Il Garante privacy mira ad una sensibilizzazione “estesa” su rischi e nuove minacce informatiche

Da inizio aprile scorso ha preso il via un nuovo strumento di informazione e sensibilizzazione sui temi della data protection: attraverso un podcast al mese il Garante privacy perfeziona la sua attività comunicazione e di approfondimento per accrescere la consapevolezza di cittadini, imprese e istituzioni e far comprendere a pieno il valore dei dati personali e l’importanza della loro tutela.

L’urgenza di creare una nuova “cultura della privacy” si pone anche in vista delle numerose minacce informatiche che stanno sempre con maggior frequenza ed impatto prendendo di mira singoli cittadini ed organizzazioni aziendali.

Sensibilizzazione e nuova cultura dei dati

Occorre che si maturi una nuova consapevolezza sui rischi legati al trattamento di dati personali necessaria per capire come reagire di fronte ad eventuali minacce che arrivano dal web e, in generale, dalle strumentazioni tecnologiche.

Inoltre, dal punto di vista della strategia aziendale, è bene sottolineare come la nuova impostazione delle attività di organizzazioni ed imprese deve essere privacy oriented, in primis perché naturalmente l’adeguamento alla normativa in materia di protezione dei dati rappresenta un adempimento obbligatorio, ma anche perché la corretta gestione del dato costituisce ormai un “elemento competitivo” che i titolari del trattamento devono saper valorizzare come nuova condizione di business.

Sul tema dell’awareness (termine inglese che, letteralmente, significa “consapevolezza”), ormai da anni il Garante per la protezione dei dati personali, esercitando pienamente il compito ad esso attribuito dall’articolo 57 del GDPR, promuove la conoscenza e favorisce la comprensione del pubblico (cittadini ed organizzazioni) riguardo ai rischi, alle norme in ambito privacy, alle garanzie e ai diritti in relazione al trattamento. Oltre ai penetranti poteri di indagine e poteri correttivi – che si esplicano nell’irrogazione innanzitutto di ammonimenti e di sanzioni amministrative pecuniarie – il GDPR prevede, infatti, importanti compiti in capo alle Autorità di controllo europee chiamate ad esercitare una continua attività di sensibilizzazione sulle tematiche della data protection.

In questi anni, il Garante privacy italiano ci ha abituati a questa sua importante attività di innalzamento dell’awareness che si è esplicata non solo attraverso la predisposizione di infografiche e vademecum, ma anche attraverso l’organizzazione di eventi, convegni e di campagne istituzionali e la realizzazione video, diffusi sia tramite il sito istituzionale dell’Autorità stessa, sia tramite i canali televisivi sottoforma di veri e propri spot pubblicitari.

Come anticipato, da aprile 2025 è online “A proposito di privacy”, il podcast del Garante per la protezione dei dati personali, ideato per aiutare cittadini, imprese e istituzioni a comprendere il valore dei dati personali e l’importanza della loro tutela. In ogni puntata un tema diverso: dalla cybersecurity all’intelligenza artificiale, dall’oblio oncologico ai diritti dei minori online.

Un modo nuovo di rimanere informati sulle attività del Garante anche per i non addetti ai lavori

La scelta di utilizzare il podcast rientra, infatti, nella volontà del Garante di ampliare la platea del proprio pubblico attraverso uno strumento di comunicazione in grado di raggiungere, con un linguaggio semplice e chiaro, tutti coloro che sono interessati alle tematiche della privacy e alla tutela dei diritti nel mondo digitale.

Al centro del primo episodio, le più frequenti violazioni informatiche, la permeabilità dei sistemi di sicurezza delle banche dati che ha favorito nei mesi scorsi numerosi accessi illeciti. La puntata è anche l’occasione per ricordare le indicazioni fornite dal Garante privacy a imprese e pubbliche amministrazioni per assicurare la protezione dei dati personali trattati.

In particolare, il Garante sottolinea come l’Italia sia caratterizzata da una scarsa cultura in ambito data protection e da sistemi inadeguati dal punto di vista della sicurezza informatica. Esso evidenzia come dall’ultimo Rapporto Clusit nel primo semestre 2024 l’Italia risulta uno dei Paesi al mondo più attaccati dai cybercriminali, con il 7,6 per cento del totale degli incidenti ed una crescita del 12,7 per cento rispetto al semestre precedente.

Anche i dati registrati dall’Autorità di controllo stessa vanno in questa direzione. Infatti, aumentano i casi di notifica di violazione di dati personali: dal 1° gennaio al 31 dicembre 2024 sono stati comunicati all’Autorità 2.204 data breach da parte di soggetti pubblici e privati, con un incremento dell’8,3% rispetto al 2023.

Ma quali sono i settori in cui si sono sviluppate più violazioni?

Sul versante dalla Pa, in strutture sanitarie, Comuni ed istituzioni scolastiche, mentre in ambito privato, le violazioni più numerose hanno caratterizzato il settore delle telecomunicazioni, il settore energetico, il settore bancario, quello dei servizi ma anche PMI e professionisti.

Il Garante privacy valorizza il fatto che questo incremento delle notifiche di violazioni di dati personali e di banche dati non rappresenta un “insuccesso” per la normativa privacy, anzi l’Autorità di controllo la legge in termini positivi: i nuovi obblighi di notifica contribuiscono a monitorare e a tenere sotto controllo le violazioni in vista di un miglioramento delle misure di sicurezza.

Aumento della criminalità informatica

La digitalizzazione crescente della società, insieme ad indiscussi vantaggi, implica un aumento delle azioni di malintenzionati che diffondono software malevoli – soprattutto attraverso ransomware e tecniche di phishing – per varie finalità illecite.

Il ransomware è un programma informatico dannoso che “infetta” un dispositivo digitale (PC, tablet, smartphone, smart TV) bloccando l’accesso a tutti o ad alcuni dei suoi contenuti (foto, video, file, ecc.) attraverso la cifratura delle informazioni. Il soggetto che subisce l’attacco è successivamente informato della possibilità di ottenere il codice di decrittazione per “liberare” i contenuti non più accessibili attraverso il pagamento di un riscatto (in inglese, “ransom”).

Questo tipo di attacchi avvengono soprattutto attraverso comunicazioni ricevute via e-mail, sms o sistemi di messaggistica che apparentemente sembrano provenire da soggetti conosciuti e affidabili (ad esempio, corrieri espressi, gestori di servizi, operatori telefonici, pubbliche amministrazioni, ecc.), oppure da persone fidate (colleghi di lavoro, conoscenti) e contengano allegati da aprire (spesso “con urgenza”), oppure link e banner da cliccare (per verificare informazioni o ricevere importanti avvisi), naturalmente collegati a software malevoli.

Un’altra attività malevola negli ultimi anni sempre più diffusa è quella del phishing, tecnica illecita utilizzata per appropriarsi di informazioni riservate relative a una persona o a un’azienda – username e password, codici di accesso (come il pin del cellulare), numeri di conto corrente, dati del bancomat e della carta di credito – con l’intento di compiere operazioni fraudolente.

Gli attacchi informatici che si perpetuano attraverso il phishing hanno in comune con il ransomware il fatto che il rischio deriva dall’azione di una terza parte non autorizzata e malintenzionata, tuttavia le due tipologie di attacco hanno finalità diverse. Come abbiamo visto, il software dannoso del ransomware cifra i dati personali dell’utente, a cui successivamente l’aggressore chiede un riscatto in cambio del codice di decrittazione, mentre con il phishing l’utente viene spinto a porre in essere determinate attività affinché l’hacker possa copiare (in termini tecnici, “esfiltrare”) i suoi dati per utilizzarli a scopo fraudolento e a suo danno. I dati “rubati”, infatti, possono poi essere utilizzati per fare acquisti a spese del soggetto che subisce l’attacco utilizzando per esempio la sua carta di credito, prelevare denaro dal suo conto o addirittura per compiere attività illecite utilizzando il suo nome e le sue credenziali.

Come il ransomware, l’attività illecita di phishing avviene di solito via e-mail, sms, chat e social media. Il soggetto malintenzionato si presenta, in genere, come un soggetto autorevole (banca, gestore di carte di credito, ente pubblico, ecc.) che invita a fornire dati personali per risolvere particolari problemi tecnici con il conto bancario o con la carta di credito, per accettare cambiamenti contrattuali o offerte promozionali, per gestire la pratica per un rimborso fiscale o una cartella esattoriale, ecc.

Nonostante le garanzie di sicurezza e le tecniche di cybersecurity che imprese, titolari del trattamento e singoli utenti in generale predispongono nei propri sistemi informatici, statisticamente i comportamenti errati ed inadeguati di dipendenti/utenti rappresentano l’anello debole della catena, compromettendo molto spesso il livello di protezione dei dati esistente.

Infatti, gli hacker spesso prediligono attaccare l’“uomo” piuttosto che la macchina, sfruttando i comportamenti errati o semplicemente poco adeguati delle persone.

È a questo punto che entrano in gioco le cd. tecniche di “social engineering”, che si fondano sostanzialmente sullo studio del comportamento e della psicologia degli individui con lo scopo di influenzare il percorso decisionale della mente inducendo le persone a compiere determinate azioni sui loro pc e i loro dispositivi, con il fine ultimo di carpire informazioni e dati utili.

La social engineering sfrutta i meccanismi dell’euristica, disciplina che, in psicologia, spiega come le persone risolvono, danno giudizi, prendono decisioni di fronte a problemi complessi o informazioni incomplete. L’euristica, infatti, si fonda su un principio cardine: il sistema cognitivo umano è un sistema a risorse limitate che, non potendo risolvere problemi tramite processi algoritmici, fa uso di euristiche (una sorta di “scorciatoie mentali”) come efficienti strategie per semplificare decisioni e problemi.

In questo ambito assumono un ruolo importante i cd. pregiudizi cognitivi (cognitive bias), errori e (pre)giudizi che intervengono nel processo decisionale dell’individuo modellandone i meccanismi conoscitivi portando così il soggetto a prendere decisioni e, conseguentemente, a compiere azioni sbagliate e/o inadeguate. Sono proprio questi elementi di errore e pregiudizio che vengono sfruttati dalla social engineering per indurre l’utente ad effettuare azioni che razionalmente non avrebbe svolto.

È quindi evidente come ci sia uno stretto rapporto tra l’euristica/tecniche di social engineering e il mondo della cybersecurity.

Come anticipato, l’euristica parte dal concetto di razionalità limitata. In particolare, l’iter decisionale dell’individuo è influenzato non solo dalla “qualità” delle informazioni in suo possesso, ma anche dalla “quantità” dei dati; fondamentale in questo contesto è quindi il tempo a disposizione del soggetto per concludere un’azione che gli viene chiesta. Ecco che gli hacker attraverso le tecniche di social engineering approfittano spesso di questo aspetto inducendo nella vittima un’esigenza pressante di decidere in fretta, spingendo la persona a decidere in poco tempo e modellando la loro decisione verso il compimento di un’azione (istintiva) sbagliata.

Non dimentichiamo poi il fatto che i malintenzionati possono sfruttare a loro vantaggio anche il fattore “affaticamento” degli individui. Per esempio, nell’ambito lavorativo è molto probabile che alla fine della giornata le persone siano meno attente e vigili e che, di conseguenza, esse siano più inclini a decidere sulla base di percorsi euristici e non sulla base della razionalità. Inoltre, sempre in contesti aziendali, anche le attività ripetitive possono “inquinare” i normali processi razionali che ordinariamente la persona metterebbe in atto. Anche solo con questi due esempi, appare subito chiaro come spesso dipendenti/utenti tendano a prendere decisioni velocemente ed in modo sommario, rischiando di non scegliere la soluzione migliore per quel caso concreto.

In sintesi, le minacce informatiche manipolano le persone inducendole a fare cose che normalmente non farebbero, agendo su tre “leve”: una situazione personale, l’emozione e il livello di attenzione.

In questo modo, tali tecnologie malevoli implicano una vera e propria “manipolazione emotiva”, cercando di suscitare un senso di urgenza, allarme, che implica di conseguenza l’effettuazione di decisioni immediate, d’impeto, prese in presenza di sentimenti di panico e/o compassione. Si tratta di una vera e propria “tecnica sociale” che influenza il comportamento dei soggetti anche con conseguenze gravissime.

Se è questo il quadro, è essenziale la formazione e la continua sensibilizzazione di dipendenti, collaboratori di aziende e, in generale, degli utenti finali che utilizzato dispositivi tecnologici, i quali devono essere innanzitutto consapevoli dei rischi legati all’utilizzo dei sistemi informatici e dell’esistenza delle tecniche di “induzione psicologica” legate alla social engineering appena descritte.

Tuttavia, gli esperti di cybersicurezza affermano che innalzare il livello di consapevolezza degli utenti è fondamentale ma non basta. Anche le logiche di progettazione dei sistemi conformi al principio di privacy by desgin and by default oggigiorno sembrano non essere più sufficienti a mitigare i rischi legati al mondo degli attacchi informatici. Occorre, infatti, che le aziende sviluppino ed implementino sistemi avanzati di security valorizzando competenze e logiche di incident response, nonché sistemi cyber security framework, vale a dire processi e tecnologie che operano all’unisono per ridurre al minimo l’esposizione al rischio cyber e che si fondano su metodiche di sicurezza predittiva, sicurezza preventiva e sicurezza proattiva.

l tailgating è un attacco informatico che consiste nel seguire una persona autorizzata per accedere a un’area sicura. È una minaccia alla sicurezza fisica che può essere condotta di persona o in digitale.

Un attacco tailgating è una minaccia alla sicurezza fisica in cui un utente malintenzionato ottiene l’accesso a un’area in cui è possibile prendere visione è prelevare informazioni e dati personali. Ciò si ottiene seguendo qualcuno con accesso legittimo allo spazio fisico, ad esempio un dipendente.

Occorre poi considerare che le logiche algoritmiche proprie dell’intelligenza artificiale possono essere applicate anche alle tecniche di ingegneria sociale, circostanza che naturalmente amplifica i rischi connessi alla sicurezza dei sistemi. Negli ultimi anni, infatti, il panorama delle minacce alla sicurezza informatica è cresciuto in termini di sofisticazione degli attacchi, complessità ed impatto. Tale tendenza si è rafforzata dallo spostamento delle attività, a tutti i livelli, nel mondo dell’online, dalla transizione delle infrastrutture tradizionali verso soluzioni digitali.

Ecco che oggi si parla anche di “spear phishing”: con sistemi di intelligenza artificiale, acquistati nel dark web, vengono creati phishing personalizzati attraverso l’incrocio di informazioni personali raccolte tramite social network, mail, comunicati stampa, informazioni pubbliche da giornali, ecc.

Le minacce informatiche si sono, quindi, evolute e ora utilizzano l’AI.