borsa-generica

Può darsi non conosciate la società di servizi finanziari E*Trade, ma difficilmente non avrete mai sentito parlare di Dow Jones il cui indice è storicamente uno dei punti di riferimento di Borse e mercati.

In questi giorni i due colossi stanno comunicando a clienti ed interlocutori di essere stati vittima di presumibili “data breach”, ovvero di attacchi informatici che hanno permesso agli aggressori di superare le misure di sicurezza ed accedere ai loro archivi elettronici più riservati.

Così, per l’ennesima volta, sono finiti nelle mani sbagliate informazioni personali che includono anche gli ormai soliti dati relativi alle rispettive carte di credito, gli indirizzi di posta elettronica e – quasi non bastasse – anche quelli urbani di casa e ufficio.

E*Trade si è precipitata ad avvisare i suoi 31mila clienti, inviando una email in cui viene spiegato l’accaduto. Da parte sua Dow Jones (editrice tra l’altro del Wall Street Journal) ha scritto un messaggio in cui si dice che “nonostante fossero state adottate tutte le precauzioni persino in maniera sovrabbondante” qualcuno è riuscito a perforare le protezioni logiche e ad accedere al sistema portandosi via i dati relativi a milioni di attuali e vecchi abbonati, 3500 di questi potrebbero aspettarsi qualche sgradevole sorpresa per la carta di credito. Non ci sarebbe una prova diretta di questa preoccupante situazione, ma semplici elementi che lasciano presumere l’esecuzione di un’incursione telematica di questa natura. Il semplice “potrebbe esser successo” ha fatto scattare l’allarme. D’altronde – a differenza dei topi d’appartamento – i predoni digitali non lasciano tracce evidenti del loro passaggio e, anzi, sperano che la loro visita non venga rilevata, in modo da poter approfittare del varco aperto per tornare anche in tempi successivi.

Recentemente era accaduto qualcosa di simile a Scottrade, altra azienda operante nel contesto della compravendita di titoli azionari, e a farne le spese sono stati oltre quattro milioni e mezzo di risparmiatori che si avvalevano di questa società di brokeraggio.

Se davvero “non c’è prova”, perché questo allarme? Ad innescare qualcosa di più di un semplice sospetto è stata una segnalazione degli investigatori di Fbi, che stavano indagando su casi di furto di identità e che – sulla base delle caratteristiche delle informazioni rinvenute e di una certa loro “unicità” – erano riusciti a ricostruire l’origine dei dati adoperati in modo fraudolento. L’attività investigativa è quella inerente una banda criminale che ha passato “al setaccio” le più grandi organizzazioni mondiali dell’universo economico-finanziario, tra cui JP Morgan Chase (83 milioni di “vittime”) e Fidelity Investments, saccheggiando database di ogni razza.

Se succedesse mai (anche se sono convinto sia già capitato…) dalle nostre parti, quale sarebbe la reazione? Quanti sentirebbero il dovere di allertare le persone i cui dati sono stati scippati e sono destinati ad alimentare attività illecite in loro danno?

Attualmente la normativa italiana impone obblighi in tal senso solo agli operatori delle telecomunicazioni, quasi i “data breach” negli altri settori (quello sanitario ad esempio) non potessero avvenire o non avessero la stessa criticità.

Il furto dei dati non toglie apparentemente nulla a chi è bersaglio della malefatta. Non c’è una sottrazione fisica di alcunché e tutto sembra essere normale anche dopo la più barbara razzia. Solo un buon sistema di “intrusion detection” può rilevare accessi indebiti e operazioni non consentite, ma non sempre si è organizzati per monitorare e prevenire certi fenomeni.

Non basta. La legge 547 del 1993, quella che ha “farcito” il codice penale con le fattispecie di crimine informatico, evidenzia che quei reati si configurano solo quando il target è costituito da sistemi informatici “protetti da misure di sicurezza” così come si legge in un inciso ripetuto in tutti gli articoli in proposito. No sicurezza, no reato…

Ma non è finita. Il decreto legislativo 196/2003 in materia di privacy sanziona chi non adotta idonee cautele a protezione dei dati oggetto di trattamento.

A voler tirare le somme, come si può immaginare che una banca o un’azienda possano raccontare in giro di essere state beffate dai pirati informatici, quando per quella ragione rischiano una condanna per non aver difeso i propri archivi elettronici?

Se ci aggiungiamo il danno all’immagine, che aleggia sempre in modo spettrale, è difficile sperare che un allarme di questo tipo possa mai giungere nella nostra casella email…

@Umberto_Rapetto