Ciberattacchi contro le autorità – l’essenziale in breve

I ciberattacchi possono colpire tutti – comprese le autorità

Possono, ad esempio, mandare offline un sito web, ma anche paralizzare l’intera rete informatica. Oltre a causare danni finanziari, i ciberattacchi hanno gravi conseguenze, in particolare quando informazioni confidenziali finiscono nelle mani sbagliate: perdita di dati, interruzione di sistemi, pretese di responsabilità civile dovute a una violazione della protezione dei dati o danno alla reputazione sono alcuni esempi.

Per penetrare nei sistemi informatici, gli aggressori ingannano i collaboratori delle autorità interessate spingendoli a eseguire operazioni contro la loro volontà, ad esempio aprire un allegato di posta elettronica, cliccare su un link, fornire dati personali come le password o effettuare un pagamento. Questo metodo comune è detto ingegneria sociale («social engineering»).

Metodo comune: ingegneria sociale

Gli aggressori si informano in anticipo sulla struttura amministrativa in cui lavora la vittima. Ciò avviene spesso tramite informazioni liberamente disponibili (ad es. sul sito web dell’Amministrazione comunale o sui social network). La vittima, accuratamente scelta dagli aggressori, si trova quindi di fronte a uno scenario creato su misura. Gli hacker tentano, ad esempio, di impossessarsi dei nomi utenti e delle password, spacciandosi al telefono per collaboratori di un’impresa di software. Informando della presenza di seri problemi informatici e fingendo di conoscere il sistema operativo, gli aggressori confondono la vittima fino a convincerla a rivelare le informazioni desiderate. A volte, nelle loro e-mail o chiamate, si servono anche dei nomi di unità amministrative, come l’amministrazione delle contribuzioni, o di fornitori di energia. 

Tipi di manipolazione

Gerarchia

Il truffatore sfrutta la struttura gerarchica di un’organizzazione per esercitare una certa pressione. Spesso si finge un’altra persona, ad esempio un superiore, e chiede al collaboratore di rivelare informazioni sensibili o di trasferire denaro.

Urgenza

La vittima è indotta ad agire in fretta. 

Avidità/Curiosità

La vittima è invogliata ad aprire un allegato o a cliccare su un link con la promessa di un premio o di una sorpresa. 

Paura/Rabbia

Se la vittima ignora la richiesta, il truffatore la minaccia di andare incontro a gravi conseguenze. Lo scopo è indurre la vittima a cliccare su un link infetto facendole credere che è l’unico modo per evitare tali conseguenze. 

Coinvolgimento emotivo

La situazione coinvolge emotivamente la vittima, che è spinta a intervenire ad esempio per risolvere un problema.

Misure di protezione tecniche e organizzative

Naturalmente, gli attacchi informatici non sono causati solo dai collaboratori, ma anche da sistemi informatici non sufficientemente protetti. 

Una panoramica delle misure di protezione tecniche e organizzative si trova in questa pagina: 
Promemoria sulla sicurezza delle informazioni per le autorità

Le minacce più comuni 

Se i cibercriminali riescono a infiltrarsi nel sistema informatico, le minacce più comuni sono le seguenti:

Ultima modifica 09.12.2021

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/infos-fuer/infos-behoerden/aktuelle-themen/cyberangriffe-gegen-behoerden.html