L’analisi del dato emergente dalle attività del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC), relativo al periodo intercorso tra gennaio e dicembre 2020, permette di rilevare, in primo luogo, come, sia gli attacchi diretti alle grandi infrastrutture erogatrici di servizi essenziali (approvvigionamento idrico ed energetico, pubblica amministrazione, sanità, comunicazione, trasporti, finanza sistemica), che gli attacchi apparentemente isolati (diretti a singoli enti, imprese o cittadini), siano connotati da una dimensione criminale organizzata, essendo ascrivibili all’operato di sodalizi ben strutturati, spesso operanti a livello transnazionale.
Le tipologie di eventi cyber che hanno maggiormente impegnato gli operatori del Centro sono rappresentate dagli attacchi a mezzo malware, soprattutto di tipo ransomware, attacchi DDoS con finalità estorsiva, accessi abusivi con l’intento di carpire dati sensibili, campagne di phishing e, in ultimo, campagne APT (Advanced Persistent Threats), particolarmente insidiose poiché ricollegabili ad attori malevoli dotati di notevole expertise tecnico e rilevanti risorse.
L’emergenza Covid-19, in particolare, ha costituito un’ulteriore occasione per strutturare e dirigere attacchi ad ampio spettro, volti a sfruttare per scopi illeciti la situazione di particolare esposizione e maggior vulnerabilità in cui il Paese è risultato, e tuttora risulta, esposto.
Nello specifico, alcune delle più rilevanti infrastrutture sanitarie impegnate nel trattamento dei pazienti “Covid” sono state oggetto di campagne di cyber-estorsione volte alla veicolazione all’interno dei sistemi ospedalieri di sofisticati ransomware – concepiti allo scopo di rendere inservibili, mediante cifratura, i dati sanitari contenuti al loro interno – a fronte di richieste di pagamento del prezzo estorsivo, per lo più in cryptovalute (es. Bitcoin), onde ottenere il ripristino dell’operatività.
Il sistema sanitario e della ricerca è stato inoltre bersaglio di diversi attacchi APT, con lo scopo della esfiltrazione di informazioni riservate riguardanti lo stato di avanzamento della pandemia e l’elaborazione di misure di contrasto, specie con riguardo all’approntamento di vaccini e terapie anti-Covid.
Si sono moltiplicati i casi di phishing ai danni di enti ed imprese, veicolati attraverso messaggi di posta elettronica i quali, dietro apparenti comunicazioni di Ministeri, organizzazioni sanitarie ed altri enti, relative all’andamento del contagio o alla pubblicazione di misure di contrasto, nascondevano in realtà sofisticati virus informatici in grado di assumere il controllo dei sistemi attaccati (c.d. virus RAT) e procedere così all’esfiltrazione di dati personali e sensibili, alla captazione di password di accesso a domini riservati, finanche all’attivazione di intercettazioni audio-video illegali.
L’aggiornato quadro informativo riferibile alle specifiche fenomenologie delittuose può essere agevolmente evidenziato attraverso la tabella statistica, di seguito indicata, che offre il confronto tra il periodo gennaio/dicembre 2019 e quello riferibile all’anno 2020, periodo, quest’ultimo, caratterizzato dall’emergenza epidemiologica in atto che ha favorito, come detto, l’andamento crescente del numero di attacchi complessivamente verificatisi ai danni delle Infrastrutture critiche del nostro Paese:
| 2019 | 2020 | |
| Attacchi rilevati | 239 | 507 |
| Alert diramati | 77.596 | 79.209 |
| Indagini avviate | 88 | 99 |
| Persone arrestate | 3 | 21 |
| Persone denunciate | 53 | 79 |
| Richiesta di cooperazione internazionale in ambito Rete 24/7 High Tech Crime G8 (Convenzione Budapest) | 74 | 65 |
Dalla tabella si evince che, ad oggi, gli attacchi rilevati sono più che raddoppiati, con un conseguente quasi equivalente incremento delle persone identificate ed indagate.
Tra le attività di polizia giudiziaria più significative si segnala:
OPERAZIONE “DATA ROOM”
Il CNAIPIC nell’ambito di una lunga ed articolata attività di indagine ha effettuato quella che può essere ritenuta la prima operazione su larga scala volta alla tutela di dati personali trafugati, culminata con l’esecuzione, effettuata con l’ausilio di personale dei Compartimento Polizia Postale e delle Comunicazioni di Roma, Napoli, Perugia ed Ancona, a 13 ordinanze di custodia cautelare e 7 ordinanze che dispongono l’obbligo di dimora nel comune di residenza ed il divieto di esercitare imprese o ricoprire incarichi direttivi in imprese e persone giuridiche.
Al vertice del sistema due dipendenti infedeli di TIM S.p.A., oltre ai responsabili di alcune società che offrono servizi di call center, avevano messo i piedi una complessa ed articolata attività criminale finalizzata al commercio illecito dei dati personali di centinaia di migliaia di utenti di società operanti nella fornitura di servizi essenziali, nel settore telecomunicazioni ed energia.
I 26 indagati complessivi, tutti destinatari di provvedimenti di perquisizione locale e personale, sono stati ritenuti responsabili, a vario titolo ed in concorso tra loro, della violazione aggravata dei reati previsti all’art. 615 ter c.p. (accesso abusivo a sistema informatico), all’art.615 quater c.p. (detenzione abusiva e diffusione di codici di accesso), riguardando le condotte sistemi di pubblico interesse, e della violazione della legge sulla privacy art. 167-bis D. Lgs. 193/2003 (comunicazioni e diffusione illecita di dati personali oggetto di trattamento su larga scala).
Le estrazioni dei dati dai database dei fornitori dei servizi, per come verificato nel corso delle indagini, venivano sistematicamente portate avanti con un volume medio di centinaia di migliaia di record al mese, che gli indagati modulavano a seconda della illecita “domanda” di mercato.
Nel corso delle attività, svolte grazie alla collaborazione di TIM S.p.A. ed all’importante apporto della struttura di sicurezza aziendale dell’azienda, è venuto alla luce un complesso “sistema” che vedeva, da un lato una serie di tecnici infedeli procacciare i dati, dall’altro una vera e propria rete commerciale che ruotava attorno alla figura di un imprenditore Campano, acquirente della preziosa “merce”, che poi veniva poi piazzata sul mercato dei call center, 13 sono quelli già individuati nella prima fase delle indagini, tutti in area campana, ed oggetto di altrettante attività di perquisizione.
Nell’ottica di un’efficace condivisione operativa, il Centro ha proseguito la stipula di specifici Protocolli a tutela delle infrastrutture critiche nazionali: al riguardo, nel 2020 sono state sottoscritte 7 nuove convenzioni con le società Borsa Italiana, EFSA (European Food Safety Authority), IREN S.p.A., SACBO Aeroporto di Bergamo, SAIPEM S.p.A., SIA S.p.A. e SIOT TAL Oleodotto Transalpino.
Si rappresenta, altresì, che analoghe forme di collaborazione sono state avviate dal Compartimento Polizia Postale per il Lazio, con strutture sensibili di rilevanza locale, sia pubbliche che private, al fine di garantire un sistema di sicurezza informatica capillare e coordinato.
In tema di Attacchi Cyber, protezione delle Infrastrutture Critiche del Paese e analisi di dispositivi informatici il Compartimento Polizia Postale per il Lazio ha trattato circa 137 deleghe emesse dall’autorità giudiziaria, deferito n.6 persone in stato di libertà all’A.G. per il reato di accesso abusivo a sistema informatico, effettuato 41 segnalazioni ai referenti regionali individuati nell’ambito dell’attività volta alla prevenzione e repressione di attacchi informatici ramsomware per colpire ospedali e strutture sanitarie impegnate nella gestione dell’emergenza Covid-19.
Sono state inoltrate ai referenti individuati nell’ambito delle attività di monitoraggio delle infrastrutture critiche, circa 106 segnalazioni inerenti più di 1000 eventi di sicurezza informatica relativi a vulnerabilità, violazioni di dati, malware o altre attività di minaccia informatica.
E’ stato denunciato in stato di libertà un soggetto resosi responsabile del reato previsto dall’art. 615 ter c.p. perché effettuava accesso abusivo al portale di gestione dell’applicazione LAZIOdrCOVID sviluppata e gestita dalla società LazioCrea S.p.a. – per conto della Regione Lazio, applicazione creata al fine di facilitare il collegamento telematico tra medico di base e i propri pazienti.