NEWS

 
  • Home
  • Informazione
  • Primo Piano
  • Minacce Ransomware e DDoS: il faro dell’ACN che interessa anche Data Protection Officer e Privacy Manager

Minacce Ransomware e DDoS: il faro dell’ACN che interessa anche Data Protection Officer e Privacy Manager

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente pubblicato due rapporti monografici dedicati alle minacce cyber Ransomware (dicembre 2024) e DDoS (febbraio 2025).

Tali fattispecie, secondo l’ENISA (European Union Agency for Cybersecurity), rappresentano attualmente le principali minacce cyber per tutte le organizzazioni, pubbliche e private.

I due Report dell’ACN permettono alle componenti manageriali e, ancor più, tecniche delle organizzazioni (nonché al personale coinvolto) di acquisite una conoscenza articolata di tali armi usate dal cybercrime e approfondirne le dinamiche evolutive. Inoltre vengono fornite nel contempo, indicazioni organizzative e tecniche – utili per le funzioni di security IT - per impostare appropriate misure di difesa. Va da sé che, laddove le organizzazioni trattino dati personali, la materia interessa anche Data Protection Officer (DPO) e Privacy manager.

Ransomware - Il Ransomware è un tipo di malware teso a cifrare i dati di un sistema informatico, rendendoli inaccessibili fino al pagamento di un riscatto, solitamente richiesto in criptovalute. In alcuni casi, gli aggressori esfiltrano i dati prima della cifratura, utilizzandoli come ulteriore strumento di ricatto.

Negli anni, il modello criminale del ransomware si è evoluto significativamente: partito inizialmente tramite email di phishing con allegati malevoli inviati a un vasto pubblico, con richieste di riscatto relativamente basse, si assiste oggi al modello Ransomware-as-a-Service (RaaS) , in cui sviluppatori di malware offrono i loro servizi a criminali privi di evolute expertise IT, in cambio di una quota dei profitti.

Come accennato, la motivazione precipua degli attacchi ransomware è quella di ottenere un ritorno economico: le vittime vengono identificate fa quelle con particolari vulnerabilità di sicurezza IT oppure con ampie capacità economiche. L’evoluzione delle strategie criminali vede fra l’altro emergere anche il fenomeno della cd. Double Extortion: oltre a criptare i dati, gli aggressori minacciano di pubblicarli su piattaforme dedicate se il riscatto non viene pagato.

Secondo l'ENISA (dati al 2022) circa il 62% delle vittime ha negoziato con gli aggressori per il pagamento del riscatto. Nel suo Report l’ACN riporta come sia in aumento l’importo dei riscatti richiesti mentre il valore mediano di quanto versato ai cybercriminali sia di circa il 34% della richiesta iniziale.

Il Report evidenzia anche come non si possa escludere che alcuni attori possono ricorrere a strumenti e metodologie di attacco proprie di cybercriminali per mascherare il loro reale intento, quale ad esempio la conduzione di campagne di spionaggio o di destabilizzazione, sponsorizzati da entità statali. Addirittura nel Report si segnala come molte “ransomware gang evitino, per regolamento interno, di colpire enti o organizzazioni provenienti da Stati appartenenti al Commonwealth of Independent States (CIS)”, gruppo di alcuni Stati ex-sovietici.

In Italia, il ransomware è una delle minacce informatiche più diffuse. Nonostante sia difficile quantificare esattamente il numero di attacchi a causa della scarsa segnalazione, il CSIRT Italia ha registrato un aumento costante degli incidenti. Secondo i dati riportati, il nostro Paese risulta fra i primi in Europa per il numero di attacchi Ransomware, rappresentando il 12% dei casi totali europei; fra le organizzazioni più colpite vi sono in particolare le piccole e medie imprese, specie del settore manifatturiero.

Il mondo del crimine, i cybercriminali in primis, sono agevolati dalla possibilità di avvalersi di monete virtuali (o criptovalute) per le caratteristiche proprie di decentralizzazione e pseudoanonimità atteso che, per quanto le transazioni siano tracciate su blockchain che contiene lo storico dei movimenti, è arduo poter individuare chi vi sia dietro un wallet.

Le Autorità di diversi Paesi sono impegnate su questo versante e per l’UE vanno almeno citati il Regolamento 1116/2023 cd. "MiCAR" (Markets in Crypto-Assets Regulation) recepito in Italia con il Dlgs 129/2024 e le nuove disposizioni in materia di antiriciclaggio costituite dal cd. “Anti-Money Laundering Package” (incentrato sui Regolamenti UE 1620/2024, relativo all’ istituzione dell’Autorità per la lotta al riciclaggio e al finanziamento del terrorismo, e il Regolamento 1624/2024 sulla prevenzione dell’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo e alla Direttiva UE 1640/2024 relativa ai meccanismi che gli Stati membri devono istituire per prevenire l’uso del sistema finanziario a fini di riciclaggio o finanziamento del terrorismo).

Attacchi DDoS - Con riguardo agli attacchi Distributed Denial of Service, come emerge dal Rapporto dell'ACN questi sono diventati sempre più sofisticati e frequenti, colpendo ad ampio spettro: enti pubblici, aziende private e infrastrutture critiche. Il DDoS è una variante più potente della minaccia DoS, pur ancora utilizzata, da cui si differenzia in quanto l’attacco è condotto da un elevato numero di sorgenti di traffico multiple e distribuite, tale da rendere più difficile la conseguente mitigazione dell’attacco.

Un attacco DDoS mira a rendere inaccessibili i servizi online sovraccaricando le risorse del sistema con un flusso massiccio di traffico dannoso e può rivolgersi a saturare i servizi di connettività, le infrastrutture di rete e le difese perimetrali, le risorse applicative.

Secondo quanto riportato dall’ACN nel periodico bollettino Operational summary, relativo a gennaio 2025, la P.A. centrale è stata la principale vittima di attacchi cyber, in gran parte di tipo DDoS.

Le ragioni principali dietro agli attacchi DDoS possono essere economiche (anche in affiancamento al ransomware per fare maggiore pressione sulle vittime), ideologiche (incluso i contesti di guerre ibride) o anche personali.

Un attacco DDoS, pur non impattando sul patrimonio informativo (salvo che ne impedisce l’aggiornamento in tempo reale da fonti esterne) può avere gravi conseguenze:

- Interruzione dei servizi ovvero blocco di siti web, piattaforme digitali e servizi critici;
- Perdite economiche sotto la forma di danni finanziari diretti, penali contrattuali e costi di ripristino (oltre che di eventuali somme richieste dagli attaccanti);
- Danno reputazionale, in quanto viene compromessa la fiducia di clienti e investitori;
- Impatto sulla continuità operativa: in particolare settori come sanità, finanza e telecomunicazioni subiscono seri disagi che si riverberano sulla collettività.

Per contrastare efficacemente il Ransomware come il DDoS, ciascuno dei due Report dell’ACN richiama l’attenzione su una policy da articolare su tre gambe (suggerendo poi delle specifiche misure da considerare, specifiche per ciascuna minaccia, per mitigare il rischio): processi e strategie; soluzioni di sicurezza; controlli di sicurezza.
Ransomware e DDoS costituiscono minacce dinamiche e adattabili. La collaborazione tra istituzioni, aziende e professionisti della sicurezza è essenziale per affrontare efficacemente queste sfide e proteggere informazioni e sistemi IT.

Possono ricadere sotto tali minacce anche per la protezione dei dati personali e la conformità normativa. In questo contesto, i ruoli del DPO e del Privacy Manager assumono particolare rilevanza, in quanto sono chiamati a garantire che le misure di sicurezza individuate e adottate siano allineate alle esigenze di protezione della privacy e ai requisiti imposti dal Regolamento Generale sulla Protezione dei Dati (GDPR) e dalle normative nazionali.

Data Protection Officer - Lato DPO,  (ove previsto o comunque nominato) vi è la responsabilità fra l’altro:

- per quanto attiene alle misure di sicurezza, di vagliare se queste siano state definite tenendo conto anche delle contromisure per mitigare le minacce Ransomware e DDoS onde rispettare i principi di integrità, confidenzialità e minimizzazione dei dati personali;
- nel caso di esfiltrazione o corruzione dei dati sensibili durante un attacco, di garantire la propria expertise e collaborazione circa la notifica delle violazioni di dati all’Autorità Garante nei termini previsti dal GDPR e la comunicazione di eventuali impatti agli interessati se necessario (art. 34).
- ove coinvolto, supportare la valutazione d’impatto (DPIA) per identificare vulnerabilità critiche nei sistemi informatici e proporre misure tecniche ed organizzative per ridurre i rischi legati alle minacce cyber;
- perseguire e farsi anzi parte attiva con i diversi stakeholder interni ed esterni per garantire una gestione integrata delle crisi.

Privacy Manager - Con riguardo invece al Privacy Manager questi dovrebbe impegnarsi - d’intesa con le altre Funzioni interne coinvolte, da quella IT a quella organizzativa - fra l’altro per:

- impostare e monitorare processi chiari per la gestione delle minacce cibernetiche, assicurandosi che ogni fase dell’attacco sia affrontata con adeguati controlli di sicurezza e misure di protezione dei dati personali, in linea con le indicazioni fornite dall’ACN e dal Garante per la Protezione dei Dati Personali (e dalle altre Autorità previste dall’entrata in vigore delle diverse disposizioni europee afferenti il rischio cyber);
- formare il personale per aumentare la consapevolezza sui rischi associati alle minacce cyber e, almeno, al phishing, alle credenziali deboli e all’esposizione di dati sensibili.

La gestione efficace delle minacce cyber richiede una collaborazione stretta tra esperti di sicurezza informatica, Data Protection Officer e Privacy Manager. Solo attraverso una strategia integrata sarà possibile proteggere non solo le infrastrutture tecnologiche, ma anche i dati personali e la reputazione delle organizzazioni.

Oltre in primis alla conduzione della propria impegnativa attività istituzionale, l’ACN fornisce strumenti informativi molto utili per affrontare queste sfide. Come nota a margine, allora, per favorire una maggiore diffusione, fruibilità, accessibilità e utilizzo di Report come quelli qui illustrati, si segnala l’opportunità che:

1. documenti come quelli qui esaminati, vengano corredati anche della data di pubblicazione, consentendo alle numerose parti interessate di contestualizzarli temporalmente;
2. venga destinata un’area del portale ACN, facilmente navigabile e categorizzata per argomento (es. Ransomware, DDoS, Cybersquatting), per consentire l’agevole reperimento, sin dal momento della pubblicazione, di materiali rilevanti per le organizzazioni e la comunità di professionisti della sicurezza e della privacy. Tale area potrebbe essere un fine tuning di quella “Pubblicazioni” presente all’interno della sezione CSIRT Italia.

Infine, si segnala che per recenti casi di imprese, la cui continuità operativa è stata compromessa da ransomware, si è fatto ricorso anche alla Cassa integrazione guadagni ordinaria (CIGO) facendo emergere - come prontamente evidenziato da alcuni attenti osservatori - come una robusta cybersecurity sia uno strumento per perseguire la resilienza delle organizzazioni ma anche della sostenibilità del sistema di welfare.

La CIGO compete sostanzialmente alle imprese industriali ed edili, come si legge sul portale INPS, “per situazioni aziendali dovute a eventi transitori e non imputabili all'impresa o ai dipendenti, incluse le intemperie stagionali e per situazioni temporanee di mercato”. Due questioni si pongono allora alla riflessione: 1) ogni impresa dovrebbe farsi parte diligente nel perseguire la sicurezza dei propri sistemi IT per poter, laddove, sotto un attacco cyber di forza tale da impattare sulla propria operatività nonostante le misure adottate per la difesa dai rischi cyber, motivatamente chiedere all’occorrenza di fruire della CIGO; 2) in questo nuovo contesto connotato dalla interconnessione e apertura dei sistemi, poiché nessuna impresa può teoricamente essere immune da attacchi cyber non occorrerebbe allora pensare anche per loro – per la specifica evenienza cybercrime - a strumenti analoghi alla CIGO a tutela dei relativi dipendenti?

È una questione su cui occorrerebbe condurre una riflessione per verificarne prima la praticabilità e, poi, modalità di finanziamento, settori e criteri per l’erogazione. Andrebbe fatto appena possibile: la fantasia è oltre la realtà ma la realtà a volte supera la fantasia e scenari come quello della nuova serie TV “Zero Day” potrebbero non essere, in futuro, solo fantasia.

Note sull'Autore

Pasquale Mancino Pasquale Mancino

Componente del Gruppo di Lavoro per la privacy nella Pubblica Amministrazione. Nota: Le opinioni espresse sono a titolo esclusivamente personale e non coinvolgono l’Ente di appartenenza dell’autore

Articoli correlati

Prev La privacy by design come presidio di liceità della lead generation
Next WhatsApp, messaggi vocali e emoticons accettati come prova nei processi civili e penali, ma attenzione alla privacy

Galleria Video

Vademecum per prenotare online le vacanze senza brutte sorprese

Cerca Delegato

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Newsletter

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy

Federprivacy su X

Argomenti in evidenza