclusione
Utilizzare i rilevamenti del malware come uno dei criteri alla base della cybersicurezza delle
reti IT/OT può migliorare la postura di difesa e, di conseguenza, rafforzare la protezione
degli endpoint ICS. Il risultato? Niente più fermi operativi imprevisti né perdite della visua-
lizzazione e del controllo delle risorse.
Sulla base dei dati di rilevamento possiamo concludere che i sistemi di controllo industriale
possono essere colpiti tanto dal malware moderno come il ransomware e i coinminer, quan-
to dal malware legacy come i worm e i virus che infettano i file. Ciò significa che gli en-
dpoint ICS possono essere infettati con successo sia mediante tecniche moderne (malware
fileless, tool di hacking, attacchi che sfruttano le risorse trovate localmente sui sistemi col-
piti) che attraverso più che collaudati metodi legacy (vecchi exploit di rete, autorun su drive
rimovibili, attacchi a forza bruta contro le condivisioni di rete e infezioni di file).
Tuttavia, in alcuni attacchi la posta in gioco è più alta. Nel caso del ransomware, le aziende
dovrebbero prestare attenzione alla caccia scatenata dai cybercriminali contro vittime di
alto profilo, [12] dove gli attaccanti per prima cosa identificano gli obiettivi che sono stati in
grado di violare per poi risalire ai principali sistemi residenti nella rete così da provocare i
danni più rilevanti e costringere le vittime a pagare. La presenza di ransomware negli ICS in
occasione di svariati attacchi potrebbe indicare il fatto che i cybercriminali stanno iniziando
a rendersi conto delle potenzialità di questi sistemi e rivolgere a essi le loro attenzioni.
Questo significa che la sicurezza dovrebbe essere un punto da considerare attentamente

quando si interconnette la rete IT alla rete OT. [13] Le vulnerabilità di sicurezza che vengono
sfruttate sia dal malware legacy che dalle nuove generazioni di attacchi dovrebbero essere
risolte. Raccomandiamo che lo staff incaricato della sicurezza IT affronti la sicurezza degli
ICS avendo comprensione dei requisiti specifici che questi sistemi presentano e dei motivi
per i quali sono stati configurati così come sono. Tenendo questo a mente, lo staff della si-
curezza IT dovrebbe collaborare con i tecnici OT per valutare in modo appropriato i sistemi
principali, identificare le varie dipendenze come la compatibilità dei sistemi operativi e i
requisiti di uptime e apprendere le pratiche operative e procedurali associate a una ade-
guata strategia di cybersecurity così da proteggere come si deve questi importanti sistemi.
Raccomandazioni
Di seguito alcune raccomandazioni per la protezione degli endpoint ICS:
• Tenere aggiornati i sistemi con le patch di sicurezza. Nonostante sia un procedi-
mento noioso, è tuttavia necessario per evitare violazioni; un esempio riguarda il modo in
cui la vulnerabilità Eternal Blue è stata sfruttata inizialmente da malware zero-day avan-
zato e, in seguito, dai tool preconfezionati di Equation Group che installano coinminer.
Una volta che un exploit è noto, esso viene gradualmente assimilato dalle procedure di
routine degli attaccanti, quindi è importante applicare le patch.
186
• Implementare la micro-segmentazione della rete o ricorrere alle tecnologie di

virtual patching. Quando l’applicazione delle patch non è possibile, la micro-segmenta-
zione rafforza la sicurezza limitando le comunicazioni e l’accesso di rete ai soli dispositivi
necessari.
• Limitare le condivisioni di rete e imporre l’utilizzo di combinazioni forti di
username e password in grado di impedire accessi non autorizzati a seguito di attacchi
a forza bruta sulle credenziali.
• Utilizzare sistemi IDS (Intrusion Detection System) e IPS (Intrusion Preven-
tion System). Queste soluzioni sono capaci di evidenziare potenziali anomalie di rete,
rilevare traffico pericoloso, contribuire alla visibilità dei dispositivi, stabilire un profilo
di riferimento del traffico e affrontare attività illecite sulla rete. Disporre di un profilo di
riferimento del traffico e della comunicazione tra un dispositivo e l’altro semplifica l’iden-
tificazione delle anomalie che possono insorgere sulla rete.
• Installare soluzioni antimalware. Le soluzioni antimalware sono in grado di gestire
i virus e i worm legacy che possono restare dormienti all’interno di drive rimovibili e
sistemi isolati. Per gli endpoint ICS residenti in ambienti isolati nei quali il software di
sicurezza sia assente o non possa essere aggiornato a causa della mancanza di una con-
nessione Internet, è consigliato l’impiego di tool autonomi capaci di eseguire la scansione
del sistema per verificare l’eventuale presenza di malware.
• Installare punti per la scansione di dispositivi USB. Queste stazioni possono ri-
cercare il malware all’interno dei drive rimovibili utilizzati per il trasferimento dei dati tra
endpoint isolati.
• Applicare il principio del privilegio minimo. Gli amministratori e gli operatori OT
dovrebbero rendersi conto del fatto che un operatore può anche controllare un ICS, ma
questo non significa che lo stesso operatore abbia bisogno di privilegi amministrativi per
il computer sul quale si trova l’ICS. Applicare il principio del privilegio minimo all’ICS in
modo che l’operatore sia abilitato all’uso del sistema, ma che solo un amministratore vi
possa installare software o apportare modifiche di sistema all’endpoint.• Con-
siderare le differenze regionali nella consapevolezza e nell’implementazione
della sicurezza. Questo è un aspetto importante da tenere a mente specialmente nel
caso di aziende multinazionali con impianti, partner e filiali in vari angoli del mondo. La
soluzione ideale sarebbe quella di disporre del medesimo grado di sicurezza indipenden-
temente dal fatto che i sistemi risiedano in un contesto locale culturalmente più o meno
attento alla sicurezza.
• Identificare e verificare i sistemi aventi bassa tolleranza al rischio. Il grayware
può introdurre traffico o software non necessari che potrebbero interferire con l’ICS. A
seconda della tolleranza al rischio, la presenza di grayware potrebbe essere accettabile o
meno. Identificare e verificare i sistemi che presentano una bassa tolleranza al rischio in
modo da accertarsi che venga utilizzato solamente software conosciuto e autorizzato, così
da mitigare eventualità pericolose.
©
Clusit 2021 187
Il ransomware ha effetti nefasti sui sistemi industriali impattando sulla visibilità e sul con-
trollo dei processi e bloccando le operazioni. Il ransomware post-intrusione è solitamente
il prodotto finale di una violazione in atto, non la sua causa, e se il ransomware si trova
all’interno di un endpoint ICS è perché l’accesso a questo sistema non è adeguatamente
protetto o la rete è completamente compromessa. Per affrontare questo pericolo consiglia-
mo quanto segue:
• Utilizzare una safelist o “allow list”. Per alcuni ICS dedicati a funzioni specifiche
potrebbe essere appropriato disporre di un elenco del software che può girarvi sopra
• Effettuare analisi di rete e risposta agli incidenti alla ricerca di indicatori di
compromissione (IoC). I gruppi specializzati in ransomware post-intrusione si avvalgo-
no di diversi tool e di account compromessi a scopo di accesso e di movimento laterale.
Effettuando un’analisi di rete e di risposta agli incidenti completa, i team incaricati della
sicurezza possono determinare l’estensione dell’intrusione e le vulnerabilità sfruttate, pia-
nificando una robusta strategia di sicurezza basata sull’incidente stesso
Bibliografia
1 Cedric Pernet, Vladimir Kropotov, and Fyodor Yarochkin. (June 13, 2019). Trend Micro.
“Advanced Targeted Attack Tools Found Being Used to Distribute Cryptocurrency
Miners.” Accessed on May 14, 2021, at https://blog.trendmicro.com/trendlabs-security-
intelligence/advanced-targeted-attack-tools-used-to-distribute-cryptocurrency-miners
2 Viet Nam News. (March 18, 2019). Viet Nam News. “Internet users warned
of ransomware attacks.” Accessed on May 14, 2021, at https://vietnamnews.vn/
society/507280/internet-users-warned-of-ransomware-attacks.html.
3 Catalin Cimpanu. (Aug. 3, 2020). ZDNet. “GandCrab ransomware distributor arrested
in Belarus.”. Accessed on May 14, 2021, at https://www.zdnet.com/article/gandcrab-
ransomware-distributor-arrested-in-belarus/
4 Ryan Flores. (Dec. 01, 2020). Trend Micro Research. “The Impact of Modern
Ransomware on Manufacturing Networks.” Accessed on May 14, 2021, at https://
www.trendmicro.com/en_us/research/20/l/the-impact-of-modern-ransomware-on-
manufacturing-networks.html
5 Stephen Hilt, Federico Maggi, Charles Perine, Lord Remorin, Martin Rösler, and Rainer
Vosseler. (Jan. 21, 2020). Trend Micro Security News. “Caught in the Act: Running a
Realistic Factory Honeypot to Capture Real Threats.” Accessed on May 14, 2021, at
https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/fake-company-
real-threats-logs-from-a-smart-factory-honeypot
6 Jon Clay. (May 10, 2021). Trend Micro Research. “Tips to avoid the new wave of
ransomware attacks.” Accessed on May 14, 2021, at https://www.trendmicro.com/en_
us/research/21/e/tips-to-avoid-new-wave-ransomware-attacks.html
188
7 Chaim Gartenberg. (April 21, 2021). The Verge. “Apple targeted in $50 million
ransomware attack resulting in unprecedented schematic leaks.” Accessed on May
14, 2021, at https://www.theverge.com/2021/4/21/22396283/apple-schematics-
leakransomware-quanta-supplier-leak
8 Matsukawa Bakuei, Ryan Flores, Vladimir Kropotov, and Fyodor Yarochkin. (April 3,
2019). Trend Micro Security News. “Threats to Manufacturing Environments in the
Era of Industry 4.0.” Accessed on May 14, 2021, at https://www.trendmicro.com/vinfo/
us/security/news/internet-of-things/security-in-the-era-of-industry-4-dealing-with-
threats-to-smart-manufacturing-environments
9 Microsoft. (October 23, 2008). Microsoft. “Microsoft Security Bulletin MS08-067
- Critical.” Accessed on May 14, 2021, at https://docs.microsoft.com/en-us/security-
updates/securitybulletins/2008/ms08-067
10 Dan Swinhoe. (Aug 5, 2020). CSO. “What is a dictionary attack? And how you can easily
stop them.” Accessed on May 14, 2021, at https://www.csoonline.com/article/3568794/
what-is-a-dictionary-attack-and-how-you-can-easily-stop-them.html
11 Danielle Veluz. (Oct. 1, 2010). Trend Micro Threat Encyclopedia. “STUXNET Malware
Targets SCADA Systems.” Accessed on May 14, 2021, at https://www.trendmicro.com/
vinfo/us/threat-encyclopedia/web-attack/54/stuxnet-malware-targets-scada-systems
12 Magno Logan, Erika Mendoza, Ryan Maglaque, and Nikko Tamaña. (February 3, 2021).
Trend Micro. The State of Ransomware: 2020’s Catch-22. Accessed on May 14, 2021,
at https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/
the-state-of-ransomware-2020-s-catch-22
13 Trend Micro. (March 18, 2020). Trend Micro Security News. “The IIoT Threat
Landscape: Securing Connected Industries.” Accessed on May 14, 2021, at https://www.
trendmicro.com/vinfo/us/security/news/internet-of-things/the-iiot-threatlandscape-
securing-connected-industries
©
Clusit 2021 189
FOCUS ON 2021
Sicurezza per la rete di accesso: dallÓnPrem al Cloud

[A cura di Alessandro Ercoli, HPE Aruba Italia]
Ci sono viaggi che quando iniziano sono inarrestabili. Succede quando la corsa non dipende
da noi, non è sotto il nostro controllo, ma va avanti sotto la spinta di un motore portentoso:
il progresso.
Tutta la storia dell’uomo è fatta di tentativi di previsione e di rivoluzioni che sono sempre
andate oltre i pronostici. Oggi viviamo uno di quei momenti in cui ciò che sembrava lontano
e futuristico è un presente vertiginoso. Siamo nell’occhio del ciclone di una delle rivoluzioni
più entusiasmanti che si siano mai viste: non possiamo fermare l’onda, ma possiamo imparare
a cavalcarla.
La trasformazione digitale cambierà il modo di affrontare i problemi IT con cui maggiormente

ci scontriamo. Pensare di confrontarsi con le criticità come facevamo un tempo significa auto-
limitarsi perché ci costringiamo a fronteggiare un pericolo con un equipaggiamento limitato,
per certi versi anche sbagliato. Un unico centro di controllo, che si rivela troppo statico, privo
di flessibilità e capacità di resilienza, è un vincolo.
Per cavalcare l’onda, dobbiamo servirci delle forze che genera. Dobbiamo sfruttare gli automa-
tismi e le logiche dell’Intelligenza Artificiale. Con quale obiettivo? Individuare i problemi ben
prima che realizzino il proprio potenziale negativo, impattando sulla nostra esperienza digitale.
Come per tutte le sfide, dobbiamo farlo in sicurezza, garantendo un ambiente protetto.
La crescita dell’edge a causa del cambiamento del modo di lavorare e della crescita espo-
nenziale (e a volte incontrollata) dei dispositivi IoT ha fatto emergere nuove sfide in termini
di onboarding, visibilità e sicurezza. Nel frattempo, la continua migrazione delle applicazio-
ni sul cloud ha modificato l’approccio alla pianificazione delle reti e, conseguentemente, ai
requisiti di sicurezza, visto che le reti tradizionali non erano state progettate per un mondo
basato sul cloud. La maggiore complessità delle reti e l’insorgere di nuove minacce creano
nelle organizzazioni la necessità di un approccio end-to-end olistico, che assicuri sicurezza
e conformità dall’edge, dove risiedono i nuovi dispositivi, gli utenti e gli uffici remoti, fino
ad arrivare al cloud, che ospita le applicazioni e i dati critici, richiedendo dunque altissimi
livelli di protezione, prestazioni e disponibilità.
Le problematiche di protezione della rete sono cambiate notevolmente nel corso degli anni
per la crescente decentralizzazione degli utenti e la trasformazione degli attacchi, divenuti
sempre più sofisticati e persistenti. I tradizionali approcci alla sicurezza che si concentrava-
no principalmente sul perimetro della rete non sono più efficaci come strategie autonome.
La moderna sicurezza di rete deve gestire un insieme di utenti e dispositivi diversificati e in
©
Clusit 2021 191
continua evoluzione, nonché un numero decisamente più alto di minacce prevalenti rivolte
a porzioni dell’infrastruttura un tempo “attendibili”.
Il modello Zero Trust Security è emerso come soluzione efficace per rispondere ai mute-
voli requisiti di sicurezza dell’azienda moderna, partendo dall’ipotesi che tutti gli utenti, i
dispositivi, i server e i segmenti delle reti sono intrinsecamente non sicuri e potenzialmente
ostili. La sicurezza basata su modelli di tipo Zero Trust, migliora la protezione complessiva
della rete, applicando un set più rigoroso di best practice e controlli alla risorse di rete pre-
cedentemente attendibili.
Ma su quali principi si basa un modello di tipo Zero Trust?

Il modello Zero Trust varia notevolmente in base al dominio di sicurezza considerato. Seb-
bene i controlli a livello di applicazione siano stati un punto essenziale di Zero Trust, una
strategia completa deve anche considerare la protezione della rete e il crescente numero
di dispositivi connessi, incluso l’ambiente di telelavoro. I modelli di sicurezza Zero Trust
offrono visibilità complessiva, microsegmentazione Least Access e controllo, nonché moni-
toraggio e applicazione continui. Anche le tradizionali soluzioni VPN vengono ottimizzate
con la verifica che gli stessi controlli applicati alle reti di campus o filiali siano estesi anche
a coloro che lavorano da casa o in remoto.
Nell’era dell’IoT, i principi basilari di

un’adeguata protezione della rete sono
spesso difficili da implementare. Se
possibile, tutti i dispositivi e gli utenti
dovrebbero essere identificati e corret-
tamente autenticati prima di concedere
loro l’accesso alla rete. Oltre all’autenti-
cazione, a utenti e dispositivi dovrebbe
esser fornito il livello di accesso minimo
necessario per l’esecuzione delle attività
business-critical una volta connessi alla
rete. Questo significa stabilire le risorse
di rete e le applicazioni a cui determina-
ti utenti o dispositivi possono accedere.
Figura 1
Ma prima di fare tutto ciò, è importante
sapere con certezza cosa c’è collegato sulla nostra infrastruttura di rete. Data la crescente
adozione dell’IoT, la visibilità totale dei dispositivi e degli utenti sulla rete è diventata una
problematica sempre più seria. Senza visibilità, è difficile applicare controlli di sicurezza
essenziali che supportano il modello Zero Trust.
Automazione, machine learning basato sull’IA e capacità di identificare velocemente i tipi
di dispositivi sono fattori determinanti.
192
FOCUS ON 2021 - Sicurezza per la rete di accesso: dallÓnPrem al Cloud
Si sfruttano una combinazione di tecniche di rilevamento e profilazione attive e passive per

individuare tutti i dispositivi connessi o che tentano di connettersi alla rete, tra cui quelli
standard basati sugli utenti come portatili e tablet. Questa è una differenziazione sostanziali
rispetto agli strumenti tradizionali, avendo così la sua capacità di rilevare un insieme di
dispositivi IoT sempre più diversificato e diffuso sulle reti di oggi.
Per ovviare a tutto questo, ci vengono in aiuto tecnologie di microsegmentazione unite al

concetto di Least Access o accesso minimo consentito.
Infatti, dopo la visibilità, i passaggi successivi essenziali riguardano proprio l’applicazione
delle best practice Zero Trust correlate al concetto di “Least Access” e microsegmentazio-
ne. Questo implica l’impiego del miglior metodo di autenticazione possibile per ciascun
endpoint sulla rete e l’applicazione di una policy di controllo che autorizzi l’accesso soltanto
alle risorse assolutamente necessarie per il dispositivo o l’utente in questione. I piu’ innova-
tivi Policy Manager consentono la creazione di policy di accesso in base al ruolo con cui i
team IT e di sicurezza possono rendere operative queste best practice tramite un solo ruolo
e i privilegi di accesso associati che sono applicati su tutta la rete: infrastruttura cablata o
wireless, in filiale o nel campus.
Dopo la profilazione, ai dispositivi viene automaticamente assegnata la corretta policy di
controllo degli accessi e ne viene eseguita la separazione logica da altri dispositivi tramite le
funzionalità di segmentazione dinamica di Aruba. L’applicazione è garantita dal PEF (Policy
Enforcement Firewall), un firewall applicativo completamente integrato nell’infrastruttura
di rete.
Figura 2
Il Policy Manager si integra anche con numerose soluzioni di autenticazione, supportando

l’utilizzo di un processo multi fattore e la possibilità di forzare la ripetizione dell’autentica-
zione in punti chiave della rete. Tramite l’ecosistema ClearPass, i clienti possono integrare
facilmente altre soluzioni per rispettare i requisiti Zero Trust associati alle informazioni
contestuali e altri elementi della telemetria di sicurezza.
©
Clusit 2021 193
Questo significa che ClearPass è compatibile con un’ampia gamma di soluzioni, tra cui gli
strumenti di sicurezza degli endpoint, e favorisce decisioni più intelligenti sul controllo
degli accessi in base alla situazione di un dispositivo. Le policy di controllo degli accessi
possono inoltre essere modificate a seconda del tipo di dispositivo usato, del luogo da cui si
collega l’utente e di altri criteri basati sul contesto.
Naturalmente, la completa visibilità, controllo e applicazione delle politiche di sicurezza,

non può esser limitata al solo ambiente locale e di infrastrutture Wired e Wireless. Sempre
di piu’ stiamo vivendo una trasformazione che sta impattando anche le reti geografiche, le
cosiddette WAN. Le logiche e i modelli di Software Defined, hanno avuto la loro genesi
all’interno dei Data Center (SDDC – Software Defined Data Center), per poi trovare terre-
no fertile in architetture di Campus (SD-LAN Software Defined LAN) ed approdare infine
al mondo delle WAN con il famoso ormai SD-WAN (Software Defined WAN).
Come dicevamo in apertura, il viaggio è iniziato e vedremo ulteriori migrazioni, integrazioni
e nuovi modelli architetturali che mettono al primo posto automazione e sicurezza. Questi
modelli prendono il nome di SASE (Secure Access Service Edge).
Figura 3
Una soluzione SASE è indispensabile per supportare le iniziative di trasformazione digitale

aziendale come la strategia cloud-first e il soddisfacimento delle esigenze di mobilità dei
lavoratori. In un’architettura SASE robusta, de funzionalità WAN operano in sinergia con
e funzionalità di sicurezza di rete per soddisfare le esigenze di accesso sicuro e dinamico di
utenti, dispositivi e applicazioni proprie delle aziende digitali.
194
Man mano che le organizzazioni procedono alla migrazione di buona parte delle loro ap-
plicazioni sul cloud diventa sempre più essenziale che le soluzioni SD-WAN e di sicurezza
si adattino a questa trasformazione. Modernizzando le proprie infrastrutture WAN e di
sicurezza, i clienti possono ottenere vantaggi significativi sia in termini di networking sia di
sicurezza.
Questo riduce in modo significativo lo sforzo di integrazione dei servizi di sicurezza del
cloud nell’infrastruttura di rete e di sicurezza già esistente. Integrando questi servizi di sicu-
rezza basati sul cloud, le organizzazioni possono proteggere nel modo più efficace la propria
infrastruttura ospitata nel cloud.
Le applicazioni sono fornite nel cloud: anche la sicurezza dovrebbe

esserlo
Tradizionalmente, tutto il traffico delle applicazioni proveniente dalle filiali verrebbe tra-
sportato in backhaul tramite servizi MPLS privati al data center aziendale per verifiche e
ispezioni di sicurezza.
Figura 4
Le WAN aziendali tradizionali e gli approcci alla sicurezza basati sul perimetro non sono
stati progettati per il cloud. Effettuare il backhaul del traffico di tutte le applicazioni dalle
filiali al data center riduce le prestazioni delle applicazioni e offre un’esperienza utente
irregolare.
Questa architettura ha senso se le applicazioni sono ospitate esclusivamente nel data center
aziendale. Adesso, tuttavia, con la massiccia migrazione di servizi e applicazioni nel cloud,
l’architettura di rete tradizionale risulta inadeguata: essa, infatti, riduce le prestazioni delle
applicazioni e offre un’esperienza utente irregolare, poiché il traffico destinato al web deve
passare per il data center e il firewall aziendale prima di giungere a destinazione.
©
Clusit 2021 195
Inoltre, con l’aumento del numero di dipendenti che lavorano al di fuori della rete aziendale
connettendosi direttamente alle applicazioni sul cloud, la tradizionale sicurezza basata sul
perimetro risulta insufficiente. Il cloud e il SaaS hanno cambiato per sempre il modo in cui
gli utenti si connettono alle applicazioni e interagiscono con esse. Trasformando le archi-
tetture WAN e di sicurezza, le aziende possono garantire un accesso diretto e sicuro alle
applicazioni e ai servizi in ambienti multi-cloud indipendentemente da dove ci si connette
e dal dispositivo usato.
Le soluzioni di sicurezza su cloud normalmente supportano una pluralità di funzionalità di

sicurezza di rete, che possono includere il secure web gateway (SWG), il Firewall-as-a-Ser-
vice (FWaaS), il cloud access security broker (CASB) e l’architettura di rete Zero Trust
(ZTNA). In precedenza, queste erano tutte funzionalità implementate in locale, separate e
dedicate. Ora possono essere fornite tramite cloud e in maniera unificata, come mostrato
nella Figura 5.
Figura 5
I pionieri nell’adozione delle soluzioni di sicurezza fornite tramite cloud non sono riusciti ad
implementare anche servizi SD-WAN che permettessero di evitare di applicare l’adaptive
Internet breakout direttamente dalle filiali, ovverosia l’uscita Internet diretta dalle filiali
stesse senza afferire ai Data Center centralizzati aziendali. Pertanto, non erano in grado di
indirizzare il traffico in uscita dalla filiale direttamente verso il cloud. Senza la componente
SD-WAN, il traffico destinato al cloud doveva comunque passare dal data center, pregiudi-
cando le prestazioni delle applicazioni.
L’adozione di una soluzione di sicurezza basata sul cloud e di una SD-WAN elimina i costi
e le complessità associate alla gestione di più firewall di nuova generazione in locale, senza
però escludere la necessità delle funzionalità dei firewall stateful localizzati presso le filiali
per bloccare le minacce in entrata.
196
Come mostrato nella Figura 6, utilizzando una soluzione SD-WAN avanzata, le aziende
possono connettersi direttamente al cloud grazie all’adaptive Internet breakout usando
semplici connessioni a Internet a banda larga. L’applicazione di un’intelligenza in grado
di riconoscere le applicazioni permesse abilita l’utilizzo del local breakout tra la filiale e il
PoP (point of presence) più vicino, eliminando la latenza e fornendo un’esperienza della
massima qualità per le applicazioni su cloud e SaaS considerate affidabili (Microsoft Offi-
ce 365, 8x8, RingCentral, ecc.). L’application awareness permette inoltre di inviare i dati
di altri tipi di traffico diretti verso il web a un servizio di sicurezza ospitato sul cloud in
modo da consentirne un’ispezione avanzata prima di inoltrarli al fornitore SaaS di turno. Le
avanzate funzionalità SD-WAN integrate con i moderni servizi di sicurezza basati sul cloud
garantiscono un’applicazione coerente delle politiche e del controllo degli accessi da parte
di utenti, dispositivi, applicazioni e IoT. Ciò permette alle aziende di rispettare le politiche
ed eliminare i tempi morti e mitigare il rischio di compromissione dei dati associati alle
violazioni della sicurezza.
Figura 6
È chiaro ormai che le infrastrutture di rete offrono connettività non piu’ solo a dispositivi
tradizionali, ma anche e sempre di più, a quelli IoT. La proliferazione dei dispositivi IoT nel-
le aziende porta con sé nuovi modi di monitorare, automatizzare, ottimizzare e relazionare
sui processi aziendali, nonché di generare gli avvisi e le notifiche del caso, e ciò vale tanto
per le linee produttive quanto per l’automazione della climatizzazione e dell’illuminazione
finalizzata al risparmio energetico. L’IoT rende le aziende più efficienti tramite l’automazio-
ne; tuttavia, amplia a dismisura la superficie d’attacco aggiungendo una nuova dimensione
di complessità. Per affrontare la crescente sfida della sicurezza dei dispositivi mobili, l’IT
guarda a soluzioni di accesso alla rete Zero Trust (ZTNA) basate sul modello Zero Trust. Le
soluzioni ZTNA prevedono l’installazione di un agente di protezione dell’endpoint sul dispo-
sitivo dell’utente (portatile, tablet, cellulare). L’agente software fa in modo che il traffico in
uscita dal dispositivo venga diretto a un servizio di sicurezza basato sul cloud prima di essere
©
Clusit 2021 197
inoltrato verso l’applicazione SaaS o il fornitore IaaS. Tuttavia, a differenza dei tablet e degli
smartphone, i dispositivi IoT non consentono l’installazione degli agenti software ZTNA
(e di agenti software di terze parti in genere). Per questo, per neutralizzare la potenziale
vulnerabilità dei dispositivi IoT, le aziende necessitano di una soluzione di sicurezza diversa
se vogliono proteggere le proprie reti da violazioni in grado di compromettere l’operatività
aziendale quotidiana.
I rischi associati all’impiego dei dispositivi IoT possono essere ridotti con l’adozione di una
piattaforma SD-WAN avanzata e application-aware. Le piattaforme SD-WAN avanzate
sono in grado di identificare e classificare il traffico delle applicazioni al primo pacchetto,
intercettarlo all’edge della rete, spostarlo sul segmento appropriato e proteggerlo dal resto
del traffico in transito sulla rete. Le piattaforme SD-WAN avanzate orchestrano la segmen-
tazione end-to-end coprendo i percorsi LAN-WAN-LAN e LAN-WAN-Data center/Cloud.
Di conseguenza, le politiche di sicurezza sono applicate in maniera automatizzata e coe-
rente, per di più con una visibilità maggiore. Con la segmentazione end-to-end, le aziende
possono creare segmenti isolati per il traffico dei dispositivi IoT. Per ciascun segmento è
possibile definire una politica di sicurezza indipendente. Poiché il traffico di un segmento è
isolato da quello negli altri segmenti, non è possibile che si verifichino accessi non autoriz-
zati. Anche se sorgesse una minaccia, il suo impatto resterebbe limitato al segmento in cui
è emersa. Inoltre, con un firewall con stato basato sulla zona unificato, le aziende possono
proteggere dalle potenziali minacce, bloccandole, anche i siti remoti e i dispositivi IoT.
Facciamo un esempio. In un sito remoto in cui sono installati dispositivi IoT senza agente
come sistemi PoS e di climatizzazione (Figura 7), una piattaforma SD-WAN avanzata iden-
tifica in modo univoco le applicazioni usate dai dispositivi.
Figura 7
198
Una politica di sistema intercetta il traffico del PoS e lo trasmette al data center aziendale,
che ospita l’applicazione di elaborazione della transazione con carta di credito. A questo
traffico vengono applicati i servizi di sicurezza basati su firewall di nuova generazione già
esistenti, implementati nel data center. Invece, le politiche del sistema di climatizzazione
segmentano e trasmettono il traffico del sistema di climatizzazione al servizio di sicurezza
basato sul cloud per un’ispezione di sicurezza aggiuntiva, per poi inoltrarlo al centro di co-
mando e controllo dell’IoT ospitato nel cloud pubblico. Poiché in base alle politiche azien-
dali il traffico IoT è isolato dal resto, eventuali violazioni del segmento dedicato al traffico
della climatizzazione non potranno compromettere o mettere a rischio i dati personali e
delle carte di credito che transitano sul segmento dedicato al traffico del sistema PoS. La
segmentazione aiuta inoltre le organizzazioni a soddisfare i requisiti di conformità PCI (pay-
ment card industry) o di altri settori eventualmente rilevanti. Come mostrato nell’esempio,
l’implementazione congiunta di una soluzione di sicurezza completa e di una piattaforma
SD-WAN avanzata offre alle aziende più dinamiche una protezione maggiore nel momento
in cui decidono di affrontare la trasformazione finalizzata a godere dei benefici dell’IoT.
Ricerca di mercato
A conferma di quanto finora esposto e presentato in termini tecnologici, abbiamo voluto
approfondire il tema ascoltando la voce di chi in prima persona, tutti i giorni e’ chiamato a
prendere delle scelte che hanno l’obbiettivo, a medio e lungo termine, di adottare e farne
proprie alcune modelli architetturali e le relative soluzioni.
Per questo, di seguito riportiamo i risultati di un report che Ponemon Institute ha condotto,
sponsorizzato da Aruba, tra 1.826 professionisti della sicurezza e del networking a livello
World Wide.
Questa ricerca mira ad apprendere importanti informazioni sull’utilizzo delle architetture
SD-WAN (Software-Defined Wide Area Network), SASE (Secure Access Service Edge) e
Zero Trust.
Nel contesto della presente ricerca, queste tecnologie sono definite come segue:
• L’SD-WAN semplifica la gestione e l’operatività di una Wide Area Network (WAN) se-
parando l’hardware di rete dal suo meccanismo di controllo e virtualizzando i servizi di
trasmissione.
• SASE e Zero Trust sono architetture di sicurezza utilizzate per implementare controlli di
sicurezza.
©
Clusit 2021 199
Figura 8
La Figura 8 chiarisce la consapevolezza da parte del mercato in merito alle tecnologie e

soluzioni prese in esame.
Le organizzazioni sono molto fiduciose nell’efficacia della propria architettura di sicurezza e
nella sua implementazione sono quelle che più hanno implementato soluzioni Zero Trust,
SASE e SD-WAN. Quasi la metà delle organizzazioni altamente performanti (il 48% degli
intervistati) ha implementato o implementerà una soluzione Zero Trust, contro il 35% del
campione totale. Il 43% degli intervistati appartenenti a organizzazioni altamente perfor-
manti ha implementato o implementerà una soluzione SASE, contro il 24% del campione
totale.
Il Nord America guida l’implementazione di Zero Trust, SD-WAN e SASE. Il 43% degli
intervistati nel Nord America ha implementato una soluzione Zero Trust, contro il 33%
degli intervistati nella regione EMEA, il 31% di quelli nella regione Asia-Pacifico e il 26%
di quelli nella regione LATAM. Risultati simili si hanno per l’implementazione di soluzioni
SD-WAN e SASE, come si può vedere dal report.
C’è una familiarità maggiore con l’architettura di sicurezza Zero Trust che con l’SD-WAN
e il SASE. Il 62% degli intervistati dichiara di avere familiarità o una grande familiarità con
l’architettura Zero Trust. Segue l’architettura di sicurezza SASE, con il 45% degli intervistati
che dichiarano di avere familiarità con essa.
Ci si aspetta una crescita dell’adozione di architetture Zero Trust e SASE. Il 57% degli
intervistati dichiara che la propria organizzazione ha implementato o implementerà una
soluzione Zero Trust, mentre il 49% dichiara lo stesso con riguardo alle architetture SASE.
Il team di rete è quello che ha la maggior influenza sulle implementazioni di soluzioni

SD-WAN. Il 46% degli intervistati dichiara che il team di rete è quello che ha la maggior
200
influenza sulle implementazioni di soluzioni SD-WAN, con la consulenza del team della
sicurezza. Il 37% dichiara invece che è il team della sicurezza a guidare l’implementazione,
con la consulenza del team di rete.
Un altro degli interrogativi posto agli intervistati, riguarda chi all’interno dell’organizzazione
aziendale ha la responsabilita’ di prendere alcune decisioni in merito all’adozione di Archi-
tetture e Soluzioni di Sicurezza.
Come si può notare in Figura 9, tipicamente il team di rete è quello che ha la maggior pro-
babilità di prendere decisioni su prodotti/architetture di soluzioni di sicurezza.
Il 42% degli intervistati dichiara che nella propria organizzazione è il team di rete a prendere
decisioni su prodotti/architetture di soluzioni di sicurezza, seguito dal 31% che dichiara che
queste decisioni sono prese dal team della sicurezza e dal 27% che dichiara che a essere
coinvolti sono entrambi i team.
Figura 9
Come si vede nella Figura 10, sulla scelta del fornitore con riguardo all’implementazione
di servizi di sicurezza basati sul cloud (per es. Firewall-as-a-Service basati sul cloud, CASB,
ecc.), nel 44% dei casi pesa la volontà di servirsi di fornitori leader indipendenti e specia-
lizzati in quel tipo di soluzioni, nel 31% dei casi si preferiscono fornitori di soluzioni di
sicurezza che offrono tali servizi nell’ambito di un portfolio di soluzioni più ampio, mentre
nel 25% si preferisce utilizzare lo stesso fornitore della soluzione di rete.
©
Clusit 2021 201
Figura 10
Facendo seguito a quanto sopra, la probabilità che un’organizzazione abbia implementato

soluzioni Zero Trust, SD-WAN e/o SASE è molto maggiore nel caso delle organizzazioni
altamente performanti. Come mostrato nella Figura 11, quasi la metà delle organizzazioni
altamente performanti (il 48%) ha implementato una soluzione Zero Trust, contro il 35%
del campione totale degli intervistati. Il 43% degli intervistati appartenenti a organizzazioni
altamente performanti ha implementato una soluzione SASE, contro il 24% del campione
totale.
Figura 11
202
Per l’implementazione di una SD-WAN e di una soluzione di sicurezza basata sul cloud per
un’architettura SASE si preferisce rivolgersi a un fornitore leader. Per l’implementazione di
una SD-WAN e di una soluzione di sicurezza basata sul cloud per un’architettura SASE, il
71% degli intervistati selezionerebbe uno dei fornitori leader.
Come mostrato nella Figura 12, il 71% degli intervistati dichiara che la propria organizza-
zione si rivolgerebbe a fornitori leader di soluzioni di sicurezza basate sul cloud in grado di
offrire un’integrazione con fornitori SD-WAN (25%), a fornitori leader di soluzioni di rete
in grado di offrire un’integrazione con fornitori leader di soluzioni di sicurezza basate sul
cloud (24%) o a fornitori leader di soluzioni SD-WAN in grado di offrire un’integrazione con
fornitori di soluzioni di sicurezza basate sul cloud (22%).
Figura 12
Per una completa consultazione ed un maggior approfondimento, si consiglia di consultare il

Report integrale al seguente link: Lo stato delle architetture SD-WAN, SASE e Zero Trust
Conclusione
Nel far migrare le proprie applicazioni dai data center al cloud, le moderne aziende basate
sul cloud devono attuare la trasformazione partendo dalla LAN per passare alla WAN, il
tutto garantito da soluzioni di sicurezza. Solo così potranno far rendere al massimo i loro
investimenti nel cloud. Gartner ha coniato il termine SASE (Secure Access Service Edge)
per indicare un’architettura che si muove in quella direzione.
Come mostrato nella Figura 13, è importante che, nel progettare l’attivazione di servizi
SASE, le aziende valutino di attuare una trasformazione sia della WAN sia della sicurezza
per fornire un’esperienza senza interruzioni.
©
Clusit 2021 203
Figura 13
Realisticamente, nessun singolo fornitore potrà offrire le migliori tecnologie di rete e di

sicurezza in un’unica piattaforma. Il panorama delle minacce è in costante evoluzione e le
aziende devono perciò mantenere l’agilità necessaria per adottare rapidamente e a prezzi
convenienti nuove soluzioni di sicurezza. È opportuno che le aziende prendano in conside-
razione piattaforme che consentano di integrare le migliori soluzioni di rete e di sicurezza.
In questo modo possono evitare di dipendere dalle soluzioni proprietarie di un unico forni-
tore o di doversi accontentare di funzionalità basiche.
Una piattaforma SD-LAN e SD-WAN avanzata che supporti l’integrazione delle API (ap-
plication programmable interface) può offrire alle aziende nuovi livelli di automazione e la
possibilità di connettersi a una varietà di servizi basati sul cloud di primissimo livello, ivi
compresi quelli concernenti la sicurezza.
In questo modo, le aziende non ancora pronte a portare a compimento la trasformazione sia
della LAN/WAN sia della sicurezza possono migrare verso un’architettura di rete moderna
e basata sul cloud senza fretta, ma anche senza compromessi.
Con l’aumentare degli investimenti delle aziende nel cloud, prendere in considerazione la
trasformazione sia delle infrastrutture di rete, sia della sicurezza le metterà nelle condizioni
di offrire la miglior esperienza possibile agli utenti, incrementare la produttività e sfrutta-
re nuovi revenues stream. In ultima analisi, avviare una trasformazione della rete e delle
soluzioni di sicurezza, consente alle imprese di ottenere un effetto moltiplicatore sui loro
investimenti sul cloud, passati e in corso.
Siamo consapevoli che del viaggio abbiamo percorso forse una sola minima parte. Molto po-
trà ancora succedere, e sicuramente succederà, di fronte al quale toccherà a noi mostrarci
sempre ricettivi per aggiustare il tiro e continuare a tenere l’onda. Ma di fronte a percorsi
lunghissimi, sappiamo perfettamente quanto sia grande il valore di una tappa. Del resto,
qualsiasi linea è sempre un’unione tra punti. Questo è quello da cui cominciamo.
204
FOCUS ON 2021
Continuità aziendale, ripristino di emergenza, resilienza

informatica: il cloud ibrido come leva strategica
[A cura di Federica Maria Rita Livelli]
Fonte immagine: https://www.focusindustria40.com/
Scenario
Dall’inizio della pandemia si è assistito ad un processo accelerato di digitalizzazione e inno-
vazione ancora in atto. Inoltre, sempre più organizzazioni stanno adottando il cloud ibrido,
caratterizzato dall’utilizzo congiunto di piattaforme di private cloud e public cloud. Secondo
un report pubblicato recentemente da NTT Ltd. - uno dei principali fornitori globali di ser-
vizi tecnologici - le organizzazioni, in termini di trend di soluzioni tecnologiche, tenderanno
ad utilizzare sempre più il cloud ibrido a proprio vantaggio al fine di acquisire la necessaria
agilità, una maggiore sicurezza e resilienza oltre a garantire prestazioni migliori, più rapide
e più informate sulla base dei dati.
Il cloud ibrido: leva strategica

La pandemia ci ha insegnato che dobbiamo essere preparati all’imprevisto in modo proat-
tivo, cercando di anticiparlo, preparandosi a gestirlo e a garantire la resilienza delle orga-
nizzazioni.
In quest’ottica il cloud ibrido può convertirsi in leva strategica dato che è in grado di garanti-
re una maggiore flessibilità e permettere alle organizzazioni di adattare l’architettura IT alle
esigenze specifiche della propria attività, ovvero, evitare di essere limitate da un solo tipo di
soluzione cloud e poter rispondere meglio alle proprie necessità, che potrebbero cambiare
nel tempo.
©
Clusit 2021 205
Il cloud ibrido è destinato ad essere sempre più adottato da aziende di tutti i settori e, se-
condo quanto riportato dalla società americana International Data Corporation (IDC) nel
report dal titolo “Creating a framework for success in the cloud with cloud governance” entro
il 2022 oltre l’84% delle aziende europee farà affidamento ad esso per soddisfare le proprie
esigenze infrastrutturali. Ogni azienda potrà sviluppare una strategia e un’architettura cloud
aziendale in grado di scalare al variare delle esigenze, a tal punto che, secondo una recente
ricerca dell’IBM Institute for Business Value, si prevede che entro il 2023 le organizzazioni
utilizzeranno almeno 10 cloud.
Il cloud ibrido permette alle organizzazioni di trasferire i carichi di lavoro ovunque (i.e. che
si tratti di un cloud pubblico, di un data center on-premise o dell’edge) e alla funzione IT di
acquisire tutta la flessibilità necessaria ed accelerare la necessaria trasformazione digitale
dell’organizzazione.
Inoltre, in termini di privacy e sicurezza, le organizzazioni altamente regolamentate - come
ospedali e fornitori di servizi sanitari - possono utilizzare con successo il cloud ibrido per
conservare informazioni sensibili come i record dei pazienti on premise; mentre, i carichi di
lavoro meno sensibili - quali i processi contabili e finanziari - sono trasferiti al cloud, garan-
tendo prestazioni migliori e risparmi sui costi.
Operatori di cloud ibrido quali IBM, Microsoft, Oracle, AWS ecc…, mettono a disposi-
zione una piattaforma che abilita l’intelligenza artificiale e l’automazione contribuendo a:
• aumentare l’efficienza, la redditività e il valore aziendale,
• ottimizzare i costi e favorire la crescita dei ricavi
• facilitare la “modernizzazione” delle applicazioni aziendali principali nel cloud,
• garantire un’architettura sempre aggiornata e un approccio più collaborativo a livello
di ecosistema alla sicurezza del cloud, alla conformità normativa e alla resilienza infor-
matica.
L’implementazione del cloud ibrido

Un’organizzazione, quando decide di avvalersi del cloud ibrido, deve necessariamente intra-
prendere un percorso di conoscenza delle interconnessioni tra business e sistemi informa-
tivi al fine di: gestire i propri rischi; acquisire un livello significativo di maturità sugli aspetti
di continuità e resilienza; garantire il controllo granulare necessario per conformarsi a leggi
complesse, che possono variare notevolmente tra le giurisdizioni nazionali e regionali. In-
somma, si tratta di attuare l’implementazione ponderata, strategica e dettagliata del cloud
ibrido con il supporto delle discipline di Risk Management, di Business Continuity e di
Cyber Security in un’ottica di garanzia della resilienza dell’organizzazione.
Di fatto, i team IT aziendali - partendo dall’analisi del contesto interno ed esterno in cui
opera l’organizzazione e dallo scenario di attacchi informatici sempre più in aumento - de-
vono attuare un censimento dei prodotti hardware e software in modo da identificarne i
potenziali rischi, misurarne gli impatti e ridurre al minimo la propria superficie di attacco
206
FOCUS ON 2021 - Continuità aziendale, ripristino di emergenza, resilienza informatica:
il cloud ibrido come leva strategica
come parte di una politica di sicurezza organizzativa complessiva.

È doveroso ricordare che, senza misure di sicurezza complete, come un modello zero-trust,
le iniziative di trasformazione digitale e gli sforzi di migrazione al cloud possono anche crea-
re nuovi vettori di attacco e minacciare la continuità aziendale, la reputazione professionale
e la sicurezza dei dipendenti e dell’organizzazione.
Inoltre, è necessario avere una chiara visione della governance e compliance aziendale in
modo tale da essere in grado di soddisfare i requisiti regolamentari e contrattuali del mer-
cato in cui si opera.
La corretta implementazione delle discipline di Business Continuity, Risk Management e

Cyber Security consente, quindi, un approccio olistico/globale e necessario e strategico per
preparare l’implementazione del cloud ibrido, focalizzandosi su:
• Processi aziendali
• Aspetti di compliance a normative e standard
• Mitigazione del rischio operativo
• Analisi dell’impatto sul business
• Requisiti in termini di Risorse
• Soluzioni di resilienza e continuità
• Escalation dell’Incidente/Evento
• Pianificazione e risposta alle emergenze
• Crisis Management & Crisis Communication
• Testing & Awarness
Grazie a queste precauzioni, le organizzazioni, quindi, sono in grado di: affrontare le sfide
chiavi che incontrano nell’adozione del cloud ibrido - in termini di sicurezza, conformità,
fiducia, problemi di prestazioni; messa in atto di una strategia di trasformazione dei criteri
aziendali che scaturisce in una governance migliore e in una maggiore conformità.
I criteri sono automatizzati in modo incrementale e, attraverso funzionalità definite che pre-
suppongono una configurazione ad hoc da parte del provider di servizi cloud, scaturiscono in
un modello di governance del cloud ibrido, i cui i principali vantaggi includono:
• Maggiore valore aziendale - Il cloud, grazie al framework di governance, è allineato

agli obiettivi aziendali e permette alle organizzazioni di sviluppare nuovi modelli di busi-
ness e conseguire risultati in termini di maggiore produttività, costi inferiori, innovazione
digitale più rapida e approfondimenti più intelligenti, garantendo al contempo la con-
tinuità aziendale, la resilienza e la sicurezza. In questo modo si dota l’organizzazione di
una struttura più sinergica e olistica in grado di garantire l’allineamento operativo tra le
diverse aree di business, superando l’approccio per silos.
• Aumento dell’efficienza operativa - Il cloud ibrido, soprattutto quando sono coinvolti

più provider, comporta un’articolata implementazione in termini di gestione del carico
©
Clusit 2021 207
di lavoro, orchestrazione e integrazione che fornisce all’organizzazione di un modello di

distribuzione e gestione delle risorse centralizzato, coerente e agile, evitando così insidie
operative che aumentano complessità, costi e rischi.
• Riduzione del rischio di conformità - L’approccio aziendale alla privacy e alla pro-
tezione dei dati nel cloud è determinato dalla necessità di conformità normativa. La go-
vernance del cloud consente di mantenere la conformità monitorando le configurazioni
cloud rispetto ai requisiti normativi, gestendone le violazioni e applicando regole e con-
trolli. Di fatto, la conformità come “codice/funzionalità” offre un modo rapido ed effica-
ce per convalidare la conformità normativa: grazie alle distribuzioni automatizzate degli
script di test si eliminano i colli di bottiglia di controllo manuali e si garantiscono sia il
feedback sia la risoluzione delle deviazioni di conformità in tempo reale.
• Mitigazione dei rischi per la sicurezza - Il fatto di operare in locale, edge e mul-
ti-cloud amplia, ovviamente, la superficie di attacco. La maggiore esposizione alla sicurez-
za richiede alle aziende di estendere i propri criteri di sicurezza e governance locali all’in-
frastruttura e ai servizi cloud. La governance del cloud fornisce, quindi, la piattaforma per
controllare e monitorare l’osservanza dei criteri e dei controlli di sicurezza, identificare le
lacune e mitigarle prima che diventino minacce.
• Maggiore visibilità digitale e dei dati - È garantita sia l’individuazione dei dati sia
la classificazione dei dati sensibili che risultano strategici per determinare quali risorse
di dati sono disponibili e per stabilire quali criteri e procedure di governance applicare.
Inoltre, è possibile comprendere i profili dei carichi di lavoro che verranno eseguiti nel
cloud, ovvero cosa fanno le applicazioni in termini di: modalità di interazione con gli
utenti, gestione dei dati e della rete, profili di prestazioni e sicurezza.
• Forza lavoro abilitata al cloud - La governance del cloud deve affrontare non solo
la modernizzazione dell’infrastruttura cloud, ma anche il problema di garantire le com-
petenze del personale dell’organizzazione necessarie per la gestione delle funzionalità.
Pertanto, si è in grado di stabilire le lacune in termini di concetti e di esecuzione della
governance del cloud e delle procedure necessarie e, al contempo strutturare i programmi
di formazione necessari in termini di competenze cloud, di acquisizione dei talenti attra-
verso una combinazione di assunzione dei talenti, outsourcing e strumenti di condivisio-
ne delle conoscenze.
208
FOCUS ON 2021 - Continuità aziendale, ripristino di emergenza, resilienza informatica:
il cloud ibrido come leva strategica
Conclusioni
Tradizionalmente, il modo per costruire la resilienza è stato quello di concentrarsi principal-
mente sull’infrastruttura IT e sulla sicurezza.
L’infrastruttura modernizzata sul cloud ibrido consente un approccio a 360 gradi che aiuta
a garantire: la resilienza dell’infrastruttura IT (scalabilità/flessibilità); operazioni aziendali
(soluzioni ad alta disponibilità e ripristino di emergenza); governance (orchestrazione e re-
porting basati su piattaforma); privacy e sicurezza dei dati.
Le organizzazioni, grazie al cloud ibrido, completeranno il processo accelerato di trasfor-

mazione in termini di modalità di esecuzione delle attività quotidiane che comporterà l’a-
dozione di un modello di spazio di lavoro multi-dispositivo - sempre e ovunque – in grado
di garantire maggiore agilità, flessibilità e produttività. Ovvero, un modello operativo cloud
coerente, in grado di controllare e governare ambienti organizzativi sempre più complessi,
e che si fonda necessariamente sui principi di continuità aziendale e gestione dei rischi,
conformità, sicurezza e privacy.
Ricordiamoci che la modernizzazione del cloud non è una destinazione, bensì un viaggio in
divenire. Man mano che si sviluppa l’infrastruttura cloud, anche la governance del cloud e
i piani di risk management, business continuity e cyber security dovranno essere aggiornati
e modificati per garantire la resilienza organizzativa ed operativa secondo un approccio pro-
attivo. Vale anche qui la famosa riflessione di Antoine Lavoisier, secondo la quale: “Nulla si
crea, nulla si distrugge, tutto si trasforma”.
©
Clusit 2021 209
FOCUS ON 2021
Digital transformation: un’opportunità per affrontare

correttamente la sicurezza fin dalle basi
[A cura di Marco D’Elia, Sophos Italia]
La digital transformation riguarda l’integrazione delle tecnologie digitali all’interno di tutte

le attività di un’azienda: produzione, vendite, comunicazione, recruitment ecc. L’obiettivo è
quello di ridurre i costi aumentando produttività ed efficienza. Non c’è settore che non ne
sia interessato: agricoltura, medicina, servizi bancari, turismo, logistica.
Con la pandemia le aziende hanno accelerato le loro strategie di digital transformation, in
particolare con un massiccio ricorso al lavoro da remoto ma anche con la dematerializza-
zione dei sistemi informativi trasferiti nel cloud, con l’esplosione dell’Internet of Things
e con l’accumulo di dati provenienti dagli utenti. Tutti questi molteplici punti di ingresso
agevolano i cyberattaccanti. Per tale motivo, i cyberattacchi collegati alla trasformazione
digitale sono in crescita.
Ora che le aziende iniziano a passare dalla digitalizzazione a progetti che abbracciano la
completa trasformazione digitale dei processi di business, ecco che si apre una rara oppor-
tunità per fare in modo che anche la sicurezza e la privacy abbiano un ruolo fondamentale.
È sufficiente leggere i titoli della cronaca riguardanti furti di dati, ransomware e altri inci-
denti provocati dai criminali informatici per farsi quasi venir voglia di tornare ai vecchi pro-
cessi analogici, anche se buona parte delle vulnerabilità sfruttate da questi attacchi è frutto
di una digitalizzazione affrettata di tutti i dati aziendali senza aver prestato la giusta attenzio-
ne alla sicurezza. Successivamente è stato necessario tornare indietro, provando ad inserire
un livello aggiuntivo di sicurezza. Ovviamente con risultati al quanto insoddisfacenti.
Ovviamente siamo estremamente entusiasti che il mondo vada verso la digital transforma-
tion, ma il successo della digital transformation può essere garantito solamente se gli aspetti
legati alla sicurezza vengono integrati fin dalle prime fasi progettuali e successivamente du-
rante tutto il ciclo di sviluppo. Ciò è noto come “secure by design”, in cui una soluzione vie-
ne progettata in modo da prendere in considerazione eventuali criticità legate alla sicurezza.
Se un’azienda sta considerando o attuando una strategia di digital transformation, è fonda-
mentale sottolineare alcuni elementi che contribuiranno a minimizzare i rischi per i suoi
clienti, i suoi dati e la sua reputazione. I tre pilastri di una moderna strategia di sicurezza
sono prevenzione, rilevamento e risposta.
L’approccio moderno alla prevenzione è leggermente diverso rispetto a quello di qualche

anno fa. La protezione degli endpoint è sempre essenziale, ma ora dovrebbe prevedere ben
più di un semplice componente anti-virus. Le soluzioni più complete comprendono machi-
ne learning, verifiche su cloud in tempo reale e analisi comportamentale.
La prevenzione comprende anche limitare i dati che vengono raccolti e il numero di utenti
©
Clusit 2021 211
che vi possono accedere. I criminali non possono rubare a un’azienda ciò che non possiede.
Questa è una buona pratica, non solo per la conformità GDPR, ma anche perché la sicu-
rezza risulterà più facile assicurandosi che i dati raccolti abbiano una data di scadenza e che
siano solamente quelli effettivamente necessari a fornire beni e servizi.
Oggi il rilevamento non è più un puro processo di riconoscimento degli alert emessi dai tool
di sicurezza e generazione di report che indicano la quantità di minacce bloccate. Si parla
invece di “threat hunting”: professionisti esperti che analizzano le informazioni fornite dai
tool per la sicurezza degli endpoint, dai firewall e da altri sistemi di logging alla ricerca di
anomalie che necessitano ulteriori approfondimenti.
Un alert ricevuto dal tool per la sicurezza degli endpoint non equivale più a un problema
risolto: è invece il punto di avvio di un’analisi per determinare se tale segnale indichi un’at-
tività finalizzata a scavalcare le difese. I threat hunters possono valutare se l’alert sia stato
fatto scattare da un cybercriminale o se possa essere invece tranquillamente ignorato.
Nel 2021 dover rispondere agli attacchi è una procedura standard. Nessuna difesa è im-
penetrabile, e disporre di un piano di risposta agli incidenti (IRP, Incident Response Plan)
e di un team ben addestrato a metterlo in atto è ormai essenziale. Un moderno attacco
ransomware può compromettere un’azienda richiedendo l’attivazione di procedure di emer-
genza.
Per riuscire a contenere, valutare e neutralizzare un attacco, gli incident responders hanno
bisogno di tool capaci di determinare come, quando e dove sia iniziato l’attacco. Gli stru-
menti di XDR (Extended Detection and Response) forniscono una traccia certa dell’acca-
duto che il team può sfruttare per velocizzare il lavoro.
La maggior parte degli attacchi è frutto di attività umana, ed essere in grado di rilevarli e
contrastarli velocemente impedisce spesso il verificarsi di dannosi e costosi risvolti.
Integrando questi elementi fondamentali nella propria strategia di digital transformation,
sarà possibile trovarsi in una stabile posizione per potersi difendere con successo da qualsi-
asi evenienza futura. Combinando l’intelligenza delle macchine con quella umana si ottiene
il meglio di entrambe: l’eliminazione di noiose attività ripetitive da una parte, e la capacità
intellettuale che solo gli esseri umani possono mettere in campo in situazioni critiche.
Le cyberminacce in Italia in un periodo di rapida trasformazione

digitale
Il 2020 sarà probabilmente ricordato per sempre per l’emergenza sanitaria. L’impatto della
pandemia ha toccato ogni aspetto della vita quotidiana, e nel caso di molte aziende italiane
ha determinato cambiamenti permanenti.
Strategie a lungo termine per la digital transformation sono divenute improvvisamente pia-
ni di azione immediati mentre le aziende correvano ad equipaggiarsi per poter permettere
ai dipendenti di lavorare da remoto grazie alla tecnologia e spostare online le attività di
business. C’è stato bisogno di introdurre o scalare velocemente nuove piattaforme digitali.
212
FOCUS ON 2021 - Digital transformation: un’opportunità per affrontare correttamente
la sicurezza fin dalle basi
I perimetri della sicurezza IT sono stati allargati al di fuori dell’ambiente di lavoro fino a
comprendere dagli ambienti home office ai tavoli della cucina di casa dei dipendenti.
I cybercriminali si sono mossi rapidamente per poter sfruttare qualsiasi vulnerabilità o ca-
renza di sicurezza provocate da questo nuovo scenario.
L’onere a carico dei team IT italiani nel 2020

Una nuova ricerca pubblicata da Sophos rivela come le esperienze vissute nel 2020 abbia-
no influito sui team IT di tutto il mondo, Italia compresa. I ricercatori hanno intervistato
200 medie aziende italiane in diversi settori.
Quasi due terzi (63%) dei team IT italiani intervistati hanno riportato un incremento del
carico di lavoro complessivo nel corso del 2020, mentre il 65% ha registrato un aumento del
workload legato alla cybersicurezza.
Questi risultati non sorprendono se si pensa all’infrastruttura digitale e alle apparecchiature

che questi professionisti IT hanno dovuto implementare e supportare durante la pandemia.
Sfortunatamente, come prevedibile, oltre metà (55%) di questi team IT ha subìto anche un
aumento dei cyberattacchi sferrati contro le rispettive aziende.
Tuttavia non ci sono solo cattive notizie, dato che l’80% dei team IT che hanno dovuto
affrontare un aumento dei carichi di lavoro legati alla sicurezza e l’81% di quelli interessati
da un incremento dei cyberattacchi hanno affermato che questi episodi hanno incentivato
lo sviluppo di competenze nel campo della cybersicurezza.
©
Clusit 2021 213
Lo scenario del ransomware in Italia durante il 2020

Secondo la ricerca Sophos, nel 2020 quasi un’azienda italiana su tre (31%) ha subìto un at-
tacco ransomware che ne ha aggirato le difese. Per quanto si tratti di una positiva riduzione
rispetto al 40% di aziende colpite nell’anno precedente, il principale motivo di questo dato
risiede probabilmente in un cambiamento nelle tecniche usate dai cybercriminali.
Per esempio, molti cybercriminali hanno abbandonato gli attacchi generici automatizzati su
larga scala per passare ad attacchi maggiormente complessi e mirati che prevedono un uso
intensivo di risorse, compreso l’intervento umano alla tastiera. L’esperienza dimostra che
le potenzialità dannose di questi attacchi mirati sono superiori, così come i costi necessari
per ripristinare l’operatività in seguito ad essi. Oltretutto i cybercriminali investono tempo e
energie per implementare tali attacchi, e quindi puntano a ottenere riscatti sostanziosi per
ripagarseli.
Informazioni fornite da un piccolo numero di vittime suggeriscono che solo il 14% delle
aziende italiane sia stato disposto a pagare il riscatto richiesto dagli attaccanti, meno della
metà rispetto alla media globale del 32%. E sebbene più della metà delle vittime sia stata in
grado di recuperare i propri dati dai backup, un’azienda su quattro ha perso informazioni in
modo definitivo. L’Italia presenta infatti la più alta percentuale di intervistati che non hanno
pagato riscatti e che non hanno riottenuto i loro dati (24% contro una media globale del
3%). Ciò potrebbe significare che le aziende italiane siano particolarmente poco disposte
a piegarsi alle imposizioni degli attaccanti anche se questo significa perdere i propri dati.
Il sondaggio annuale svolto da Sophos sul tema del ransomware a livello globale analizza gli
effetti di questa minaccia sempre più devastante su aziende da 100-5.000 dipendenti in 30
Paesi del mondo nei 12 mesi precedenti.
214
Nel mondo, poco meno di 300 aziende tra quelle che hanno pagato un riscatto ci hanno
dichiarato l’entità del pagamento. I due riscatti più elevati – 2,63 milioni di euro – sono stati
versati da aziende italiane. Le forti somme richieste alle imprese italiane potrebbero spiega-
re il motivo per cui le vittime di ransomware sono considerevolmente più restie a pagare un
riscatto in Italia rispetto agli altri Paesi.
Il costo medio di ripristino successivo a un attacco ransomware in Italia, comprensivo di
voci come fermo operativo, perdita di business ecc., è stato pari a 570.000 euro. Anche
se questa cifra è notevolmente inferiore rispetto al costo medio globale di 1,56 milioni di
euro, si tratta comunque di un deciso aumento rispetto ai 360.000 euro calcolati per l’anno
precedente.
Abbiamo indagato la ragione per la quale le aziende italiane che non sono state ancora col-
pite dal ransomware si aspettano di esserlo in futuro. Il motivo principale (espresso dal 58%
degli intervistati) è semplicemente il fatto che il ransomware è oggi talmente diffuso che è
ormai inevitabile esserne colpiti.
Queste aziende potrebbero tuttavia non essere pronte a gestire le conseguenze una volta
che si verificasse l’eventuale attacco: la ricerca ha scoperto che due aziende italiane su dieci
non possiedono infatti un recovery plan in caso di incidente provocato da malware.
Addirittura, al 14% di esse manca del tutto un piano di business continuity/disaster reco-
very. Si tratta della percentuale più elevata in tutti i 30 Paesi esaminati, e può riflettere un
alto livello di fiducia da parte delle aziende italiane nell’affrontare i cyberattacchi in gene-
rale, ransomware compreso. Solo il 27% ritiene che i cyberattacchi siano divenuti troppo
sofisticati perché il proprio team IT interno possa affrontarli da solo, rispetto a una media
globale del 54%.
I team italiani specializzati in sicurezza IT si stanno evolvendo

I team IT italiani si stiano preparando al futuro e allo scenario di cyberminacce emergente
sviluppando ulteriormente le proprie competenze in materia di cybersicurezza.
©
Clusit 2021 215
Poco meno di due terzi (63%) degli intervistati si aspetta di allargare le dimensioni del pro-
prio team IT interno nel prossimo biennio, mentre il 43% prevede di aumentare il ricorso
a competenze specializzate in outsourcing. Queste percentuali cresceranno entro il 2026
toccando rispettivamente il 74% e il 56%.
L’ampliamento e il potenziamento delle competenze o delle specializzazioni di questi team
di professionisti della sicurezza costituirà una solida base per poter affrontare cyberminacce
sempre più complesse dirette contro una crescente quantità di aziende, con maggior fre-
quenza e in una moltitudine di modalità differenti.
Fortunatamente ci sono molti strumenti di cui le aziende si possono avvalere per restare al
sicuro e proteggere i propri dipendenti, clienti, partner, operazioni e informazioni dall’im-
patto di un cyberattacco.
Conclusione
Best practice
Alla luce degli elementi emersi sul tema delle cyberminacce e del ransomware in Italia nel
2021, gli esperti raccomandano di seguire queste best practice:
1. Valutare la possibilità di essere colpito. Cyberattacchi e ransomware in partico-

lare restano fortemente diffusi. Nessun settore, Paese o azienda è immune da questo
rischio. È meglio essere preparati e non venire colpiti che viceversa.
2. Fare i backup. I backup sono il primo metodo usato dalle aziende per recuperare
i loro dati dopo essere state colpite da ransomware o altri cyberattacchi. Raramente
si riesce a tornare in possesso dei dati pur avendo pagato il riscatto, per cui i backup
sono fondamentali.
216
3. Implementare una protezione a strati. Gli attacchi a puro scopo di estorsione

sono raddoppiati passando dal 3% di tutti gli incidenti del 2019 al 7% del 2020. Di
fronte a questo considerevole incremento diviene più importante che mai riuscire
innanzitutto a tenere gli avversari al di fuori del proprio perimetro. Diviene cruciale
utilizzare una protezione a strati per bloccare gli attaccanti nel maggior numero di
punti possibili.
4. Combinare gli esperti con la tecnologia anti-ransomware. Un elemento es-
senziale per poter bloccare le cyberminacce come il ransomware è la presenza di
difese approfondite che combinano tecnologia anti-ransomware dedicata con attività
di threat hunting condotte da personale esperto. La tecnologia fornisce l’automa-
zione e i tool che occorrono, mentre gli esperti riescono a identificare le tattiche, le
tecniche e le procedure che segnalano il tentativo di accesso nel proprio perimetro
da parte di un abile attaccante. Se non si possiede le necessarie competenze all’in-
terno dell’azienda è possibile richiedere il supporto di una società specializzata in
cybersicurezza: i Security Operations Centre (SOC) sono oggi una valida opzione
per aziende di qualsiasi dimensione.
5. Non pagare i cybercriminali. Sappiamo che è cosa facile a dirsi ma assai più diffi-
cile a farsi quando l’azienda è totalmente ferma a causa di un attacco ransomware. Al
di là di qualsiasi considerazione etica, versare un riscatto è un metodo inefficace per
riottenere i dati. Se si decide di pagare, bisogna assicurarsi di includere nell’analisi
costi/benefici anche la possibilità di veder ripristinati in media solo due terzi dei file.
6. Preparare un recovery plan dal malware. Il modo migliore per evitare che un cy-
berattacco si trasformi in una violazione completa è quello di prepararsi per tempo.
Le aziende che cadono vittima di un attacco si rendono spesso conto che avrebbero
potuto evitare parecchi costi, fastidi e problemi se solo avessero avuto un piano di
risposta agli incidenti.
Per approfondire
La Sophos Incident Response Guide aiuta le aziende a definire il framework di un piano
per la risposta agli incidenti di cybersicurezza e si sofferma sui 10 elementi principali che
un programma del genere dovrebbe includere.
(https://secure2.sophos.com/it-it/security-news-trends/whitepapers/gated-wp/incident-
response-guide.aspx)
Per chi deve approntare le proprie difese può essere utile consultare anche Four Key Tips
from Incident Response Experts, che evidenzia le principali lezioni che chiunque dovreb-
be tener presente quando si tratta di rispondere agli incidenti di cybersicurezza.
(https://secure2.sophos.com/it-it/security-news-trends/whitepapers/four-key-tips-from-
incident-response-experts.aspx)
©
Clusit 2021 217
GLOSSARIO
Compromissione di un account ottenuta ad esempio mediante

Account hijacking phising.
Acquisizione illecita di un account al fine di impersonificare la

Account take-over vittima (ad esempio di effettuare transazioni finanziarie sui suoi
conti).
Progetto europeo la cui finalità è offrire soluzioni e creare cono-

ACDC scenza per aiutare le organizzazioni in tutta Europa a combattere
(Advanced Cyber le botnet.
Defence Center) (www.acdc-project.eu/).
Tipo di malware che visualizza pubblicità solitamente senza il

Adware consenso dell’utente. Può includere funzionalità spyware.
AISP Prestatori di servizi di informazione sui conti di pagamento che

(Account forniscono ai clienti che detengono uno o più conti di pagamen-
Information to online presso uno o più Istituti di Credito, servizi informativi
Service Provider) relativi a saldi o movimenti dei conti aperti.
Criptovalute di seconda generazione.

Spesso implementano funzioni o caratteristiche aggiuntive a
quelle originariamente ipotizzate dai creatori di Bitcoin.
Tra esse vi sono un maggior livello di anonimato o la non trac-
Altcoins ciabilità delle transazioni (Monero, Zcash, DeepOnion), la
(Alternative coins) possibilità di generare e gestire smart contract o creare token
di sviluppatori terzi ospitati sulla medesima blockchain (Ethe-
reum, NEO, Stratis), l’aumento della velocità dei trasferimenti
e della scalabilità del sistema (Ripple, Stellar Lumens), nonchè
la predisposizione per l’utilizzo tramite dispositivi dell’Internet of
Things (IOTA).
Servizi on demand per l’analisi di dati utilizzabili anche nell’am-

Analytics-As-A- bito della sicurezza, ad esempio, per passare al setaccio i dati
Service della rete aziendale e individuare eventi anomali ed eventuali
attacchi.
©
Clusit 2021 219
Schemi di attacco articolati, mirati a specifiche entità o organiz-

zazioni contraddistinti da:
• un accurato studio del bersaglio preventivo che spesso conti-
Apt nua anche durante l’attacco
(Advanced • l’impiego di tool e malware sofisticati
Persistent Treath) • la lunga durata o la persistenza nel tempo cercando di rima-
nere inosservati per continuare a perpetrare quanto più possibile
il proprio effetto.
Arbitrary File Vulnerabilità che consente ad un attaccante di accedere a file

Read tramite richieste Web remote.
Tipo di attacco nel quale viene compromessa una risorsa nel

Attacchi Pivot public cloud per ottenere informazioni che possono poi essere
back usate per attaccare l’ambiente on premise.
Soluzione tecnica che consente l’accesso ad un sistema superan-

Backdoor do i normali meccanismi di protezione.
Tipi di attacco phishing mirati verso figure aziendali al fine di

BEC fraud convincere le vittime a trasferire somme di denaro o rilevare dati
(Business e-mail personali.
compromise) (Vedi anche CEO fraud)
Tecnica di valutazione delle conseguenze sul business di un’or-

BIA ganizzazione (economiche, reputazionali, legali…) di interruzio-
(Business Impact ni derivanti da vari scenari avversi (indisponibilità del sistema
Analysis) informativo o parte di esso, indisponibilità del personale, indi-
sponibilità dei locali…).
BCP Documenti che riportano le soluzioni di preparazione e recovery

(Business messe in atto dalle aziende.
Continuity Plan)
Tecnica utilizzata nell’ambito dell’e-voting.

Con la firma elettronica cieca (blind signature) la preferenza
Blocj espressa dall’elettore viene cifrata. Successivamente viene appo-
sta la firma elettronica da un ufficiale elettorale, che autentica il
voto e infine si ha il deposito nell’urna.
220
GLOSSARIO
Tecnologia che consente la registrazione di transazioni, in uno

scenario trustless, fra gli attori della stessa blockchain mediante
Blockchain l’utilizzo di un registro digitale immodificabile presente su vari
nodi della rete, costituito da blocchi (block) fra loro concatenati
(chain).
Strumenti a pagamento che consentono di scatenare attacchi

Booter-stresser DDOS.
Insieme di dispositivi (compromessi da malware) connessi alla

Botnet rete utilizzati per effettuare, a loro insaputa, un attacco ad esem-
pio di tipo DDOS.
Evento che ha luogo quando viene superato il limite di archi-

Buffer overflow viazione predefinito di un’area di memorizzazione temporanea.
Soluzioni di natura tecnica ed organizzativa predisposte per ga-

Business rantire la continuità dell’erogazione di un servizio (eventualmen-
continuity te con uno SLA ridotto).
BYOD Politica che consente l’uso di dispositivi personali anche per fi-
(Bring You Own nalità aziendali.
Device)
Software che viene immesso in dispositivi elettronici portatili al

Captatore fine di intercettare comunicazioni o conversazioni tra presenti, il
informatico cui uso è specificatamente regolamentato dal Codice Penale, nel
corso di indagini su alcuni specifici crimini.
Scambio e compravendita di informazioni riguardanti carte di

credito, debito o account bancari, che vengono poi utilizzate per
Carding eseguire truffe di carattere finanziario acquistando beni o trasfe-
rendo fondi ai danni dei legittimi proprietari.
Tipi di attacco phishing mirati verso figure aziendali ad altissimo

CEO Fraud profilo, generalmente amministratori delegati, presidenti dell’a-
zienda, direttori finanziari, etc.
©
Clusit 2021 221
Struttura destinata a rispondere agli incidenti informatici e alla

rilevazione e contrasto alle minacce.
Fra i principali obiettivi di un CERT (vedi CERT Nazionale):
fornire informazioni tempestive su potenziali minacce informati-
CERT che che possano recare danno a imprese e cittadini;
(Computer incrementare la consapevolezza e la cultura della sicurezza;
Emergency cooperare con istituzioni analoghe, nazionali ed internazionali, e
Response Team) con altri attori pubblici e privati coinvolti nella sicurezza infor-
matica promuovendo la loro interazione;
facilitare la risposta ad incidenti informatici su larga scala;
fornire supporto nel processo di soluzione di crisi cibernetica.
Cifratura “at rest” Cifratura dei dati nello storage.

o “a riposo”

Cifratura Con questo sistema di cifratura è possibile sommare due numeri
omomorfa cifrati o compiere altre operazioni algebriche senza decifrarli.
CISP Prestatori di servizi di pagamento emittenti strumenti di paga-

(Card-based mento basati su carta, che potranno emettere carte di debito a
Payment valere su conti di pagamento detenuti dai clienti presso Istituti
Instrument Issuing di Credito diversi.
Service Provider)
Tipo di attacco nel quale l’attaccante ottiene un primo punto

d’ingresso nell’infrastruttura cloud attraverso la compromissione
e il controllo di alcune machine virtuali. L’attaccante utilizza poi
Cloud questi sistemi per attaccare, compromettere e controllare miglia-
weaponization ia di altre macchine, incluse altre appartenenti allo stesso service
provider cloud dell’attacco iniziale, e altre appartenenti ad altri
service provider pubblici.
CNOs Tipologia di Information warfare finalizzato all’attacco e distruzio-

(Computer ni delle informazioni presenti sui sistemi informativi avversari,
Network alla distruzione delle reti e dei sistemi stessi e alla difesa delle
Operations) proprie.
CNP Indica un pagamento effettuato senza la presenza fisica di una

(Card-Not-Present) carta di pagamento, ad esempio su Internet.
222
GLOSSARIO
Cognitive Applicazione all’ambito della sicurezza delle soluzioni di Cogni-

Security tive Computing.
Tecnica che condiziona l’accesso alla valutazione dinamica del

rischio della singola transazione, modulando eventuali azioni
aggiuntive di verifica. Ad esempio le soluzioni di autenticazio-
Context-based ne e autorizzazione, sia nel caso di login che di disposizione di
access operazioni, non si limitano più ad autorizzare o bloccare un’ope-
razione, ma offrono una gamma intermedia di possibilità, come
ad esempio autorizzare un’operazione, ma con dei limiti, oppure
richiedere verifiche aggiuntive.
Nella dottrina militare identifica un piano che descrive le strate-

gie e le azioni operative scelte per portare a termine una determi-
CoA nata missione. Nell’ambito della Cyber Intelligence rappresenta
(Courses of Action) le attività poste in essere rispettivamente dagli attaccanti o dai
difensori per la conduzione o il contrasto delle azioni funzionali
ad un attacco cyber.
I centri di comando e controllo (C&C) sono quegli host utilizzati

per l’invio dei comandi alle macchine infette (bot) dal malware
C&C utilizzato per la costruzione della botnet.
(Command Tali host fungono da ponte nelle comunicazioni tra gli host in-
&Control) fetti e chi gestisce la botnet, al fine di rendere più difficile la
localizzazione di questi ultimi.
Credential Attacco nel quale vengono utilizzate coppie di user id/password

Stuffing raccolte in precedenza in modo fraudolento.
Token digitale che costituisce uno strumento di pagamento.

È possibile includere nei messaggi di pagamento ulteriori infor-
Cryptovaluta mazioni cosichè i token possono rappresentare digitalmente an-
che altri asset materiali o immateriali.
©
Clusit 2021 223
Piattaforma tecnologiche appositamente creata in ambito IRU a

supporto del monitoraggio e delle indagini nell’ambito di terrori-
CTW smo in Internet, il cui ruolo principale è di anticipare e prevenire
(Check-the-Web) l’abuso terroristico di strumenti online, nonché di svolgere un
ruolo consultivo proattivo a tale riguardo nei confronti degli Stati
membri dell’UE e del settore privato.
Sistema di valutazione delle vulnerabilità che fornisce un modo

per acquisire le principali caratteristiche di una vulnerabilità e
per produrre un punteggio numerico che rifletta la sua gravità,
CVSS versione 3 nonché una rappresentazione testuale di tale punteggio. Il pun-
(Common teggio numerico può quindi essere tradotto in una rappresenta-
Vulnerability zione qualitativa (come bassa, media, alta e critica) per aiutare le
Scoring System) organizzazioni a valutare e prioritizzare in modo adeguato i loro
processi di gestione delle vulnerabilità.
(https://www.first.org/cvss/specification-document)
Nell’ambito di un CERT indica a chi è rivolto il servizio (ad

Constituency esempio Pubblica Amministrazione Centrale, Regioni e Città
metropolitane).
Metodologia per l’identificazione, la prioritizzazione e la rappre-

sentazione sinottica delle azioni da intraprendere, in caso di pos-
Course of action sibili intrusioni.
matrix È composta da:
due azioni passive: Discover e Detect
cinque attive - Deny, Disrupt, Degrade, Deceive, Destroy).
Processo che sfrutta illegalmente le risorse informatiche di una

vittima per generare criptovaluta. In sostanza gli aggressori sot-
traggono potenza di calcolo installando un’applicazione di mi-
ning di criptovaluta sul sistema della vittima, che sia un PC o
Cryptojacking uno smartphone. La generazione di valuta virtuale, nota anche
come criptovaluta, è molto dispendiosa in termini di potenza di
elaborazione, motivo per cui gli aggressori devono infettare un
vasto numero di vittime e utilizzarne la potenza di calcolo per
generare nuove unità monetarie virtuali.
224
GLOSSARIO
CSIRT
(Computer Struttura sostanzialmente simile ad un CERT.
Security Incident
Response Team)
Disciplina che si occupa di raccogliere e analizzare dati etero-

genei - provenienti da diverse sorgenti informative interne ed
esterne -per estrarre informazioni utili a conoscere le caratteri-
CTI stiche dell’attore della minaccia, in modo da poter attribuire un
(Cyber Threat profilo di rischio specifico per i propri asset e sviluppare azioni
Intelligence) di contrasto efficaci.
In particolare, le attività di CTI si esplicano attraverso un pro-
cesso di raccolta, classificazione, integrazione e analisi di dati
grezzi relativi a minacce che operano nel cyberspazio.
Attività volte a raccogliere e rielaborare informazioni al fine pre-

Cyber intelligence vedere possibili minacce (non esclusivamente di natura informa-
tica) agli asset oggetto di tutela.
Attività volta ad appropriarsi di nomi di dominio di terzi, in parti-

Cybersquatting colare di marchi commerciali di rilievo, al fine di trarne profitto.
Attività criminali effettuate mediante l’uso di strumenti infor-

Cyber crime matici.
Attività di spionaggio effettuata mediante l’uso di tecniche infor-

Cyber espionage matiche illecite.
La cyber kill chain è un modello definito dagli analisti di Lockhe-

ed Martin come supporto decisionale rispetto alla rilevazione e
risposta alle minacce.
Cyber Kill Chain Esso include le seguenti fasi: reconnaissance, weaponization,
delivery, exploitation, installation and persistence, command
and control (C2), actions.
Capacità di un’organizzazione di resistere preventivamente o ad

Cyber resilience un attacco e di ripristinare la normale operatività successiva-
mente allo stesso.
©
Clusit 2021 225
Gruppo di attività e competenze multidisciplinari, complesse

e sofisticate, molte delle quali non informatiche, che sono og-
gettivamente di difficile integrazione con le prassi esistenti di
gestione dell’ICT e di allocazione dei budget relativi, poiché la
loro implementazione richiede di superare paradigmi tecnologici
e silos organizzativi costruiti negli anni a partire da esigenze di
Cyber security compliance e da metodi e strumenti propri della sicurezza infor-
matica “tradizionale”.
lo scopo complessivo di questo insieme di discipline è il pro-
teggere tutti quegli asset materiali ed immateriali che possono
essere aggrediti tramite il “cyberspazio” ovvero che dipendono da
esso, garantendo allo stesso tempo la governance, l’assurance e
la business continuity di tutta l’infrastruttura digitale a supporto.
“Incoraggiamo tutti gli Stati a impegnarsi in comportamenti

rispettosi delle leggi e delle norme e che concorrano al raffor-
zamento della fiducia nel rispettivo uso delle TIC. Approcci
collaborativi contribuirebbero anche a lottare contro l’uso del
Cyber Diplomacy cyberspazio ad opera di attori non-Stato, a scopo terroristico e
criminale”.
(Dichiarazione del G7 sul comportamento responsabile degli stati
nel cyberspazio) www.esteri.it/mae/resource/doc/2017/04/declara-
tion_on_cyberspace_ita.doc
Cyber-reasoning Sistemi sviluppati per individuare automaticamente le vulnerabi-

systems lità delle reti più complesse implementando algoritmi cognitivi.
Malware (o anche hardware) progettato o utilizzato per causare

Cyber-weapon danni attraverso il dominio cyber.
(NATO Cooperative Cyber Defence Centre of Excellence).
Disciplina che trae origine dalla declinazione classica delle atti-

CYBINT vità di intelligence con riferimento alle peculiarità del dominio di
(Cyber ricerca informativa in ambito cyber. L’attività CYBINT si evolve
Intelligence) includendo attività di analisi strategica e analisi di contesto su
trend di eventi, scenari geopolitici e previsionali.
Malware che ha come finalità criptare i file presenti nel dispositi-

Cryptolocker vo infetto al fine di richiedere un riscatto alla vittima per renderli
nuovamente intellegibili.
226
GLOSSARIO
CVV2
(Card Verification Codice di sicurezza utilizzato sulle carte di pagamento.
Value 2)
Dark web Parte oscura del World Wide Web, sottoinsieme del deep web,
accessibile mediante l’uso di apposite applicazioni software.
Data Leakage Trasferimento non autorizzato di informazioni riservate.
La violazione di sicurezza che comporta accidentalmente o in

modo illecito la distruzione, la perdita, la modifica, la divulgazio-
ne non autorizzata o l’accesso ai dati personali trasmessi, conser-
vati o comunque trattati.
(Art. 4.12 GDPR)
Alcuni possibili esempi:

l’accesso o l’acquisizione dei dati da parte di terzi non autorizzati;
Data breach il furto o la perdita di dispositivi informatici contenenti dati per-
sonali;
la deliberata alterazione di dati personali;
l’impossibilità di accedere ai dati per cause accidentali o per at-
tacchi esterni, virus, malware, ecc.;
la perdita o la distruzione di dati personali a causa di incidenti,
eventi avversi, incendi o altre calamità;
la divulgazione non autorizzata dei dati personali.
(Garante per la protezione dei dati personali)
Deep Fake Algoritmi di deep learning in grado di creare foto o video falsi.
L’insieme dei contenuti presenti sul web e non indicizzati dai

Deep Web comuni motori di ricerca (Google, Bing…).
Manipolazione del contenuto di una pagina web (tipicamente la

Defacement home page) a scopi dimostrativi.
DES
(Data Encryption Algoritmo per la cifratura dei dati a chiave simmetrica.
Standard)
©
Clusit 2021 227
Framework strutturato per l’analisi tecnica di possibili intrusioni.

Diamond Model (Adversary, Infrastructure, Victim, Capability).
DNS Indica sia l’insieme gerarchico di dispositivi, sia il protocollo,

(Domain Name utilizzati per associare un indirizzo IP ad un nome di dominio
System) tramite un database distribuito.
DNS Open Sistemi vulnerabili utilizzati come strumento per perpetrare at-
Resolver tacchi informatici di tipo DDOS amplificati.
DNSSEC
(Domain Name Insieme di specifiche per garantire alcuni aspetti di sicurezza
System Security delle informazioni fornite dai DNS.
Extensions)
Attacchi volti a rendere inaccessibili alcuni tipi di servizi.

Possono essere divisi in due tipologie:
• applicativi, tesi a generare un numero di richieste maggiore
o uguale al numero di richieste massimo a cui un server può
rispondere (ad esempio numero di richieste web HTTP/HTTPS
Dos concorrenti);
(Denial of Service) • volumetrici, tesi a generare un volume di traffico maggiore o
uguale alla banda disponibile in modo da saturarne le risorse.
Se vengono utilizzati più dispositivi per l’attacco coordinati da
un centro di C&C si parla di DDOS (Destribuited Denial of
Service).
DDoS Attacchi DOS distribuiti, cioè basati sull’uso di una rete di ap-
(Distributed parati, costituenti in una botnet dai quali parte l’attacco verso
Denial of Service) l’obiettivo.
DDoS-for-hire Letteralmente servizio DDoS da noleggiare.
DGA Algoritmo utilizzato da alcuni malware per la generazione di mi-

(Domain gliaia di nomi di dominio alcuni dei quali sono utilizzati dai loro
generation server C&C.
algorithms)
228
GLOSSARIO
In una blockchain la capacità di rendere non riproducibili infor-

Digital Scarcity mazioni digitali come file o pagamenti.
Tipo di attacco nel quale l’attaccante inserisce corrispondenze

Indirizzo-IP alterate all’interno della cache del meccanismo di
risoluzione degli indirizzi IP. Come risultato la cache userà l’indi-
rizzo IP alterato in tutte le successive transazioni. L’indirizzo che
DNS cache comparirà nella barra URL di un browser sarà quello corretto e
poisoning desiderato, ma il corrispondente indirizzo IP utilizzato sarà quel-
lo alterato e tutto il traffico di rete sarà quindi reindirizzato verso
il sito replica controllato dai cyber criminali e nel quale si simu-
lano log in per tracciare tutti i fattori di autenticazione inseriti.
Attacchi ransomware che, oltre a cifrare i file, ne fanno anche

una copia di “sicurezza” con il loro trasferimento sui computer
Double extortion dei cyber criminali minacciando di procedere alla loro diffusione
pubblica e/o metterli all’asta nel dark web per la vendita al mi-
glior offerente.
Downloader Software deputati a scaricare ulteriori componenti malevoli

dopo l’infezione iniziale.
Valutazione d’impatto sulla protezione dei dati.

Una valutazione d’impatto sulla protezione dei dati è un proces-
so inteso a descrivere il trattamento, valutarne la necessità e la
proporzionalità, nonché a contribuire a gestire i rischi per i diritti
DPIA e le libertà delle persone fisiche derivanti dal trattamento di dati
(Data Protection personali, valutando detti rischi e determinando le misure per
Impact affrontarli.
Assessment) (Linee guida in materia di valutazione d’impatto sulla protezio-
ne dei dati e determinazione della possibilità che il trattamen-
to «possa presentare un rischio elevato» ai fini del regolamento
(UE) 2016/679)
©
Clusit 2021 229
Il fenomeno dei drive-by exploit kit è particolarmente insidioso

e si realizza inducendo l’utente a navigare su pagine web che
nascondono attacchi, appunto gli exploit kit, per versioni vul-
Drive-by exploit nerabili di Java o dei plug-in del browser. Questi attacchi sono
kit in grado di sfruttare macchine utente vulnerabili, impiantandovi
malware, con la semplice navigazione sulle pagine malevole an-
che in assenza di interazione dell’utente con la pagina.
Sfruttando lo spoofing dell’indirizzo IP di una vittima, un utente

malintenzionato può inviare piccole richieste ad un host vulne-
DRdos rabile inducendolo ad indirizzare le risposte alla vittima dell’at-
(Destribuited tacco.
Reflection Denial Questa tipologia di DDOS permette al malintenzionato di am-
of Service) plificare la potenza del suo attacco anche di 600 volte, come
dimostrato nel caso del protocollo NTP.
Dropper Codice che installa il malware sul computer della vittima.
I prodotti a duplice uso sono beni e tecnologie che possono avere

un impiego sia civile che militare, includendo prodotti che pos-
sono in qualche modo servire nella fabbricazione di armi nucle-
Dual use ari o di altri congegni esplosivi nucleari.
(da Regolamento (CE) n. 428/2009 - regime comunitario di con-
trollo delle esportazioni, del trasferimento, dell’intermediazione
e del transito di prodotti a duplice uso)
Nell’ambito VOIP è un attacco del tutto simile al classico man-

Eavesdropping in-the-middle. L’attaccante si inserisce in una comunicazione tra
due utenti con lo scopo di spiare, registrare e rubare informazioni
EDR Dispositivi la cui finalità è quella di mantenere un costante mo-

(Endpoint nitoraggio di eventi sospetti al fine di garantire una reazione pre-
Detection and ventiva e continua alle minacce.
Response)
230
GLOSSARIO
REGOLAMENTO (UE) N. 910/2014 DEL PARLAMENTO

EUROPEO E DEL CONSIGLIO del 23 luglio 2014 in mate-
ria di identificazione elettronica e servizi fiduciari per le transa-
zioni elettroniche nel mercato interno e che abroga la direttiva
eIDAS 1999/93/CE finalizzato a garantire il buon funzionamento del
mercato interno perseguendo al contempo un adeguato livello
di sicurezza dei mezzi di identificazione elettronica e dei servizi
fiduciari.
Nell’ambito delle applicazioni di IA attacco che consiste nel

confondere la classificazione del dato in ingresso, da parte di un
Evasion algoritmo precedentemente addestrato, manipolandone il con-
tenuto.
Con l’espressione “sistema di e-voting” ci si riferisce al momento

in cui una tecnologia elettronica è impiegata in una o più fasi di
E-voting un processo elettorale, scrutinio compreso, senza che sia neces-
sariamente sfruttata la rete Internet.
Codice con cui è possibile sfruttare una vulnerabilità di un si-

stema.
Exploit Nel database Common Vulnerabilities and Exposures (cve.mitre.
org) sono presenti sia le vulnerabilità note, sia i relativi exploit.
Applicazioni utilizzabili anche da attaccanti non esperti, che

consentono di sfruttare in forma automatizzata le vulnerabilità
Exploit kit di un dispositivo (di norma browser e applicazioni richiamate da
un browser).
Notizie destituite di fondamento relative a fatti od argomenti di

pubblico interesse, elaborate al solo fine di condizionare l’opi-
Fake news nione pubblica, orientandone tendenziosamente il pensiero e le
scelte.
©
Clusit 2021 231
Tecnica che permette di nascondere i DNS usati per la risolu-

zione dei domini malevoli dietro ad una rete di macchine com-
Fast flux promesse in continua mutazione e perciò difficili da mappare e
spegnere.
Meccanismo di autenticazione avanzata che standardizza l’uso

FIDO2 dei dispositivi di autenticazione per l’accesso ai servizi online, sia
in ambiente mobile che desktop.
Fix Codice realizzato per risolvere errori o vulnerabilità nei software.
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EU-

ROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla
protezione delle persone fisiche con riguardo al trattamento dei
GDPR dati personali, nonché alla libera circolazione di tali dati e che
abroga la direttiva 95/46/CE (regolamento generale sulla prote-
zione dei dati).
GRE Protocollo di tunneling che incapsula vari protocolli di livello

(Generic Routing rete all’interno collegamenti virtuali point-to-point.
Encapsulation)
Software orientati a rubare informazioni all’utente compromes-

Info Stealer so.
Azioni, compresi attacchi informatici, effettuate per finalità po-

Hacktivism litiche o sociali.
Hit & Run Attacchi di breve durata, ma frequenti nell’arco di poche ore.
(o Pulse wave)
Componente fondamentale dei sistemi IT industriali, che per-

HMI mette all’operatore umano di interagire con gli ambienti di con-
(Human Machine trollo, supervisione e acquisizione dati (supervisory control and
Interface Systems) data
acquisition - SCADA).
232
GLOSSARIO
Letteralmente barattolo del miele.

Indica un asset esca isolato verso cui indirizzare e raccogliere
Honeypot informazioni su eventuali attacchi, al fine di tutelare il reale si-
stema informativo.
Attacco che sfrutta un difetto di progettazione di molti server

web. L’attaccante inizia una connessione http del tutto leci-
ta verso un server web andando ad abusare del campo ‘Con-
tent-Lenght’. Visto che la maggior parte dei server web accetta
HTTP POST DoS dimensioni del payload del messaggio anche di 2Gb, l’attaccante
Attack comincia ad inviare il corpo del messaggio ad una ridottissima
velocità (anche 1byte ogni 110 secondi). Ciò comporta che il
server web resta in ascolto per molto tempo, lasciando aperti i
canali http (del tutto leciti) andando quindi a saturare tutte le
sue risorse visto che le connessioni restano aperte.
Disciplina intelligence consistente nella ricerca ed elaborazione

di notizie di interesse per la sicurezza nazionale provenienti da
HUMINT persone fisiche. Le sue specificità sono legate alla tipicità della
(HUMan fonte e si sostanziano soprattutto in particolari modalità di ge-
INTelligence) stione.
(Tratto da: Glossario intelligence – Il linguaggio degli Organismi
informativi - www.sicurezzanazionale.gov.it)
Kill Switch Termine generico per indicare un dispositivo che serve a blocca-
re in modo forzato un’attività.
ICMP Protocolli che consentono ai dispositivi di una rete di comunica-

(Internet Control re informazioni di controllo e messaggi.
Message Protocol)
IDS Dispositivo in grado di identificare modelli riconducibili a possi-

(Intrusion bili attacchi alla rete o ai sistemi.
detection system)
IMEI
(International Codice univoco che identifica un terminale mobile
Mobile Equipment
Identity)
©
Clusit 2021 233
IMSI
(International Codice univoco internazionale che combina SIM, nazione ed
Mobile Subscriber operatore telefonico.
Identity)
Gestione di un incidente di sicurezza informatica.

ENISA classifica le fasi di tale gestione in Incident report, Re-
Incident handling gistration, Triage, Incident resolution, Incident closure, Post-a-
nalysis.
Insieme di tecniche di raccolta, elaborazione, gestione, diffusio-

Information ne delle informazioni, per ottenere un vantaggio in campo mili-
warfare tare, politico, economico…
Malware finalizzato a sottrarre informazioni, quali ad esempio

Infostealer credenziali, dal dispositivo infetto.
Nell’ambito VOIP intercettazione di comunicazioni lecite tra

Interception and utenti ed alterazione delle stesse con lo scopo di arrecare dis-
Modification servizi come l’abbassamento della qualità delle conversazioni e/o
l’interruzione completa e continua del servizio.
Spyware (definizione della Commissione Europea nell’ambito

della regolamentazione dell’esportazione di prodotti dual use).
Un “intrusion software”, ad esempio, può essere utilizzato da una
Intrusion software società di security per testare la sicurezza di un sistema informa-
tico e al contempo essere usato da uno Stato non democratico
per controllare e intercettare le conversazioni dei propri cittadi-
ni.
IoA Informazioni funzionali all’individuazione di un potenziale at-

(Indicatori di tacco anche prima che ci sia contatto diretto tra attaccante e
attacco) attaccato.
IoC Qualsiasi informazione che possa essere utilizzata per cercare o

(Indicatori di identificare sistemi potenzialmente compromessi (indirizzo IP/
compromissione) nome dominio, URL, file hash, indirizzo email, X-Mailer…)
(Common Framework for Artifact Analysis Activities – ENISA)
234
GLOSSARIO
Tipo di attacco DDOS (Destribuited Denial of Service) che

IP Fragmentation sfrutta il principio di frammentazione del protocollo IP.
Specifica di una interfaccia di basso livello utilizzata da diver-

si costruttori che consente ad un amministratore di sistema di
IPMI gestire server a livello hardware. Attraverso la BMC (Baseboard
(Intelligent Management Controller) consente, tra le altre cose, l’accesso al
Platform BIOS, ai dischi ed ai dispositivi hardware in generale e, di fatto,
Management il controllo del server.
Interface) IPMI contiene una serie di vulnerabilità ampiamente descritte
e conosciute e, in definitiva, non dovrebbe essere aperto all’e-
sterno.
IPS Dispositivo in grado non solo di identificare possibili attacchi,

(Intrusion ma anche di prevenirli.
prevention system)
IRU Unità all’interno di Europol preposta a rilevare ed investigare i

(Internet Referral contenuti malevoli su internet e social media.
Unit di Europol)
Tecnica di attacco nella quale nell’istante in cui l’utente inseri-

sce le credenziali, o più in generale le informazioni all’interno del
Instant phishing sito clone, il cyber criminale apre una sessione verso il vero sito
della banca e utilizza, quasi in real time, queste informazioni per
effettuare azioni dispositive.
Malware (o dispositivi hardware) in grado di registrare quello che

Keylogger la vittima digita sulla tastiera (o altrimenti inserisce), comuni-
cando tali informazioni all’attaccante.
Modello di erogazione del codice malevole dove un team di

MAAS esperti
(Malware as “produce” malware, sviluppa exploits e si occupa della loro ri-
a Service) cerca e sviluppo, mentre una catena di distributori si occupa di
procacciare i clienti.
Tecniche che utilizzano l’ambito della pubblicità on line come

Malvertising veicolo di diffusione di malware.
©
Clusit 2021 235
Definizione generica di applicazioni finalizzate a arrecare in

qualche modo danno alla vittima (ad esempio raccogliendo o in-
Malware tercettando informazioni, creando malfunzionamenti nei dispo-
sitivi sui quali sono presenti, criptando i file al fine di richiedere
un riscatto per renderli nuovamente intellegibili…).
Tecnica che consente di intercettare le informazioni trasmesse

Man in the dalla vittima, quali le credenziali di accesso al sito di una banca,
browser al fine di poterle riutilizzare.
Software spesso usato sui server web per effettuare caching di

dati e per diminuire il traffico sul database o sul backend. Il ser-
Memcached ver memcached è pensato per non essere esposto direttamente
su Internet, per questo nella sua configurazione di default non
richiede autenticazione e risponde sia via TCP che via UDP.
MFA Autenticazione a più fattori, nella quale si combinano più ele-

(Multi-Factor menti di autenticazione per rendere più complessa la compro-
Authentication) missione del sistema.
MFU Attacco ad un web server basato sul caricamento remoto di

(Malicious File malware o più semplicemente di file di grandi dimensioni.
Upload)
Creazione di nuova criptovaluta attraverso la potenza di calcolo

Mining degli elaboratori di una blockchain.
Tipo di attacco nel quale la potenziale vittima è indotta a in-

MitC stallare del software malevolo attraverso meccanismi classici
(Man in the come l’invio di una mail contenente un link a un sito malevolo.
Cloud) Successivamente il malware viene scaricato, installato, e ricerca
Definizione coniata una cartella per la memorizzazione di dati nel cloud sul sistema
dall’azienda Imperva dell’utente. Successivamente, il malware sostituisce il token di
sincronizzazione dell’utente con quello dell’attaccante.
236
GLOSSARIO

Gli schemi di voto mix-nets sono sistemi basati su insiemi di
Mix-nets schemi server con cui è possibile crittare e permutare i voti espressi,
in modo da rendere pressoché impossibile ricostruire la coppia
voto-elettore.
Soggetti che consentono di “convertire” attività illegali in denaro

Mules (cash out) ad esempio attraverso attività di riciclaggio.
Soggetto che partecipa attivamente alla attività su internet.

Netizen Letteralmente cittadino della rete.
NIS DIRETTIVA (UE) 2016/1148 DEL PARLAMENTO EURO-

(Network and PEO E DEL CONSIGLIO del 6 luglio 2016 recante misure
Information per un livello comune elevato di sicurezza delle reti e dei sistemi
Security) informativi nell’Unione.
NTP Protocollo che consente la sincronizzazione degli orologi dei di-

(Network Time spositivi connessi ad una rete.
Protocol)
Piattaforma in cui far confluire tutte le segnalazioni provenienti

da banche e Forze di polizia su transazioni sospette che avvengo-
no in Rete, in modo da poter analizzare e condividere in tempo
OF2CEN reale ogni informazione e bloccare così le operazioni illegali.
(On line Fraud “Eu-of2cen” (European Union Online Fraud Cyber Centre
Cyber Centre and Expert Network) è il progetto ideato dalla Polizia di Stato, gestito
Expert Network) dalla Polizia postale e delle comunicazioni, e finanziato dall’U-
nione europea per il contrasto al cybercrime finanziario.
(https://www.poliziadistato.it)
Fonti esterne (API di un sito, output di un oggetto IoT…) alla

Oracoli blockchain per alimentare uno smart contract e scatenarne o in-
fluenzarne l’esecuzione.
OSINT Attività di intelligence tramite la consultazione di fonti aperte di

(Open Source pubblico accesso.
INTelligence)
©
Clusit 2021 237
OT Componenti hardware e software dedicati al monitoraggio ed

(Operation alla gestione di asset fisici in ambito industriale, trasporti…
Technology)
OTP Dispositivo di sicurezza basato sull’uso di password utilizzabili

(One Time per una sola volta, di norma entro uno spazio temporale limitato.
Password)
Letteralmente carico utile. Nell’ambito della sicurezza informa-

Payload tica è la parte di un malware che arreca danni.
Password hard- Password inserite direttamente nel codice del software.

coded
Tecnica che consente di indirizzare la vittima verso un sito ber-

Pharming saglio simile all’originale (ad esempio un sito bancario) al fine di
intercettare ad esempio le credenziali di accesso.
Informazioni personali relative alla salute fisica o mentale di una

PHI persona fisica, comprese le relative valutazioni, cure… e i relativi
(Protected Health pagamenti, indipendentemente dalla forma o dal media utilizza-
Information) to per la loro rappresentazione.
Tecnica che induce la vittima, mediante una falsa comunicazio-

ne in posta elettronica, a collegarsi verso un sito bersaglio simile
Phising all’originale (ad esempio il sito di una banca) al fine di intercetta-
re informazioni trasmesse, quali le credenziali di accesso.
Attività di hacking che ha come oggetto i sistemi telefonici; ad

Phone hacking esempio mediante l’accesso illegittimo a caselle vocali.
Attacco basato sul continuo ping dell’indirizzo della macchina

vittima. Se migliaia e migliaia di computer, che fanno parte di
Ping flood: una botnet, effettuano questa azione continuamente, la vittima
esaurirà presto le sue risorse.
Attacco basato sull’inoltro di un pacchetto di ping non standard,

Ping of Death forgiato in modo tale da mandare in crash lo stack di networking
della macchina vittima.
238
GLOSSARIO
PIR
(Priority Requisiti informativi che orientano le priorità nella pianificazio-
Intelligence ne delle attività di intelligence.
Requirements)
Prestatori di servizi di disposizione di ordini che trasmettono un

PISP ordine di pagamento emesso da un cliente che detiene un conto
(Payment Initiation online presso un Istituto di Credito a favore di un conto di un
Service Provider) beneficiario o operatore commerciale (e-merchant).
PHI
(Protected Health Tipo di informazioni sanitarie protette.
Information)
Capacità di un soggetto, in genere in posizione gerarchica eleva-

Plausible ta, di negare di essere a conoscenza di azioni dannose commesse
Deniability da soggetti di livello più basso, in assenza di prove che possano
dimostrare il contrario.
Nell’ambito delle applicazioni di IA attacco che consiste nel

Poisoning contaminare i dati di addestramento per impedire al sistema di
funzionare correttamente.
Scansione di vari sistemi alla ricerca di una specifica porta in

Port Sweeping ascolto.
Price tracer Software di tracciamento dei prezzi.
Protocollo di Insieme di regole che disciplinano le modalità con cui i disposi-

comunicazione tivi connessi ad una rete si scambiano informazioni.
DIRETTIVA (UE) 2015/2366 DEL PARLAMENTO EURO-

PSD2 PEO E DEL CONSIGLIO del 25 novembre 2015 relativa ai
(Direttiva servizi di pagamento nel mercato interno, che modifica le diret-
sui servizi di tive 2002/65/CE, 2009/110/CE e 2013/36/UE e il regolamento
pagamento nel (UE) n. 1093/2010, e abroga la direttiva 2007/64/CE che stabi-
mercato interno) lisce le regole in base alle quali gli Stati membri distinguono le
varie categorie di prestatori di servizi di pagamento.
©
Clusit 2021 239
“Operazioni psicologiche” consistenti nel far giungere a comuni-

PSYOPs tà, organizzazioni e soggetti stranieri informazioni selezionate al
(Psychological fine di orientarne a proprio vantaggio opinioni e comportamenti.
Operations) (Tratto da: Glossario intelligence – Il linguaggio degli Organismi
Pulse Wave Hit & Run (o Pulse wave)

(o Hit & Run)
QTSP Un prestatore di servizi fiduciari che presta uno o più servizi fidu-
(Qualified Trust ciari qualificati e cui l’organismo di vigilanza assegna la qualifica
Service Provider) di prestatore di servizi fiduciari qualificato.
Malware che induce limitazioni nell’uso di un dispositivo (ad

Ransomware esempio criptando i dati (crypto-ransomware), o impedendo
l’accesso al dispositivo (locker-ransomware).
RDP Protocollo per la comunicazione remota fra computer (in par-

(Remote Desktop ticolare per le comunicazioni tra Terminal Server e il client
Protocol) Terminal Server).
“La capacità di un’organizzazione di assorbire gli shock e di adat-

Resilienza tarsi ad un contesto in continua evoluzione”.
Definizione da ISO 22316:2017
Tecnica di attacco che nel mondo cloud consiste nel tentare di

bloccare l’accesso a risorse nel cloud compromettendo l’account
Resource ransom cloud pubblico della vittima e tentando di cifrare o limitare in al-
tro modo l’accesso al maggior numero possibile di risorse cloud.
Malware che consente sia il controllo occulto di un dispositivo,

Rootkit sia di nascondere la presenza propria e di altri malware.
Ambiente protetto nel quale è possibile testare applicazioni sen-

Sandboxing za compromettere l’intero sistema informatico.
Letteralmente centro di pulizia.

Scrubbing center In uno Scrubbing center il traffico di rete viene analizzato e “ri-
pulito” delle componenti dannose.
240
GLOSSARIO
Tecniche di attacco in ambito VOIP in cui si utilizza l’infrastrut-

Service Abuse tura della rete VOIP della vittima per generare traffico verso nu-
merazioni particolari a tariffazione speciale.
Tecnica di attacco nella quale l’attaccante tenta di posizionare

Side-channel una macchina virtuale sullo stesso server fisico della potenziale
attacks vittima.
SIEM
(Security Sistema per la raccolta e normalizzazione dei log e per la corre-
information lazione degli eventi finalizzato al monitoraggio della sicurezza.
& event
management)
Disciplina intelligence consistente nella ricerca ed elaborazione

SIGINT di notizie di interesse per la sicurezza originate da segnali e/o
(SIGnals emissioni elettromagnetiche provenienti dall’estero. Le principa-
INTelligence) li branche della SIGINT sono la COMINT e la ELINT.
(Tratto da: Glossario intelligence – Il linguaggio degli Organismi
Tecnica per reindirizzare il traffico di rete verso uno specifico

Sinkhole server al fine, ad esempio, di analizzarlo.
Piattaforma tecnologiche appositamente creata in ambito IRU a

supporto del monitoraggio e delle indagini nell’ambito di terro-
rismo in Internet.
SIRIUS In particolare consente ai professionisti delle forze dell’ordine, di
condividere conoscenze, migliori prassi e competenze nel campo
delle indagini sulla criminalità agevolata da Internet, con parti-
colare attenzione all’antiterrorismo.
Programmi per computer in esecuzione sul registro generale;

sono diventati una caratteristica fondamentale delle blockchain
di seconda generazione come Ethereum o NEO. Questo tipo di
programmi sono attualmente utilizzati per facilitare, verificare o
Smart contracts applicare regole tra le parti in occasione delle ICO o nella frui-
zione dei servizi offerti dagli operatori del settore, consentendo
l’elaborazione diretta e le interazioni con altri contratti intelli-
genti.
©
Clusit 2021 241
SMB Protocollo per la condivisione di file e stampanti nelle reti locali.

(Server Message Se esposto su internet può essere utilizzato per accedere a docu-
Block) menti e file condivisi.
Termine che indica una prova (quasi) certa dell’aver commesso

Smoking Guns un crimine.
SOC Centro la gestione delle funzionalità di sicurezza e per il monito-

(Security raggio degli eventi che potrebbero essere una fonte di minaccia.
Operations Center)
Social Tecniche di attacco basate sulla raccolta di informazioni me-

engineering diante studio/interazione con una persona.
Versione VOIP del furto d’identità finalizzata a impersonare un

Social Threats utente e perpetrare azioni malevole con lo scopo di arrecare dan-
ni; ad esempio, furto di informazioni aziendali riservate.
Spear phishing Phishing mirato verso specifici soggetti.
Modifica di una informazione, ad esempio l’indirizzo mittente di

Spoofing un pacchetto IP.
Malware che raccoglie informazioni sul comportamento della

Spyware vittima trasmettendole all’attaccante.
Tecnica di attacco basata sull’uso di query indirizzate a database

SQL injection SQL che consentono di ricavare informazioni ed eseguire azioni
anche con privilegi amministrativi.
SSDP
(Simple Service Protocollo che consente di scoprire e rendere disponibili automa-
Discovery ticamente i dispositivi di una rete.
Protocol)
Protocollo cifrato che consente l’interazione remota con apparati

SSH di rete o di server permettendone, ad esempio, l’amministrazio-
(Secure Shell) ne.
242
GLOSSARIO
STIX Linguaggio strutturato che consente la descrizione e condivisio-

(Structured Threat ne automatizzata di cyber threat intelligence (CTI) fra organiz-
Information zazioni, utilizzando il protocollo TAXII.
eXpression)
An intentional but unauthorized act resulting in the modifica-

Tampering tion of a system, components of systems, its intended behavior,
or data.
TAXII
(Trusted
Automated Protocollo che consente lo scambio (in HTTPS) di CTI (cyber
eXchange threat intelligence) descritti mediante STIX.
of Indicator
Information)
Tipo di attacco nel quale tramite pacchetti SYN in cui è falsi-

ficato l’IP mittente (spesso inesistente) si impedisce la corretta
chiusura del three-way handshake, in quanto, nel momento in
cui il server web vittima invia il SYN/ACK, non ricevendo alcun
ACK di chiusura, essendo l’IP destinatario inesistente, lascerà la
TCP Synflood connessione “semi-aperta”.
Con un invio massivo di pacchetti SYN in concomitanza ad un
alto tempo di timeout delle connessioni, il buffer del server ver-
rebbe presto saturato, rendendo il server impossibilitato ad ac-
cettare ulteriori connessioni TCP, anche se legittime.
TDM Tecnica che consente la condivisione, da parte di più dispositivi,

(Time-division di un canale di comunicazione per un tempo limitato predefi-
multiplexing) nito.
Tecniche di
riflessione degli
attacchi La tecnica più diffusa sfrutta host esposti sulla Big Internet
(DRDoS – come riflettori del traffico a loro indirizzato sfruttando le vulne-
Distributed rabilità intrinseche ad alcuni protocolli quali NTP o DNS.
Reflection Denial
of Service)
©
Clusit 2021 243
Sfruttando lo spoofing dell’indirizzo IP di una vittima, un utente

malintenzionato può inviare piccole richieste ad un host vulne-
Tecniche di rabile inducendolo ad indirizzare le risposte alla vittima dell’at-
amplificazione tacco.
degli attacchi Ad esempio nel caso del protocollo NTP si può amplificare la
potenza dell’attacco anche di 600 volte.
Telnet Protocollo utilizzato per la gestione di host remoti, accessibile da

riga di comando.
TLP Protocollo per facilitare la condivisione delle informazioni “sen-

(Traffic Light sibili” che definisce il grado di possibile diffusione (red, amber,
Protocol) green, white) stabilito dalla controparte inviante.
TLS Protocollo per la comunicazione sicura su reti TCP/IP successi-

(Transport Layer vo al SSL (Secure Sockets Layer).
Security)
Rete di dispositivi che consente l’uso dei servizi internet in mo-

TOR dalità anonima (www.torproject.org).
Combinazione di metodi, capacità e risorse che un attaccante

Tradecraft sfrutta nel compimento delle proprie azioni.
Malware che si installa in modo occulto su un dispositivo con

Trojan horse diverse finalità, quali ad esempio raccogliere informazioni.
TSP Una persona fisica o giuridica che presta uno o più servizi fi-
(Trust Service duciari, o come prestatore di servizi fiduciari qualificato o come
provider) prestatore di servizi fiduciari non qualificato.
Tecnologia atta ad apprendere il “normale” comportamento degli

UBA utenti di un sistema informativo mediante l’analisi di rilevanti
(User Behavior quantità di dati (log…), e di segnalare successivamente il verifi-
Analytics) carsi di attività anomale messe in atto dagli stessi.
244
GLOSSARIO
Il protocollo UDP non prevede l’instaurazione di una connessio-

ne vera e propria e possiede tempi di trasmissione/risposta estre-
UDP Flood mamente ridotti. Tali condizioni offrono maggiori probabilità di
esaurire il buffer tramite il semplice invio massivo di pacchetti
UDP verso l’host target dell’attacco.
UpnP Protocollo di rete che consente la connessione e condivisione

(Universal Plug automatica di dispositivi ad una rete.
and Play)
VNC
(Virtual Network Strumento di condivisione del desktop da remoto.
Computing)
Vetting Il processo di identificazione dei partecipanti ad una blockchain.
Vishing Variante “vocale” del phishing.
Il VBR è una piccola porzione di disco allocata all’inizio di cia-

Volume Boot scuna partizione che contiene codice per caricare in memoria e
Record avviare il sistema operativo contenuto nella partizione.
Debolezza intrinseca di un asset (ad esempio un’applicazione

Vulnerabilità software o un protocollo di rete) che può essere sfruttata da una
minaccia per arrecare un danno.
Attacco mirato nel quale viene compromesso un sito web al qua-

Watering Hole le accede normalmente l’utente target dell’attacco.
Modifica di file e documenti per trasformali in vere e proprie

Weaponization armi per colpire i sistemi e gli utenti e per favorire l’installazione
di codice malevolo.
Tecnica che consente di mostrare nel browser dell’utente infor-

Web Injects mazioni diverse rispetto a quelle originariamente presenti sul
sito consultato.
©
Clusit 2021 245
Letteralmente “caccia alla balena”; è un’ulteriore specializzazio-

ne dello spearphishing che consiste nel contattare una persona
Whaling interna all’azienda spacciandosi per un dirigente della stessa. Di
solito si tratta di truffe finanziarie e il bersaglio è l’amministrazio-
ne con l’obiettivo di indurre la vittima a eseguire, con l’inganno,
un pagamento a beneficio del truffatore.
XSS Vulnerabilità che sfrutta il limitato controllo nell’input di un

(Cross Site form su un sito web mediante l’uso di qualsiasi linguaggio di
Scripting) scripting.
Zero-day attach Attacco compiuto sfruttando vulnerabilità non ancora note/risolte.
Paradigma i cui principi fondamentali sono: si assuma che l’am-

biente sia ostile, non si distingua tra utenti interni ed esterni,
non si assuma “trust” (da cui il nome), si eroghino applicazioni
solo a device e utenti riconosciuti e autenticati, si effettuino ana-
Zero Trust lisi dei log e dei comportamenti utente. In pratica occorre tratta-
re tutti gli utenti nello stesso modo, utenti della stessa azienda o
esterni, che siano nel perimetro della rete aziendale o meno, che
i dati a cui vogliono accedere siano dentro l’azienda o da qualche
parte nel cloud.
246
Gli autori del Rapporto Clusit 2021
Edizione di ottobre
Vita Santa Barletta dottoranda in Informatica e Matematica

presso l’Università degli Studi di Bari Aldo Moro svolge le sue
ricerche sui temi del “Secure Project Management”. L’attività
di ricerca si colloca nell’area della Ingegneria del Software con
l’obiettivo di definire strumenti e tecniche per lo sviluppo sicuro
del software; processi e strutture organizzative per la gestione si-
cura di progetti software. Ha contribuito all’avvio del laboratorio
di Cyber Security dell’Università di Bari, The Hack Space, e ha
svolto un periodo di ricerca presso IBM. È attualmente membro
del Board del Branch Puglia del Project Management Institute –
Southern Italy Chapter.
Silvia Boccardelli, Classe 1987, laureata in Marketing e Mer-

cati globali, dal 2013 lavora in ambito marketing e comunicazio-
ne. Esperta e appassionata di nuove tendenze dell’innovazione, ha
lavorato in agenzie digitali, network globali e aziende corporate in
cui si è occupata di strategie digitali che riguardano il riposizio-
namento di brand, la strutturazione di reparti digitali e progetti
di innovation. Attualmente lavora in ManpowerGroup, con una
focalizzazione sui progetti di Experis, motore tecnologico del grup-
po, provider IT a 360°, tra cui la practice nazionale della Cyber
Security.
Giancarlo Butti ha acquisito un master in Gestione azienda-

le e Sviluppo Organizzativo presso il MIP Politecnico di Milano.
Si occupa di ICT, organizzazione e normativa dai primi anni 80.
Auditor ed esperto di sicurezza e privacy ha all’attivo oltre 800
articoli e collaborazioni con oltre 30 testate. Ha pubblicato 25
fra libri e white paper alcuni dei quali utilizzati come testi uni-
versitari; ha partecipato alla redazione di 17 opere collettive. Già
docente del percorso professionalizzante ABI - Privacy Expert e
Data Protection Officer in Banca è docente/relatore presso eventi
di ISACA/AIEA, ORACLE/CLUSIT, ITER, INFORMA BAN-
CA, CONVENIA, CETIF, IKN, UNISEF, Università Statale
di Milano, Università degli Studi Suor Orsola Benincasa Napoli…, Politecnico di Mila-
no, Cefriel. Partecipa ai gruppi di lavoro di ABI LAB, ISACA/AIEA, Oracle Community
for Security, UNINFO, Assogestioni... È fra i coordinatori di europrivacy.info e socio di
©
Clusit 2021 247
CLUSIT, ISACA, BCI. Ha inoltre acquisito le certificazioni/qualificazioni LA BS7799, LA

ISO/IEC27001, CRISC, CDPSE, ISM, DPO, CBCI, AMBCI.
Danilo Caivano è Professore di Ingegneria del Software e Cyber

Security presso il Dipartimento di Informatica dell’Università de-
gli Studi di Bari Aldo Moro, consulente di aziende ed enti soprat-
tutto nell’ambito di progetti di ricerca e sviluppo. Responsabile
Scientifico del laboratorio di ricerca SERLAB (serlab.di.uniba.it),
Direttore dello short master in Cyber Security, ha contribuito alla
realizzazione di The Hack Space, il laboratorio di cyber security
dell’Università di Bari. Membro del Board of Director del Project
Management Institute Southern Italy Chapter e coordinatore
della PMI-SIC Academy. È componente del Comitato Tecnico
Scientifico del Distretto dell’informatica Pugliese e del Comitato
di Indirizzo Strategico dell’Osservatorio IT.
Denis Valter Cassinerio è Regional Sales Director Sud Europa

(SEUR) di Bitdefender e vanta oltre 25 anni di esperienza nello
sviluppo delle vendite, nella costruzione del canale e nell’evolu-
zione del business nel mercato della sicurezza Enterprise. Prima
di entrare in Bitdefender è stato Head of Sales Security in British
Telecom e precedentemente Security BU Director & Sales Direc-
tor in Hitachi Systems CBT dove ha realizzato e guidato l’organiz-
zazione dedicata all’erogazione dei servizi gestiti di Cyber Security.
In ambito vendor Cassinerio ha inoltre maturato esperienze in
McAfee e Trend Micro guidando per quest’ultima sia lo sviluppo
delle partnership che l’organizzazione vendite in ambito territoria-
le. Oltre ad una significativa esperienza nel mondo dell’Informa-
tion Technology e Cybersecurity Cassinerio ha effettuato studi in Comunicazione Azienda-
le allo IULM di Milano ed ha ottenuto un Master of Business Administration (MBA) dalla
University of Cumbria,Carlisle (UK), con una dissertation dal titolo:” The Cultural Impact
in Organizational Development during the Internationalisation of Cybersecurity Software
Firms”. In Bitdefender, Denis Valter Cassinerio intensifica la focalizzazione sul mercato
Enterprise e lo sviluppo del canale, per consolidare la presenza dell’azienda sui mercati di
Spagna, Portogallo Italia e Romania.
248
GLI AUTORI
Nunzia Ciardi, Dirigente Superiore della Polizia di Stato, già Di-

rettore del Servizio Polizia Postale e delle Comunicazioni, è stata
nominata, con Decreto del Presidente del Consiglio dei Ministri
16 settembre 2021, Vice Direttore Generale dell’Agenzia per la
cybersicurezza nazionale Al culmine di un percorso professionale
di oltre 30 anni, Nunzia Ciardi è oggi a capo della Polizia Postale
e delle Comunicazioni, massimo organo di polizia nazionale nel
contrasto al cybercrime ed articolazione specialistica della Polizia
di Stato.
È Rappresentante del Ministero dell’Interno in seno al Nucleo per la sicurezza cibernetica
ed al Tavolo Tecnico Cyber, previsti dal DPCM 17 febbraio 2017. È membro dell’Orga-
nismo permanente di monitoraggio ed analisi sul rischio di infiltrazioni nell’economia da
parte della criminalità organizzata di tipo mafioso, istituito presso il Ministero dell’Interno
– Dipartimento della Pubblica Sicurezza – Direzione Centrale della Polizia Criminale. Par-
tecipa a tavoli di lavoro per il contrasto patrimoniale criminalità organizzata e terrorismo.
È membro del Gruppo di lavoro interdisciplinare per la prevenzione amministrativa delle
frodi sulle carte di pagamento (GIPAF) istituito presso il Ministero dell’Economia e delle
Finanze. È membro del “Gruppo di Studio Nazionale di Cybersecurity per i Servizi Sanitari
-Telemedicina, Telehealth, eHealth”. Rappresenta la Polizia di Stato nei più elevati consessi
internazionali dedicati alla materia del cybercrime. In particolare, è membro nazionale, in
seno ad EUROPOL, del Gruppo di lavoro internazionale di contrasto alla criminalità infor-
matica (European Union CYBERCRIME TASK FORCE - EUCTF)”, che riunisce i vertici
delle forze di polizia cyber dell’area europea. È membro componente del Consiglio del “Wo-
men4Cyber”, iniziativa avviata dall’Organizzazione Europea per la Sicurezza Cibernetica
(ECSO), volta ad implementare il coinvolgimento delle donne nel settore della sicurezza
cibernetica. Autrice di libri e pubblicazioni a carattere scientifico in materia di cybercrime,
dal 2018, collabora alle edizioni annuali del “Rapporto Clusit sulla sicurezza ICT in Italia”,
a cura dell’Associazione Italiana per la Sicurezza Informatica presso Università degli Studi
di Milano.
Luisa Colucci ha conseguito la laurea in Informatica presso l’U-

niversità degli Studi di Pisa. Attualmente ricopre il ruolo di So-
lution Design Manager nella unit di CyberSecurity di Exprivia.
Precedentemente ha ricoperto il ruolo di Security Architect nella
divisione Security di IBM. Ha lavorato negli ultimi 10 anni nel
campo della CyberSecurity acquisendo un’ampia conoscenza dei
processi, delle tecnologie e del mercato. Nel suo passato ha rico-
perto ruoli di leadership in un contesto lavorativo europeo ed è
stata speaker in eventi nazionali e internazionali sulla Cybersecu-
rity come ITASEC e Cybertech Tel Aviv.
©
Clusit 2021 249
Marco D’Elia, Laureato in Economia Aziendale presso l’Univer-

sità Bocconi di Milano, inizia il proprio percorso professionale nel
settore ICT durante gli studi, nel 1988, come analista e program-
matore IBM di un’azienda informatica di cui è socio accomandan-
te. Esperienza a cui segue, dal 1992 al 1999, il ruolo di Account
Manager nella divisione vendite infrastrutture ICT all’interno del-
la società NCR Italia per il mercato Finance. Dopo alcuni anni
all’interno di Marconi Communications come Channel Sales Ma-
nager della divisione Enterprise per il coordinamento dei partner
nel Sud Europa, nel 2001 Marco entra a far parte di SAP Italia in
qualità di Global Account Manager nella divisione commerciale
Banking e successivamente nella divisione Large Enteprise, Industry Manufacturing; nel
2004 assume l’incarico di Channel Manager della nuova divisione Small Medium Enterpri-
se, per essere poi promosso Sales Manager della Business Unit Small Enterprise. Entrato
in Sophos Italia nel maggio 2008 con il ruolo di Sales Manager a capo della Business Unit
commerciale per l’area Centro Nord, nel febbraio 2009 viene nominato Country Sales Di-
rector. Marco D’Elia si occupa adesso di gestire la filiale italiana recentemente inserita nella
divisione dei Paesi del Sud Europa e di coordinare le strategie di vendita per il mercato
italiano in un’ottica di progressivo ampliamento dei segmenti di business e di sviluppo di
sinergie operative a livello internazionale.
Aldo Di Mattia è entrato in Fortinet nel 2012 con il titolo di

System Engineer per poi diventare nel 2018 Principal System En-
gineer & team leader e a gennaio del 2020 Manager System Engi-
neering per il centro/sud Italia. Oggi è il responsabile di un team
di System Engineer che coprono il territorio del centro/sud Italia
e Malta nei settori Telco, PAC/Defense, PAL/Industry, Energy/
Utilities. Nel 2005 si è laureato in informatica all’università La Sa-
pienza di Roma con una tesi sperimentale sulla sicurezza di rete,
lavorando tra il 2014 e il 2012 per due tra i più importanti System
Integrar italiani nella sicurezza informatica in qualità di Systems
Engineer, Security Consultant, Sr. Security Engineer and Team
Leader. In questi anni di lavoro ha maturato importanti competenze ed esperienze nel set-
tore, conseguendo nel tempo più di venticinque certificazioni specialistiche sui principali
vendor di sicurezza informatica, la certificazione indipendente CISSP di ISC2 e ha deposi-
tato tre brevetti con Fortinet presso USPTO (United States Patent and Trademark Office’s)
su: Security Fabric Cooperation; End-point protection; Deception.
250
GLI AUTORI
Alessandro Ercoli ricopre il ruolo di Manager del team dei Sy-

stem Engineer in HPE Aruba Italia. Ha una lunga esperienza in
HPE, in ambito networking, dove ha ricoperto diversi ruoli. Esper-
to in soluzioni di Infrastrutture di accesso Unified Wired&Wire-
less e di quelle per il Data Center. Completano il suo profilo, le
competenze in ambito SASE, SD-WAN e Cloud Based solution.
Gabriele Faggioli, legale, è amministratore delegato di Di-

gital360 e di Partners4Innovation, Presidente del Clusit e Re-
sponsabile Scientifico dell’Osservatorio Cybersecurity & Data
Protection del Politecnico di Milano. Gabriele inoltre è Adjunct
Professor del MIP – Politecnico di Milano ed è stato membro del
Gruppo di Esperti sui contratti di cloud computing della Com-
missione Europea. E’ specializzato in contrattualistica informatica
e telematica, in information & telecommunication law, nel diritto
della proprietà intellettuale e industriale e negli aspetti legali del-
la sicurezza informatica, in progetti inerenti l’applicazione delle
normative inerenti la responsabilità amminstrativa degli enti e nel
diritto dell’editoria e del markerting. Ha pubblicato diversi libri fra cui: “I contratti di cloud
computing: Comprendere, affrontare e negoziare i contratti con i cloud”(Franco Angeli), “I
contratti per l’acquisto di servizi informatici” (Franco Angeli), “Computer Forensics” (Apo-
geo), “Privacy per posta elettronica e internet in azienda” (Cesi Multimedia) oltre ad in-
numerevoli articoli sui temi di competenza ed è stato relatore a molti seminari e convegni.
Gabriele Gamberi si è laureato in Informatica presso l’Univer-

sità degli Studi di Napoli Parthenope, con una tesi sperimenta-
le riguardante la Human Activity Recognition basata sulle Deep
Neural Networks. È Cyber Security and Fraud Analyst presso il
CERTFin e si occupa di attività di Cyber Threat Intelligence ed
Infosharing, nonché coinvolto in diversi progetti Europei. Le sue
passioni ruotano attorno alla Cyber Intelligence e Cyber Crime
con particolare focus al mondo finanziario ed assicurativo.
©
Clusit 2021 251
Paolo Giudice è segretario generale del CLUSIT. Negli anni

80 e 90 ha svolto attività di consulenza come esperto di gestione
aziendale e rischi finanziari. L’evoluzione del settore IT, che ha
messo in evidenza le carenze esistenti in materia di Security, lo ha
spinto ad interessarsi alla sicurezza informatica e, nel luglio 2000,
con un gruppo di amici, ha fondato il CLUSIT. Dal 2001 al 2008
ha coordinato il Comitato di Programma di Infosecurity Italia e
dal 2009 coordina il Comitato Scientifico del Security Summit.
Dal 2011 coordina il Comitato di Redazione del Rapporto Clusit.
Paolo è Partner di C.I.S.C.A. (Critical Infrastructures Security
Consultants & Analysts) a Ginevra.
Antonio Ieranò è Cyber Security Expert in Proofpoint. Da sem-

pre appassionato di tecnologia e digitalizzazione, è un esperto Se-
curity Manager, Cyber Security e Data Privacy architect e consu-
lente con oltre 20 anni di esperienza. Il suo percorso professionale
lo ha portato a essere voce ufficiale per i temi inerenti la sicurezza
informatica e la privacy per realtà internazionali quali Proofpoint
e prima Huawei, Cisco, IronPort, Symantec, Brightmail e così via.
Ha svolto funzioni di leader per team tecnici paneuropei e ha co-
perto il ruolo di speaker e trainer anche in sede di presentazione
di nuovi prodotti high-tech. La sua competenza copre gli aspetti
di sicurezza informatica e riservatezza dei dati, lo sviluppo e l’im-
plementazione di strategie di sicurezza, l’analisi degli aspetti legali e di bilancio / gestione
finanziaria in riferimento alla introduzione di tecnologie di digitalizzazione.
Michele Lestingi, Enterprise Security Engineer presso il Secu-

rity Operations Center di Fastweb, si occupa di consulenza in am-
bito sicurezza per i clienti Enterprise. Nella sua esperienza di oltre
10 anni nel settore ICT e Cyber Security, ha lavorato su progetti
per le Forze dell’Ordine e in diversi Security Operation Centers
in attività di ricerca, advisory e cyber defence. Possiede la certi-
ficazione CISSP ed è laureato in Informatica e Comunicazione
Digitale presso l’Università degli studi di Bari. Collabora per il
progetto di Sicurezza Digitale per la pubblica amministrazione del
Team per la Trasformazione Digitale.
252
GLI AUTORI
Federica Maria Rita Livelli In possesso della certificazione Bu-

siness Continuity - AMBCI BCI, UK e Risk Management FER-
MA Rimap ®, consulente di Business Continuity & Risk Mana-
gement, svolge attività di diffusione e di sviluppo della cultura
della resilienza presso varie istituzioni ed università. Socia AIPSA
ed UNI, è altresì membro di: Board del BCI Italy Chapter, Board
ANRA, Advisory Board di LIUC-ODES Project, Advisory Board
EU SIMARGL Project, Comitato Scientifico di CLUSIT & Wo-
men for Security, Comitato CLUSIT-Artificial Intelligence/Risk
Management, Conduct Professional Committee – BCI, UK, Jud-
ging Team at the International Organizational Resilience Awards,
UNI/CT 016/GL 02 “Sistemi di gestione per la qualità” (ISO/TC 176/SC 2), UNI/CT 016/
GL 09 “Governance delle organizzazioni” (ISO/TC 309) e UNI/CT 016/GL 89 “Gestione
dell’innovazione” (ISO/TC 279) (Commissione Tecnica UNI/CT 016 “Gestione per la qua-
lità e metodi statistici”), Associazione Donne 4.0 – Commissione Reti, Women in Security
– AIPSA, Women in Security & Resilience Alliance (WISECRA). Docente di Moduli di:
Business Continuity & Resilience (Università POLIMI–BOCCONI, Università di Caglia-
ri, Università di Padova e Università di Verona,); Risk Management (Università Statale di
Milano). Speaker & moderatrice a diversi seminar e conferenze nazionali ed internazionali.
Collaboratrice fissa delle riviste specialistiche online: AgendaDigitale, Cybersecurity360,
AI4Business, Risk Management360, EnergyUp, Blockchain4Innovation, Internet4Things,
Industry4Business, ANRA - RM Magazine, Data Manager, ISPI online, Insurance Review,
Insurzine, UNI Magazine online, The BCI Blog. Co-autrice de: Report 2020-2021 CLU-
SIT-Cyber Security; Lo stato in Crisi.
Gastone Nencini vanta una carriera significativa nel settore IT,

iniziata oltre 25 anni fa con un’esperienza come programmatore
presso Elsi Informatica e proseguita in Genesys come Technical
Manager. Nel 1998 Nencini approda in Trend Micro Italia dove
viene nominato Senior Sales Engineer per il Centro e Sud Italia,
per passare successivamente a un ruolo di maggiore responsabilità
e prestigio, diventando prima Technical Manager Developing BU
(Italia, Benelux e Paesi Scandinavi) per poi focalizzarsi sul merca-
to italiano con l’incarico di Senior Technical Manager Italy. Nel
2012 Gastone diventa Technical Director Southern Europe e a
gennaio 2015 è ufficialmente nominato anche Country Manager
Italia. Durante questi anni in Trend Micro, Gastone Nencini ha gestito e supervisionato
una serie di importanti progetti di sicurezza per i maggiori clienti, fra cui, a livello italiano, si
possono citare: Telecom, Fiat, Poste, Vodafone, Ferrari, Banca Nazionale del Lavoro, Banca
Intesa San Paolo, Telethon. Nencini ha, inoltre, introdotto servizi innovativi di assistenza e
supporto per i clienti Enterprise e per il canale di rivenditori.
©
Clusit 2021 253
Marco Pericò ha conseguito la Laurea Magistrale in Ingegneria

Informatica presso l’Università degli Studi di Palermo e successi-
vamente un Master in Cybercrime e Informatica Forense presso
l’Università degli Studi di Roma “La Sapienza”. Lavora nel CERT
della Banca d’Italia occupandosi di cyber threat intelligence e ri-
coprendo anche il ruolo di esperto nell’ambito del sistema di ge-
stione del rischio operativo. In precedenza, in qualità di Funziona-
rio Informatico del Dipartimento dell’Amministrazione Generale
del Personale e dei Servizi del Ministero dell’Economia e delle
Finanze, si è occupato di gestione della sicurezza e governance
pianificando, progettando, sviluppando e acquisendo architetture
e infrastrutture informatiche per il Dipartimento e per il Ministero. Nel suo precedente
incarico in ISTAT ha progettato e realizzato sistemi di sicurezza informatica, curandone la
gestione e l’evoluzione tecnologica.
Domenico Raguseo è Responsabile della Unit di CyberSecurity

del gruppo Exprivia|Italtel. Precedentemente ha ricoperto il ruolo
di CTO della divisione IBM Security nel Sud Europa. Ha una
decennale esperienza manageriale e nel campo della cybersecurity
in diverse aree. Domenico collabora con diverse università nell’in-
segnamento su tematiche relative alla cybersecurity sia come Pro-
fessore a contratto che invitato come lettore per seminari. Do-
menico è stato IBM Master inventor grazie a una moltitudine di
brevetti e pubblicazioni in diverse discipline (Business Processes,
ROI, Messages and Collaborations, Networking). Infine, è apprez-
zato speaker, autore e blogger in eventi nazionali ed internazionali.
In particolare, da diversi anni collabora con il Clusit come autore.
Marco Raimondi, nato nel 1987, si laurea in Ingegneria del-

le Telecomunicazioni presso il Politecnico di Milano. Ha iniziato
la sua carriera nell’ambito IT per poi orientare la sua attività nel
mondo commerciale, con un focus particolare sul mercato Enter-
prise. Dal 2012 ha lavorato presso Vodafone Italia dove ha ricoper-
to nella Business Unit Enterprise dapprima il ruolo di Presales e
successivamente il ruolo di Marketing Product Manager nel mer-
cato delle PMI. Dal 2017 in Fastweb ricopre dapprima il ruolo di
Marketing Product Manager in ambito security, quindi il ruolo
di Marketing Manager responsabile dello sviluppo dei prodotti di
Sicurezza, Cloud e IoT.
254
GLI AUTORI
Stefano Rinauro, funzionario della Polizia di Stato, dirige la Se-

zione “Monitoraggio e Controllo” dell’Ufficio Protezione Dati della
Direzione Centrale della Polizia Criminale, Ufficio del quale ha
altresì supportato le fasi prodromiche alla formale istituzione. Da
anni si occupa di information security, cyber security e protezione
dei dati personali per i sistemi informativi interforze. Laureato in
Ingegneria delle Telecomunicazioni, ha conseguito il Dottorato di
Ricerca in Ingegneria dell’Informazione e della Comunicazione
nel 2010, ed un Master di II Livello in Ingegneria Gestionale nel
2014. Ha svolto attività di ricerca e docenza universitaria pres-
so il Dipartimento di Ingegneria dell’informazione, elettronica e
telecomunicazioni dell’Università di Roma “La Sapienza” dal 2007 al 2013. È qualificato
lead auditor secondo gli schemi ISO/IEC per Information Security Management System,
Business Continuity Management System, Service Management System ed è docente Cer-
tificato EC Council per i corsi di Ethical Hacker, Threat Intelligence Analyst, SOC Analyst
e Incident Handler ed è ICT Security Manager certificato secondo lo standard UNI 11506.
È attualmente il DPO per i trattamenti dati INTERPOL Italia ed è membro della Com-
missione Permanente INTERPOL sul trattamento dei dati. Ha partecipato, sin dalle prime
fasi progettuali, alla realizzazione del Cyber Security Operation Center delle banche dati
interforze nonché alla stesura del progetto per i sistemi di disaster recovery delle medesime
realtà. Svolge attività di docenza presso le Scuole della Polizia di Stato e le Scuole Interforze
sul tema della protezione dei dati personali. È autore di oltre 40 pubblicazioni scientifiche
su riviste o atti di conferenze con comitato di revisione internazionale. Crede fermamente
nella contaminazione culturale e nel gioco di squadra, aspetti che cura con particolare de-
dizione all’interno del proprio gruppo di lavoro.
Pier Luigi Rotondo (Twitter @PGRotondo) lavora per IBM Ita-

lia. Ha contribuito a molti progetti internazionali su soluzioni di
sicurezza per il Threat Management, l’Identity e l’Access Manage-
ment, il Single Sign-on, e la Threat Intelligence. Con una la laurea
in Scienze dell’Informazione presso Sapienza Università di Roma,
Pier Luigi è coinvolto in attività accademiche su temi di sicurezza
delle informazioni in Corsi di Laurea e Master presso l’Università
di Roma e di Perugia. Per conto di IBM Italia scrive articoli divul-
gativi, e contribuisce permanentemente dal 2015 al Rapporto Clu-
sit sulla Sicurezza ICT in Italia sul cybercrime nel settore finan-
ziario, presentando i risultati IBM e le tendenze del mercato della
cyber security È membro del Comitato Scientifico del CLUSIT.
©
Clusit 2021 255
Sofia Scozzari si occupa con passione di informatica dall’età di

16 anni. Ha lavorato come consulente di sicurezza presso primarie
aziende italiane e multinazionali, curando gli aspetti tecnologici
ed organizzativi di numerosi progetti. Già Chief Executive Offi-
cer de iDIALOGHI, società milanese dedicata alla formazione ed
alla consulenza in ambito Cyber Security, è Founder e Managing
Director di Hackmanac, società che elabora dati sulle minacce
Cyber a supporto di attività di Risk Management. Negli anni si
è occupata di Social Media Security, ICT Security Consulting &
Training e della gestione di progetti di Sicurezza Gestita, quali
Vulnerability Management, Penetration Testing, Mobile Security
e Threat Intelligence. Membro del Comitato Scientifico di CLUSIT, è autrice di articoli e
guide in tema di Social Media Security. È tra gli autori dei papers “La Sicurezza nei Social
Media”, pubblicato nel 2014 dalla Oracle Community for Security, e “Blockchain & Distri-
buted Ledger: aspetti di governance, security e compliance”, pubblicato nel 2019 da Clusit.
Fin dalla prima edizione contribuisce alla realizzazione del “Rapporto Clusit sulla Sicurezza
ICT in Italia” curando l’analisi dei principali attacchi a livello internazionale.
Gian Marco Sgro, classe 1988, laureato Magistrale in Econo-

mia e Management, inizia la sua carriera in ambito Finanziario.
Successivamente entra nel mondo dell’head hunting occupandosi
di profili IT a 360° su tutto il territorio nazionale. Entra poi in una
boutique di Cybersecurity come HR Director dove ha modo di
relazionarsi con figure altamente qualificate e sedersi in impor-
tanti tavoli di settore. Attualmente in Experis - ManpowerGroup
come responsabile della divisione IT per il centro sud Italia e della
practice nazionale sulla cybersecurity, lato ricerca e selezione.
Francesco Talone, funzionario della Polizia di Stato, dirige la

Sezione “Tecnologia, Organizzazione e Standard” dell’Ufficio Pro-
tezione Dati della Direzione Centrale Polizia Criminale. Si occupa
da diversi anni di information security e data protection. Laureato
in ingegneria delle telecomunicazioni, ha conseguito master uni-
versitari di II livello in economia e in ingegneria gestionale. È qua-
lificato lead auditor secondo gli schemi ISO/IEC per Information
Security Management System, Business Continuity Management
System, Service Management System. È Certified Instructor
EC-Council per quanto riguarda i corsi di Ethical Hacker, Thre-
at Intelligence Analyst, SOC Analyst, Incident Handler ed è ICT
256
GLI AUTORI
Security Manager certificato secondo lo standard UNI 11506. Tra i fautori del Cyber Secu-
rity Operations Center delle banche dati interforze, per il quale ha concorso all’ideazione e
ne ha guidato la realizzazione, rappresenta la Direzione Centrale Polizia Criminale in vari
consessi, nazionali e internazionali, dedicati alla cybersecurity e alla protezione dei dati.
Svolge attività di docenza presso le scuole della Polizia di Stato e le scuole interforze sui
temi della protezione dei dati personali. Sul lavoro, ama spendere le sue energie migliori nel
costruire il gioco di squadra e nel farne crescere le competenze.
Girolamo Tesoriere si è laureato in Ingegneria delle Telecomu-

nicazioni presso il Politecnico di Bari. 10+ anni di esperienza nel
settore delle TLC con una specializzazione nella consulenza sui
servizi di Network Security e Cyber Security. Dopo aver lavorato
per diversi anni come Technical Consultant in ambito networking
e reporting operativo, nel 2013 partecipa allo start-up del Securi-
ty Operations Center Enterprise di Fastweb. Ha lavorato per Eni
come Cyber Security Engineer e al momento occupa la posizione
di Enterprise Security Architect in Fastweb. Contribuisce allo svi-
luppo delle nuove soluzioni di sicurezza da erogare ai clienti TOP,
grandi aziende e pubblica amministrazione.
Roberto Tordi: si è laureato in Scienze Politiche all’Università

Roma Tre con una tesi in Diritto dell’Unione Europea ed ha fre-
quentato un Master in Protezione delle Infrastrutture Critiche
con una tesi finale in ambito Cyber Threat Intelligence. Dal 2019
è Research Analyst presso il CERTFin con un focus specifico
sulle attività internazionali. Segue le principali consultazioni nor-
mative di settore in ambito nazionale ed europeo e le attività del
CERTFin rivolte al settore Assicurativo.
Alessandro Vallega, Senior partner in Rexilience.eu da ottobre

2021, società che si occupa di cybersecurity. In precedenza, in
Partners4Innovation (programmi di innovazione della capogrup-
po, scouting, acquisizioni, contratti di partnership, cybersecurity
e GRC) e in Oracle EMEA con il ruolo di business development
su sicurezza e GDPR. Alessandro è nel direttivo di Clusit dal
2010 ed è il fondatore e chairman della Clusit Community for
Security. È coautore, editor e team leader di dodici pubblicazioni
su diversi temi legati alla sicurezza (misure, rischio, frodi, ritorno
dell’investimento, compliances, privacy, cloud, IA...) liberamente
©
Clusit 2021 257
scaricabili dal sito Clusit (http://c4s.clusit.it). Al momento è impegnato nella produzione

della 13esima pubblicazione che tratterà il tema del rischio in ambito digitale (previsto per
marzo 2022). Contribuisce fin dal 2012 ai Rapporti Clusit sulla Sicurezza ICT in Italia.
Insegna Analisi e gestione del rischio all’Università Statale di Milano e ha una laurea in
Scienza Politiche conseguita all’Università degli Studi di Miano.
Andrea Zapparoli Manzoni si occupa con passione di ICT

dal 1997 e di Information Security dal 2003, mettendo a frutto
un background multidisciplinare in Scienze Politiche, Computer
Science ed Ethical Hacking. E’ stato membro dell’Osservatorio
per la Sicurezza Nazionale (OSN) nel 2011-12 e del Consiglio Di-
rettivo di Assintel dal 2012 al 2016, coordinandone il GdL Cyber
Security. Dal 2012 è membro del Consiglio Direttivo di Clusit,
e Board Advisor del Center for Strategic Cyberspace + Security
Science (CSCSS) di Londra. Per oltre 10 anni è stato Presiden-
te de iDialoghi, società milanese dedicata alla formazione ed alla
consulenza in ambito ICT Security. Nel gennaio 2015 ha assunto
il ruolo di Head of Cyber Security Services della divisione Information Risk Management
di KPMG Advisory. Dal giugno 2017 è Managing Director di un centro di ricerca interna-
zionale in materia di Cyber Defense. E’ spesso chiamato come relatore a conferenze ed a
tenere lezioni presso Università, sia in Italia che all’estero. Come docente Clusit tiene corsi
di formazione su temi quali Cyber Crime, Mobile Security, Cyber Intelligence e Social
Media Security, e partecipa come speaker alle varie edizioni del Security Summit, oltre che
alla realizzazione di white papers (FSE, ROSI v2, Social Media) in collaborazione con la
Oracle Community for Security. Fin dalla prima edizione (2011) del “Rapporto Clusit sulla
Sicurezza ICT in Italia”, si è occupato della sezione relativa all’analisi dei principali attacchi
a livello internazionale, ed alle tendenze per il futuro.
258
Il Clusit, nato nel 2000 presso il Dipartimento di Infor-
matica dell’Università degli Studi di Milano, è la più nu-
merosa e autorevole associazione italiana nel campo della
sicurezza informatica. Oggi rappresenta oltre 600 organiz-
zazioni, appartenenti a tutti i settori del Sistema-Paese.
Gli obiettivi
• Diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Ammini-
strazione e i cittadini.
• Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza
informatica, sia a livello nazionale che europeo.
• Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazio-
ne delle diverse figure professionali operanti nel settore della sicurezza.
• Promuovere l’uso di metodologie e tecnologie che consentano di migliorare il livello di
sicurezza delle varie realtà.
Le attività e i progetti in corso

• Formazione specialistica: i Webinar CLUSIT.
• Ricerca e studio: Premio “Innovare la Sicurezza delle Informazioni” per la migliore tesi
universitaria arrivato alla 16a edizione.
• Le Conference specialistiche: i Security Summit Streaming Edition, i Security Summit
On Site (che riprenderanno speriamo presto a Milano, Treviso, Verona e Roma), gli Ate-
lier della Security Summit Academy, Le Tavole Rotonde Verticali (Energy & Utilities,
Health Care, Finance, Manufacturing).
• I Gruppi di Lavoro: della Clusit Community for Security.
• Rapporti Clusit: Rapporto annuale, con aggiornamento semestrale, sula sicurezza ICT in
Italia, in produzione dal 2012.
• Il Mese Europeo della Sicurezza Informatica, iniziativa di sensibilizzazione promossa e
coordinata ogni anno nel mese di ottobre in Italia da Clusit, in accordo con l’ENISA
e con l’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione del
Ministero dello Sviluppo Economico (ISCOM).
Il ruolo istituzionale
In ambito nazionale, Clusit opera in collaborazione con: Presidenza del Consiglio, nume-
rosi ministeri, Banca d’Italia, Polizia Postale e delle Comunicazioni, Arma dei Carabinieri
e Guardia di Finanza, Agenzia per l’Italia Digitale, Autorità Garante per la tutela dei dati
personali, Autorità per le Garanzie nelle Comunicazioni, CERT Nazionale e CERT P.A.,
Università e Centri di Ricerca, Associazioni Professionali e Associazioni dei Consumatori,
Confindustria, Confcommercio e CNA.
I rapporti internazionali
In ambito internazionale, Clusit partecipa a svariate iniziative in collaborazione con: i
CERT, i CLUSI, Università e Centri di Ricerca in oltre 20 paesi, Commissione Europea,
©
ENISA (European Union Agency for Network and Information Security), ITU (Interna-
tional Telecommunication Union), OCSE, UNICRI (Agenzia delle Nazioni Unite che si
occupa di criminalità e giustizia penale), le principali Associazioni Professionali del settore
(ASIS, CSA, ISACA, ISC², ISSA, SANS) e le associazioni dei consumatori.
Security Summit è il più importante appuntamento italiano per tutti

coloro che sono interessati alla sicurezza dei sistemi informatici e della
rete e, più in generale, alla sicurezza delle informazioni.
Progettato e costruito per rispondere alle esigenze dei professionals di

oggi, Security Summit è un convegno strutturato in momenti di divul-
gazione, di approfondimento, di formazione e di confronto. Aperto alle
esperienze internazionali e agli stimoli che provengono sia dal mondo
imprenditoriale che da quello universitario e della ricerca, il Summit si
rivolge ai professionisti della sicurezza e a chi in azienda gestisce i proble-
mi organizzativi o legali e contrattuali dell’Ict Security.
La partecipazione è libera e gratuita, con il solo obbligo dell’iscri-

zione online.
Il Security Summit è organizzato dal Clusit e da Astrea, agenzia di co-
municazione e organizzatore di eventi di alto profilo contenutistico nel
mondo finanziario e dell’Ict.
Certificata dalla folta schiera di relatori (più di 700 sono intervenuti nelle scorse edizioni),
provenienti dal mondo della ricerca, dell’Università, delle Associazioni, della consulenza,
delle Istituzioni e delle imprese, la manifestazione è stata frequentata da oltre 18.000 par-
tecipanti, e sono stati rilasciati circa 14.000 attestati validi per l’attribuzione di oltre 46.000
crediti formativi (CPE).
L’edizione 2022
La 14esima edizione del Security Summit parte con una edizione ibrida, parzialmente in
presenza (se possibile) ma in streaming nella sua interezza, che si terrà dal 15 al 17 marzo.
Continuano gli Atelier della Security Summit Academy, che si terranno tutto l’anno.
Continueranno anche gli Eventi Verticali programmati in gennaio (Finance), maggio (Energy
& Utilities), giugno /Health Care) e ottobre (Manufacturing). Tra i temi più in evidenza per
il 2022: Cyber Crime, Sicurezza del e nel Cloud, Intelligenza Artificiale, Supply Chain, IoT,
Industria 4.0., Compliance, GDPR, Certificazioni (professionali, di sistema, di prodotto).
Informazioni
• Agenda e contenuti: info@clusit.it, +39 349 7768 882
• Altre informazioni: info@astrea.pro
• Informazioni per la stampa: press@securitysummit.it
• Sito web: www.securitysummit.it/
• Foto reportage: www.facebook.com/groups/64807913680/photos/?filter=albums
• Video riprese e interviste: www.youtube.com/user/SecuritySummit
In collaborazione con
www.securitysummit.it

Rapporto Clusit Ottobre 2021 Web

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Rapporto Clusit Ottobre 2021 Web

Caricato da

Copyright:

Formati disponibili

N ott

Prefazione di Gabriele Faggioli . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Via Copernico, 38 - 20125 Milano

Cosa sta succedendo?

Insomma, un quadro complesso nel quale aziende e pubbliche amministrazioni devono

*** *** ***

E ora qualche numero

Seguono due survey.

In questa edizione abbiamo aggiunto un capitolo, realizzato da Experis – ManpowerGroup,

Questi saranno infine i temi trattati nella sezione FOCUS ON:

Introduzione alla decima edizione – aggiornamento di ottobre

Considerazioni sul campione

Le nostre analisi ed i relativi commenti si riferiscono ad un campione necessariamente

Origini ed evoluzione di questa analisi

2021, “la festa è finita”

Analisi dei principali cyber attacchi noti a livello globale del

In questa sezione, come di consueto, l’aggiornamento di ottobre del Rapporto CLUSIT

Attacchi per semestre 2018 - 2021

Attacchi per mese - 1° semestre 2021

0 30 60 90 120 150 180 210

Media mensile attacchi per semestre (2018 - 2021)

Distribuzione degli attaccanti per tipologia (2018 – 1H 2021)

Cybercrime 1.229 1.381 1.518 764 925 21.1%

Espionage-Sabotage 203 203 264 150 95 -36.7%

Information Warfare 58 35 44 22 26 18.2%

Cybercrime EspionageSabotage InformationWarfare Hacktivism

Tipologie e distribuzione attaccanti 2018 - 1H 2021

2018 2019 2020 1H 2021

CYBERCRIME ESPIONAGESABOTAGE INFORMATIONWARFARE HACKTIVISM

CYBERCRIME ESPIONAGESABOTAGE INFORMATIONWARFARE HACKTIVISM

Distribuzione delle vittime per categoria (2018 – 1H 2021)

Healthcare 161 186 210 117 139 18.8%

Multiple Targets 326 406 401 158 121 -23.4%

Financial, Insurance 162 107 122 66 60 -9.1%

Wholesale, Retail 33 45 54 31 50 61.3%

Transportation, Storage 35 20 44 23 48 108.7%

News, Multimedia 70 69 43 23 38 65.2%

Arts, Entertainment 68 55 40 19 26 36.8%

Energy, Utilities 24 25 39 13 19 46.2%

Other Services 9 14 21 13 13 0.0% -

Agriculture, Forestry, Fishing 0 0 5 2 3 50.0%

hMining, Quarrying 1 0 1 0 0 0.0% -

In termini percentuali la categoria “Government” si conferma al primo posto assoluto anche

Top 10 Targets Class % in 2018 - 1H 2021

2018 2019 2020 1H 2021

Distribuzione generale delle vittime per area geografica (1H 2021)

Geografia delle vittime per Continente - 1H 2021

Distribuzione delle tecniche di attacco (2018 – 1H 2021)

Unknown 429 309 368 202 230 13.9%

Vulnerabilities 143 158 198 116 164 41.4%

Multiple Techniques 64 57 85 43 48 11.6%

Identity Theft, Account

Web Attack 43 21 17 12 20 66.7%

Denial Of Service 37 23 34 21 12 -42.9%

TOTALE 1.554 1.667 1.874 957 1.053

Panoramica dei cyber attacchi più

Malware Unknown Vulnerabilities PhishingSocialEngineering

MultipleTechniques IdentityTheftAccountCracking WebAttack DenialOfService

Malware Unknown Vulnerabilities PhishingSocialEngineering

MultipleTechniques IdentityTheftAccountCracking WebAttack DenialOfService

Tecniche di attacco - 2018 – 1H 2021

2018 2019 2020 1H 2021

2018 2019 2020 1H 2021

Analisi della “Severity” degli attacchi

* * ***