Attualità

CYBERSICUREZZA – Attacchi low cost sotto tiro banche e infrastrutture critiche

Attacchi low cost sotto tiro banche e infrastrutture critiche

Un attacco informatico può costare meno di una cena al ristorante. Bastano 50 dollari su un forum del dark web per acquistare un ransomware su misura, pronto a essere lanciato contro un ospedale, una centrale elettrica o una banca.

È l’economia del crimine 4.0, dove anonimato, criptovalute e tecnologie accessibili hanno democratizzato il terrorismo digitale. E le conseguenze sono devastanti. Dai porti brasiliani agli ospedali americani: il nemico è invisibile. Lo scorso mese, il gruppo criminale “RansomExx”, con sede tra l’America Latina e l’Europa dell’Est, ha paralizzato per 72 ore i sistemi informatici dell’Autorità Portuale di Santos, il più grande scalo commerciale del Brasile. Milioni di dollari andati in fumo in mancate spedizioni, contratti bloccati, movimentazione merci interrotta. Nessuna esplosione, nessuna pistola puntata: solo un file infetto, scaricato da un dipendente ignaro.

A pochi giorni di distanza, negli Stati Uniti, l’ospedale pediatrico di Chicago ha dovuto deviare decine di pazienti verso strutture secondarie. Un malware aveva cifrato l’intero archivio clinico elettronico: cartelle mediche inaccessibili, monitor bloccati, dosaggi farmacologici gestiti a mano come negli anni ’80. Gli autori? Un gruppo di “affiliati” al collettivo LockBit, che affitta i suoi strumenti a chiunque, in cambio di una percentuale sul riscatto. I bersagli preferiti: infrastrutture e istituzioni finanziarie. Le banche e gli istituti finanziari sono oggi il bersaglio privilegiato. Secondo il Rapporto annuale dell’ENISA (Agenzia Europea per la Cybersicurezza), tra il 2023 e il primo semestre 2025 si è registrato un aumento del 73% degli attacchi ransomware ai danni del settore bancario. Il 42% delle offensive ha colpito direttamente sistemi di pagamento, circuiti interbancari e applicazioni mobile. Un attacco può durare pochi secondi, ma le ripercussioni – tra perdita di fiducia, sanzioni e danni reputazionali – si trascinano per mesi. Il caso Banco Nación Argentina, colpito nel febbraio scorso, ha mostrato quanto il danno non sia solo economico. Migliaia di conti bloccati, sistemi di identificazione biometrici compromessi e accessi da IP russi e vietnamiti lasciavano intuire un’architettura criminale globale. Gli hacker hanno richiesto un riscatto in moneta Monero, una delle criptovalute più difficili da tracciare, evidenziando la crescente professionalizzazione del crimine digitale.

Il modello RaaS (Ransomware-as-a-Service) ha rivoluzionato il cybercrimine. Gruppi come Conti, Hive, LockBit e BlackCat non attaccano direttamente: vendono kit pronti all’uso, forniscono assistenza tecnica e talvolta persino “help desk” per le vittime che intendono pagare il riscatto. È un mercato parallelo in piena espansione, dove il malware diventa un prodotto e l’estorsione, un abbonamento.

Secondo Chainalysis, nel 2024 i gruppi ransomware hanno incassato oltre 1,2 miliardi di dollari in criptovalute, con un tasso di recupero delle somme da parte delle autorità inferiore al 4%. Anche il nostro Paese è sotto tiro. L’attacco al sistema informatico dell’ASL di Torino ha reso inaccessibili 20.000 prenotazioni sanitarie, mentre a gennaio un malware ha compromesso la rete dell’ATM di Milano, bloccando per ore i sistemi di bigliettazione e gestione del traffico urbano. La Pubblica Amministrazione resta il punto debole: server obsoleti, scarsa formazione del personale, e una cultura della prevenzione ancora frammentaria.

Nel 2023 l’Italia è stata la seconda nazione europea per numero di attacchi andati a segno, secondo il Clusit. I bersagli preferiti: comuni, province, enti sanitari, agenzie fiscali e trasporti. Le contromisure esistono, ma non sono uniformi. Gli esperti concordano su alcuni pilastri fondamentali: Aggiornamento costante dei sistemi e segmentazione delle reti critiche; Crittografia end-to-end e backup frequenti offline; Addestramento del personale: il 90% degli attacchi parte da un errore umano; Negli USA il “Cyber Incident Reporting Act” obbliga aziende e infrastrutture critiche a notificare entro 72 ore ogni attacco, pena sanzioni milionarie.

L’Unione Europea, con la direttiva NIS2, si muove nella stessa direzione, ma l’attuazione pratica è ancora lacunosa in molti Paesi membri. I cyber-attacchi low-cost sono destinati a crescere. Non servono eserciti né arsenali per paralizzare una nazione: basta un clic. La vera sfida, oggi, è costruire un sistema economico e infrastrutturale resiliente, reattivo e coordinato. Perché il prossimo attacco potrebbe non rubare solo dati. Ma vite.