Cybercrime as a service: quando il crimine diventa un servizio

Nel XXI secolo si è ormai consolidata la commistione tra criminalità e digitale, tanto da indurre il legislatore ad ampliare il novero delle norme volte a tutelare gli utenti e le aziende dalla criminalità informatica.

Cosa si intende per cybercrimine? Si tratta di un’operazione criminale avente lo scopo di colpire o utilizzare, per scopi malevoli, un computer, una rete di computer oppure un dispositivo connesso alla rete internet.[1]

Le ragioni sottese a questo fenomeno sono perlopiù economiche e politiche poiché, nella stragrande maggioranza delle casistiche, hackers, crackers, singolarmente o in gruppo, perseguono finalità di profitto.

 

Una nuova realtà economica: il cybercrime as a service

L’orizzonte della criminalità informatica si è evoluto, dalla sofisticazione degli accessi abusivi alle reti telefoniche, in un’attività online oggetto di gestione e organizzazione. Tant’è che i criminali informatici stanno attualmente offrendo servizi e strumenti di hacking a chiunque sia disposto a pagarli o dividere i profitti. Il cybercrime-as-a-service è ormai una realtà economica affermata, con i suoi operatori, le sue regole e i suoi listini prezzi.

Gli strumenti malevoli possono essere utilizzati con un minutaggio preciso e addirittura tramite contratto di locazione per pochi dollari. Ad esempio, per il noleggio di un Booter DDoS, la cifra solitamente richiesta è di circa 60 dollari al giorno che diventano 400 dollari nel caso si voglia noleggiarlo per una settimana.Le casistiche variano a seconda della precisione del kit software. Chi intende acquistare qualcosa per attacchi di piccola dimensione, con tempi limitati, può comprare un kit di malware di fascia bassa che ha un prezzo modico: meno di $ 100.

Per quanto possa apparire ironico, il quadro appena descritto è pura realtà; i forum sotterranei pullulano di annunci del genere, una chiara indicazione di quanto sia fiorente l’economia del dark web.[2]

Proprio di recente, un ventottenne ucraino è stato estradato negli Stati Uniti con l’accusa di associazione a delinquere, accesso non autorizzato a dispositivi informatici e contrabbando di password, a dimostrazione che, anche nel caso concreto, il fenomeno è tangibile.[3]

 

Il Cybercrimine in Italia: il dossier del Viminale

Il 15 agosto 2021, a Palermo, si è svolta la riunione del Comitato nazionale per l’ordine e la sicurezza pubblica che, in virtù dei dati forniti dal documento ufficiale [4], «offre un quadro riassuntivo delle attività e delle iniziative di tutte le componenti del ministero dell’Interno».

All’interno del topic relativo alla criminalità, i crimini informatici nel 2021 sono aumentati del 27,3%, per un ammontare di oltre 202 mila casi; in quello dedicato alla sicurezza informatica, si segnalano 5 mila attacchi rilevati e oltre 102 mila alert diramati; nella sezione dell’antiterrorismo, sono ben 61 mila i contenuti web monitorati e 208 quelli censurati. Una parte del dossier è poi dedicata interamente alla pedopornografia online, a proposito della quale, nello stesso anno, i siti oggetto di denuncia sono stati 2490, le perquisizioni 1317, gli arresti 144 e i denunciati 1541.

L’aumento della percentuale di criminalità informatica nei contesti privati e pubblici, è un rischio sia per l’incolumità delle persone fisiche che delle persone giuridiche.[5]

 

Come tutelarsi: il D.LGS 231/01 e i recenti aggiornamenti

L’adozione dei modelli organizzativi 231 redatti ai sensi del D.lgs. 231/2001  riguardanti i profili di responsabilità degli enti e delle imprese relativi a reati commessi o tentati nell’interesse o a vantaggio della società di amministrazione e/o dei dipendenti al fine di salvaguardare le Società e gli Enti da eventuali reati commessi dai propri dipendenti, sono da sempre il fulcro della protezione dai crimini di matrice informatica.

Il 30 giugno 2021 il Ministero della Giustizia ha pubblicato le nuove Linee Guida di Confindustria[6] riguardanti sia la parte generale che quella speciale dei modelli organizzativi di gestione e di controllo con interventi e approfondimenti puntuali su diversi temi, in particolare l’adeguamento al Regolamento Europeo per la Protezione dei Dati (REG. UE 2016/679) e alle disposizioni privacy, indicato dalle stesse come un efficace presidio di controllo di carattere generale e trasversale a tutte le aree sensibili, utile per la prevenzione dei reati presupposto della responsabilità degli enti ai sensi del D.lgs. 231/2001.

Ciò che risalta dalla lettura delle Linee Guida è una particolare attenzione all’adempimento degli obblighi previsti dal GDPR, tanto da diventare uno degli elementi che devono essere verificati nella valutazione dell’adeguatezza dei modelli organizzativi al fine di escludere la responsabilità dell’ente.

A titolo di comparazione e di probabile riflesso sulla cultura occidentale, la legge sulla cybersicurezza australiana prevede una finalità normativa volta ad aumentare la responsabilità delle figure apicali aziendali; il titolare organico, infatti, non può esimersi dalle fattispecie criminose se ne ha autorizzato le cause.

In ultimo, ma non per importanza, il miglioramento dell’efficienza dei modelli organizzativi richiesti dal decreto 231, tramite l’adozione di sistemi di certificazione tra i quali – in materia di sicurezza informatica – la ISO 27001 e la ISO 37001 aventi ad oggetto, rispettivamente, i sistemi di sicurezza delle informazioni e anticorruzione.

Sorge dunque spontaneo un dubbio: perché rischiare un’accusa di negligenza, imprudenza ovvero imperizia se esiste un modello organizzativo utile a prevenirne l’assunzione di responsabilità?[7]

 

 

[1] F. Peluso, la responsabilità nei nuovi reati informatici, pp. 12 ss.

[2] Si consiglia, al fine di una disquisizione più lineare la lettura What is Cybercrime as a Service? (makeuseof.com); What is Cybercrime as a Service? (makeuseof.com); Dossier Cybercrime as a Service.pdf (mit.edu)

[3] Per maggiori informazioni v. Estradato negli Stati Uniti l’autore di una pericolosa botnet – macitynet.it

[4] V. Documento ufficiale (interno.gov.it)

[5] Per ulteriori informazioni sul tema trattato v. Cybercrime Italia, i dati del dossier del Viminale

[6] In subiecta materia si consiglia la lettura del testo linee-guida-231-2001.pdf

[7] Al fine di una lettura comparata del fenomeno v. Company directors: liability for cybersecurity negligence – ICTLC

ICT Cyber Consulting
ictcc_WP@ictcyberconsulting.com