Furto di dati alla Pubblica Amministrazione: hacker in manette
È in corso da qualche un’operazione della Polizia Postale dalla quale è emerso che un uomo, originario del torinese e residente a Imperia, si sarebbe appropriato di centinaia di credenziali di accesso a dati sensibili, migliaia di informazioni private contenute in archivi informatici della pubblica amministrazione. Si parla di posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi appartenenti a centinaia di cittadini e imprese del nostro Paese.
Sarebbe questo, secondo la polizia postale che lo ha arrestato su provvedimento del Gip di Roma, il bottino di R.G., 66 anni.
L'arrestato, indica la Polizia postale, ha "un know how informatico di altissimo livello e numerosi precedenti penali" e, tramite ripetuti attacchi ai sistemi informatici di numerose Amministrazioni centrali e periferiche italiane, sarebbe riuscito ad intercettare illecitamente centinaia di credenziali di autenticazione (User ID e Password).
Attaccando in un primo momento i sistemi informatici di alcuni Comuni italiani, il sospettato è riuscito ad introdursi in banche dati di rilievo istituzionale, appartenenti ad Agenzia delle Entrate, Inps, Aci ed Infocamere, veri obiettivi finali dell'attività delittuosa. Ha quindi esfiltrato preziosi dati personali di ignari cittadini ed imprese italiane.
Denunciati a piede libero, per le stesse violazioni, sei complici dell'arrestato, tutti impiegati all'interno di note agenzie investigative e di recupero crediti operanti in varie città d'Italia.
L'attività investigativa condotta dagli uomini del Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche ha permesso di ricostruire come R.G., nel corso degli anni, avesse ingegnerizzato un vero e proprio sistema di servizi, tra cui il portale illecito 'PEOPLE1', commercializzato clandestinamente ed offerto alle agenzie interessate che, pagando una sorta di canone, potevano installare il software con una semplice pen-drive Usb e riuscire così a connettersi clandestinamente alle banche dati istituzionali e fare interrogazioni dirette. Per ottenere l'accesso clandestino alle banche dati, il gruppo criminale utilizzava sofisticati virus informatici per infettare i sistemi degli uffici pubblici riuscendo ad ottenere le credenziali di login degli impiegati.
Ingenti i proventi dell'attività criminale, se si pensa alle decine di migliaia di interrogazioni illecite su commissione già accertate e che una singola interrogazione delle banche dati istituzionali veniva venduta a partire da 1 euro "a dato", anche attraverso sistemi di pagamento evoluto e attraverso l'acquisto in modalità prepagata di "pacchetti di dati sensibili".
La tecnica utilizzata per il furto di dati alla pubblica amministrazione prevedeva il confezionamento di messaggi di posta elettronica (phishing), apparentemente provenienti da istituzioni pubbliche, ma in realtà contenenti in allegato pericolosi malware. I messaggi arrivavano a migliaia di dipendenti di amministrazioni centrali e periferiche, in particolare a quelli dei piccoli Comuni e dei patronati, che venivano, con l'inganno, portati a cliccare sull'allegato malevolo aprendo così la porta al sofisticato virus informatico che, in poco tempo, consentiva agli hacker di assumere il controllo dei computer. A questo punto il gruppo criminale, potendo contare su una rete vastissima di computer infettati, li metteva in rete sommandone le potenze di calcolo, costruendo quella che, tecnicamente, è definita una Botnet, controllata da remoto dall'indagato R.G., grazie ad una centrale (cosiddetta Command and Control) che aveva installato su un server all'estero. La potente rete di computer infetti veniva quindi utilizzata per sferrare gli attacchi informatici massivi, compromettere i database delle amministrazioni pubbliche ed esfiltrare i dati personali dei cittadini.
I dati venivano poi inviati su una serie di server all'estero, principalmente in Canada, Russia, Ucraina ed Estonia, direttamente gestiti, come dimostrato nel corso di complesse attività di intercettazione telematica e telefonica, da R.G., e quindi utilizzati per accedere abusivamente alle banche dati di interesse pubblico ed eseguire la profilazione di imprese e privati cittadini. Non si escludono, a questo punto, ulteriori sviluppi circa la completa ricostruzione della vasta rete di clienti del sodalizio criminoso.
Una problematica divenuta di assoluta rilevanza quella della sicurezza informatica in tempi di GDPR e protezione dati, soprattutto per le aziende che questi dati devono trattarli e proteggerli da minacce di ogni tipo, per soddisfare la necessità di gestire correttamente i requisiti posti dal Regolamento UE. Il nostro settore è particolarmente esposto ed fondamentale rivolgersi a Società serie ed affidabili che siano in linea con i requisiti legislativi, statutari e normativi in vigore e che dispongano di un sistema informatico costruito in modo tale da proteggere i dati e le informazioni da ogni tipo di problematica e attacco esterno al fine di assicurarne l’integrità e la riservatezza. Per questa ragione già dal 2017 Business Defence è in possesso della certificazione per la Gestione della Sicurezza delle Informazioni ISO 27001.
Fonte: La Repubblica/BD Business Defence