Smart-working. Telelavoro. Télétravail. Da quando, il 9 marzo 2020 (che ormai sembra così lontano!), il primo Decreto Ministeriale ha esteso a tutta l’Italia il divieto di spostamento per motivi non necessari, così come la chiusura di cinema, locali, musei e ogni centro di assembramento, inaugurando quella che sarebbe passata alla storia come “la prima quarantena”, di cambiamenti se ne sono visti un bel po’. Spinto dalla necessità di adeguarsi alle nuove logiche di distanziamento sociale, da quel momento il mercato del lavoro ha dovuto tirarsi su le maniche: è proprio a causa delle misure messe in atto per contenere la diffusione del virus COVID-19, infatti, che negli ultimi due anni si è iniziato a parlare in maniera massiccia del cosiddetto “smart-working”, o “lavoro agile”, per dirlo all’italiana.
Non c’è dubbio che lo smart-working, strumento in realtà preziosissimo, abbia portato con sé una lunga serie di vantaggi, agevolando i lavoratori e favorendo una maggiore elasticità nell’organizzazione del tempo, ma ogni medaglia ha sempre due facce. Al fianco dei lati positivi, infatti, lo smart-working ha esposto le aziende, grandi o piccole, a nuove forme di pericolo e rischi professionali: in particolare al fenomeno del Cyber Risk e più in generale degli attacchi informatici.
Lo strano caso del dottor Jekyll e del signor Hyde: l’altra faccia della rivoluzione digitale
Il futuro è digitale. Lo sentiamo ripetere da anni. In un’epoca in cui tutto (comprese le assicurazioni di Lokky) si fa e si disfa attraverso uno smartphone, era solo questione di tempo prima che anche sul luogo di lavoro gli archivi informatici rimpiazzassero i lunghi scaffali impolverati e pieni di faldoni, scartoffie e documenti di tutti gli uffici. Gli strumenti digitali sono diventati il mezzo principale di sopravvivenza di tantissime attività: bar, ristoranti e take-away si sono dovuti attrezzare per offrire un servizio di prenotazione interamente online, così come i negozi e qualsiasi attività commerciale (dal brand di abbigliamento ai supermercati) hanno dovuto adeguarsi alle regole marketing digitale e alle consegne a domicilio. In buona sostanza, la pandemia non ha fatto che accellerare un cambiamento che era già inevitabile.
Per ogni dottor Jekyll, però, esiste anche un signor Hyde: il Cyber Risk, che espone tutti i settori professionali alla possibilità di essere vittime di un attacco informatico.
In base a quanto stabilito dall’Institute of Risk Management, il Cyber Risk (o Rischio informatico) consiste in qualsiasi rischio di perdita finanziaria, distruzione o anche solo semplicemente un danno alla reputazione di un brand, azienda o realtà commerciale che sia da imputare a un malfunzionamento del sistema informatico.
In altre parole, il Cyber Risk (o Rischio informatico) è il rischio più che comune di incorrere in ingenti perdite economiche a causa del verificarsi di alcuni eventi dannosi, siano essi accidentali o vere e proprie azioni dolose mirate a danneggiate il sistema informatico di un’azienda o di una realtà commerciale (hardware, software, banche dati, etc.).
Perché il Cyber Risk è un pericolo che non interessa solo le grandi aziende
I media si riempiono ogni giorno di news che raccontano di attacchi informatici, sia per mano umana (hacker) che per mezzo di malware (tra cui i ransomware), e delle loro conseguenze. Non è un caso che gli attacchi di Cyber Crime siano al settimo posto nella classifica del World Economic Forum (WEF), che oltre a tenerne il conto ne valuta anche la gravità degli impatti sulla vita economico/finanziaria delle vittime.
È un fatto: il rischio informatico non è un pericolo lontano. Non serve essere i titolari di grandi aziende per aver vissuto un episodio di Cyber Crime, come potrebbe essere, per fare un esempio, un profilo hackerato. Il Cyber Risk rappresenta uno dei pericoli più grandi per tutte le attività commerciali, grandi o piccole che siano, e in quanto tale non deve essere sottovalutato.
Che cos’è un Rischio IT?
Il Cyber Risk, più nel dettaglio, si può manifestare in due modi principali: in primo luogo si potrebbe trattare di un RISCHIO IT, che consiste in tutte le conseguenze che derivano da danni accidentali ai sistemi informatici. Si pensi al caso di un incendio, un corto circuito, o perché no, anche a una decisione sbagliata o a un’imprecisione del tecnico informatico di riferimento, o alla più banale delle occorrenze, nel caso dovesse saltare la corrente. In questo caso, per quanto alto, il rischio non si traduce in un crimine.
Che cos’è un Cyber Crime?
Diverso è il caso in cui si verifichi un vero e proprio CYBER CRIME, un reato informatico, che consiste in tutti i rischi connessi alle vere e proprie attività criminali messe in atto ai danni della vittima (che si tratti di una piccola così come di una grande azienda, ma anche di un semplice utente) per mano di un soggetto terzo.
Si tratta di tutti quei fenomeni criminali legati alla pirateria informatica di cui molto spesso non si capisce nemmeno il nome: frodi informatiche, danni a dati, programmi e archivi, intercettazioni non autorizzate, fino alla riproduzione non autorizzata di programmi e documenti protetti, diversi tipi di operazioni messe in atto dalla figura di un cyber-criminale, di solito un hacker o pirata informatico.
I principali tipi di attacchi informatici
Tra i rischi informatici di natura CYBER CRIME, alcuni sono entrati di prepotenza nel linguaggio quotidiano. Tra i più comuni (ma non per questo meno pericolosi), mirati alla violazione dei dati personali (data breach) si segnalano:
Malware: nel linguaggio informatico, il malware indica qualsiasi programma informatico che viene utilizzato a scopo criminale per disturbare le operazioni svolte da un utente di un computer, che si tratti di un’attività commerciale così come di un utente privato. Si tratta di quello che fino agli anni Novanta veniva semplicemente chiamato “virus”, niente di più di un’applicazione “maligna” che viene utilizzata principalmente per accedere a un dispositivo terzo, per esempio per raccogliere informazioni private, creare malfunzionamenti o criptare i dati.
Ransomware: un programma informatico “dannoso”, un tipo di malware che infetta un dispositivo e ne impedisce l’accesso, obbligando al pagamento di un riscatto (“ransom” in inglese) per accedervi di nuovo. I ransomware possono arrivare anche solo attraverso una semplice mail, un allegato, un link o un banner pubblicitario, o una app da installare, ma anche con siti web creati apposta per infettare il sistema. Da non sottovalutare: un dispositivo “infetto” può contagiare anche gli altri a lui collegati.
Phishing: un tipo di truffa informatica che consiste nel cercare di estorcere informazioni personali alla vittima, tra cui dati sensibili come password o codici di accesso, fingendosi un ente affidabile (per esempio banche, assicurazioni, Poste e altri). Di solito si manifestano tramite mail “contraffatte” che contengono indicazioni e loghi familiari. Si tratta di un reato che rientra nella più ampia famiglia del social engineering, una tecnica di Cyber Crime che punta proprio sulla manipolazione delle persone/utenti.
Una curiosità: il termine “phishing” è una variante di “fishing”, che significa letteralmente “pescare” in inglese e fa riferimento all’invenzione di tecniche sempre più sofisticate per “pescare” i dati sensibili degli utenti.
Attacchi DoS/DDos (Denial of Service): attacchi informatici che cercano di interrompere la continuità di un servizio, rendendo in questo modo inaccessibili alcuni servizi.
Spam: l’invio ossessivo di messaggi (messaggi di posta elettronica, chat, tag board, forum, Facebook e altri servizi di rete sociale) ripetuti ad alta frequenza o a carattere di monotematicità tale da renderli indesiderati (generalmente commerciali o offensivi), di solito attraverso indirizzi generici, non verificati o sconosciuti. Noto anche con il termine di “posta spazzatura” (in inglese “junk mail”).
Una curiosità? Il termine ha avuto origine da uno sketch comico dei Monty Python, andato in onda per la prima volta il 15 dicembre 1970 (stagione 2, episodio 12), in cui una cameriera recita l’elenco di un menù di pietanze, ma intercalando in maniera ripetitiva (tanto da diventare grottesca) il termine “Spam”, nient’altro che un marchio di carne in scatola. «Uova e Spam, salsicce e Spam, Spam, uova e Spam, Spam Spam, pancetta e Spam». Il risultato? Il cliente sviluppa in breve una vera e propria riluttanza per la proposta.
L’importanza della Cyber Insurance
Che sia un errore umano (per esempio una svista da parte di un dipendente che lascia entrare nel sistema virus e malware), un evento accidentale o un vero e proprio attacco informatico (Malware, Ransomware, Phishing, Attacchi DoS/DDos, Spam), il succo non cambia: il Cyber Risk è un rischio reale e sottovalutarlo significherebbe lasciare spazio alla criminalità di infiltrarsi anche nella più piccola, forse ingenua attività commerciale. Un rischio che, al giorno d’oggi, non vale proprio la pena correre, soprattutto considerata la quantità di soluzioni disponibili sul mercato.
Per far fronte alla minaccia crescente di danni al sistema informatico (e a tutte le conseguenze sia sul breve che sul lungo termine), negli ultimi anni sono nate diverse polizze assicurative dette “Cyber Insurance” (letteralmente “Assicurazione Cyber”), o “polizze Cyber Risk”: polizze e pacchetti assicurativi che offrono diverse opzioni di copertura e si concentrano sia sulla perdita/violazione dei dati sensibili (data breach), sia sulle compromissioni del sistema informatico. Grazie a una polizza Cyber Risk, o Assicurazione Cyber Risk, il professionista o titolare di qualsiasi azienda ha la possibilità di trasferire il rischio in capo alla società assicuratrice e tutelarsi in caso di interruzione della propria attività.
