Dai finti agenti alle ‘sextortion’, boom di truffe informatiche

La criminalità che corre nel web è un fenomeno in sensibile crescita: solo nel primo semestre di quest'anno, l'Ufficio federale della cybersicurezza (Ufcs) ha ricevuto 30'331 notifiche di cyberincidenti a fronte di 16'951 per lo stesso periodo del 2022.

I tentativi di truffa più comuni? Offerte d'impiego farlocche e telefonate di finti agenti di polizia come anche numerose "truffe del Ceo", un fenomeno particolarmente perfido di raggiro che prende di mira i collaboratori di una società addetti ai pagamenti; questi ultimi vengono indotti ad effettuare versamenti su ordine spedito via e-mail da un falso superiore gerarchico cui è stata sottratta l'identità.

Svizzera nella media

"Le segnalazioni di incidenti informatici con danni aumentano in media del 30% all'anno", ha affermato ai media il direttore dell'Ufcs, Florian Schütz, precisando che nel confronto internazionale, "la Svizzera si situa nella media".

A dimostrazione della crescente importanza del fenomeno, il 1° gennaio di quest'anno l'ex Centro nazionale per la cybersicurezza, che in precedenza faceva capo al Dipartimento federale delle finanze, è stato trasformato nell'Ufcs, ora integrato nel Dipartimento federale della difesa, ha rammentato Schütz, sottolineando l'importanza di questo passaggio che ha rafforzato la lotta alla prevenzione e al contrasto alla cybercriminalità.

... ma ancora scarsa sensibilità

Tuttavia, c'è ancora molto da fare, anche perché la Confederazione è una preda interessante per i criminali, perché girano molti soldi, ha aggiunto l'alto funzionario. I sistemi informatici rimangono infatti altamente vulnerabili. La capacità dell'economia, delle autorità, del sistema educativo e del pubblico in generale di reagire nel cyberspazio è ancora fiacca.

Le scappatoie esistenti spesso permettono ai malintenzionati di avere successo, con conseguenti danni economici significativi e un elevato rischio di guasti alle infrastrutture critiche nazionali, ha lamentato il direttore dell'Ufcs. La scorsa settimana, ad esempio, il Consiglio federale ha sottolineato gli errori commessi dalla Confederazione in relazione all'attacco informatico del gruppo di hacker "Play" contro l'azienda bernese Xplain. L'azienda stessa non è stata esente da colpe, come anche gli uffici federali interessati.

Gli attacchi in cifre

Stando ai dati forniti dall'Ufcs, oltre alle truffe più comuni di cui si è accennato, anche il numero di annunci di phishing è più che raddoppiato rispetto all'anno precedente, passando da 2'179 nel 2022 a 5'536 nel 2023, sottolinea una nota odierna dell'Ufcs. Va menzionato in particolare il cosiddetto phishing a catena: i phisher utilizzano caselle di posta elettronica compromesse per inviare e-mail a tutti gli indirizzi registrati. Poiché i destinatari conoscono l'indirizzo elettronico del mittente è più probabile che cadano nella trappola. La casella di posta elettronica del destinatario viene quindi violata a sua volta e l'elenco dei contatti viene utilizzato come prima.

L'Ufcs ha anche ricevuto un numero crescente di segnalazioni di tentativi di frode che utilizzano l'intelligenza artificiale. In questo caso si utilizzano immagini generate dall'intelligenza artificiale nei tentativi di "sextortion", o estorsione a sfondo sessuale; talvolta i criminali informatici si spacciano al telefono per personaggi noti o realizzano truffe all'investimento inducendo la loro vittima a investire denaro in transazioni commerciali fraudolente. Sebbene il numero di segnalazioni in questo settore sia ancora relativamente basso, secondo l'Ufcs siamo confrontati con i primi tentativi di esplorare l'uso criminale dell'IA per realizzare futuri attacchi informatici.