Nel febbraio 2016 alcuni account riconducibili a dipendenti della banca centrale del Bangladesh inviano alla Federal Reserve di New York diverse richieste di trasferimento di fondi. Il denaro viene spostato “con un click” attraverso il network SWIFT (Society for Worldwide Interbank Financial Telecommunication) utilizzato da circa 11 mila banche e istituzioni finanziarie di tutto il mondo. Ottanta milioni finiscono su un conto della Rizal commercial bank, nelle Filippine. Altri 20 milioni arrivano alla Pan Asia Banking. Arriva una nuova richiesta ma il testo contiene un piccolo errore: “fandation” al posto della parola “foundation”. Il refuso insospettisce i funzionari della Fed che allertano i colleghi del Bangaldesh. Immediatamente vengono bloccati trasferimenti per un valore complessivo di 850 milioni di dollari.

Alla fine del 2013 sportelli bancomat di Kiev iniziano a distribuire banconote senza che nessuno inserisca carte per il prelievo. Qualcuno sa però in anticipo dove e quando i bancomat impazziranno ed è pronto sul posto per raccogliere il denaro. Sono solo due esempi di molti che si potrebbero fare sui cyber attacchi a banche e infrastrutture elettroniche dell'industria del credito. In relazione alle infiltrazioni nel sistema SWIFT il responsabile per la sicurezza Alain Desausoi ha affermato lo scorso settembre che “la minaccia (di cyber attacchi, ndr) è persistente, sofisticata e in costante evoluzione”. Questo tipo di pericolo è “here to stay”, ha concluso Desausoi invitando le banche ad innalzare il livello di sicurezza e protezione.

Il punto di svolta per questo genere di crimini è relativamente recente. Il salto di qualità è sotto gli occhi di tutti dal 2013 quando viene scoperto il sistema Carbanak, una vera e propria organizzazione criminale con ramificazioni in Russia ed Inghilterra che ha come obiettivo gli attacchi informatici banche. Il livello di competenze ed organizzativo è altissimo. Come quasi sempre accade Carabank si introduce nei sistemi tramite allegati e-mail la cui sofisticazione è però di altissimo livello, al punto da includere nei testi informazioni personali relative ai destinatari che le rendono estremamente credibili. Una volta all'interno del sistema possono passare mesi se non anni prima che accada davvero qualcosa. I cybercriminali spiano con attenzione dall'interno tutte le procedure e le modalità operative della banca. Si impossessano dei dati essenziali, imparano come muoversi. Quando tutto è pronto colpiscono.

I numeri del fenomeno
La società russa Kasperky a cui viene attribuita la scoperta del sistema Carabank ha affermato che le frodi orchestrate dal team Carbanak ammontano complessivamente a circa 1 miliardo di dollari. Sotto forma di compromissione degli sportelli bancomat, disposizioni per trasferimenti di fondi tramite Swift, o prelievi di contanti che poi non vengono addebitati sul conto. Secondo le stime gli istituti colpiti sono stati almeno 100, prevalentemente in Russia, Stati Uniti, Germania, Cina ed Ucraina. Comprensibilmente le banche cercano in ogni modo di non far sapere se hanno subito attacchi di questo genere, il danno reputazionale può fare molto più male di quello strettamente economico. Una vittima ha perso oltre 7 milioni di dollari a causa della manomissione di sportelli bancomat. Un'altra oltre 10 milioni per l'attacco alla sua piattaforma di online banking. Secondo fonti citate dal New York Times tra gli istituti colpiti ci sarebbero stati anche Jp Morgan Chase e Agricoltural Bank of China.

Secondo dati di PwC realtivi ai Financial Services dal 2013 ad oggi il numero di attacchi è sostanzialmente stabile. Gli incidenti registrati sono poco meno di 5000 all'anno ma mentre quelli che coinvolgono banche medio grandi sono stabili se non il lieve calo, il fenomeno risulta in crescita per gli istituti più piccoli. Quello che in generale aumenta sono i budget per cercare queste minacce. Sempre in base alle rilevazioni PwC l' incremento è stato dell'11% nel 2016 e del 67% se si considerano gli ultimi 4 anni. Oggi l'investimento medio per il miglioramento delle sicurezza informatica supera i 7 milioni di dollari l'anno. Cifre destinate a salire, non di poco, da qui al 2018 anche a causa dei nuovi obblighi regolamentari messi a punto dall'Unione europea. Come nei casi riconducibili a Carbanak i target iniziali dei cyber criminali quasi sempre i dipendenti delle diverse banche ingannati da allegati o link contenuti in e-mail.

I cyber-ricatti
Da qui, spiegano gli esperti PwC, si evince l'importanza cruciale della formazione e del training del personale. Meglio se realizzata anche con delle esercitazioni vere e proprie in cui si simulano attacchi il più possibile realistici. “Nove volte su dieci, spiega Giancarlo Russo fondatore di Neutrino, ad aprire la porta ai cyber attacchi sono errori umani. Il problema è che il livello di sofisticazioni di e-mail ingannevoli aggiunge livelli sempre più raffinati”.
Una modalità di cyber truffa che risulta in aumento è quella dei cosiddetti “ransomware” ossia software malevoli che “sequestrano” i dati della vittima. Ormai si possono acquistare per cifre irrisorie sul dark web, spesso chi li vende chiede poi una compartecipazioni ai profitti del riscatto. Nella forma primordiale i dati venivano rilasciati in cambio di un riscatto pagato quasi sempre in bitcoin (secondo voci non confermate diverse banche avrebbero messo da parte un “tesoretto” di monete digitali per far fronte anche ad eventualità di questo tipo). Come spiega Russo “in questi casi era però relativamente semplice difendersi, un buon sistema di backup dei dati poteva sostanzialmente annullare i danni dell'attacco . Quindi i cyber sequestratori di dati hanno optato per un nuovo tipo di ricatto: rendere pubblici i dati sottratti”.

Ransomware ancora più recenti chiedono invece come riscatto non soldi ma prendono che la vittima per liberarsi fornisca informazioni su altri soggetti da colpire. In generale dietro ai cyber attacchi ci sono hackers che agiscono per svariati motivi tra cui, ma non sempre, il denaro. Oppure ci sono assalti “State sponsored” ossia che hanno alle spalle nazioni , governi, servizi segreti. A inizio dicembre il servizio di sicurezza federale russo ha lanciato un allarme su possibili “massicci attacchi informatici volti a destabilizzare il sistema finanziario della Russia”. A sua volta Mosca è sospettata di essere l'artefice di diverse incursioni informatiche, tra cui, a titolo di esempio, il cyber attacco che qualche tempo fa bloccò alcune centrali elettriche in Ucraina.

Le contromisure
Di fronte a questi scenari , viene chiedersi fino a che livello possa innalzarsi la minaccia. Con istituzioni finanziare sempre più connesse e dipendenti da infrastrutture informatiche è possibile che prenda forma un attacco in grande di paralizzare l'intero sistema del credito? In teoria si, spiegano gli esperti di PwC, in pratica è molto difficile. Inoltre autorità di vigilanza come Banca d'Italia e

Banca centrale europea richiedono che vengano predisposti protocolli di emergenza che consentano alle banche di continuare ad operare normalmente per un certo periodo di tempo anche in una situazione in cui non è possibile appoggiarsi ai normali sistemi. In questo, sottolineano da PwC; il lavoro svolto dall'Autorità Banca d'Italia è ottimo e su livelli di eccellenza in Europa. “Teoricamente tutto è aggredibile, conferma Giancarlo Russo di Neutrino, e naturalmente più aumentano le connessioni più si moltiplicano le potenziali porte di ingresso. Ci sono software con cui vengono gestite infrastrutture militare che vengono volutamente mantenuti di fatto isolati dalla rete rendendone impossibili le intrusioni .

Naturalmente questo non è possibile per altri settori dove la limitata o mancanza di connettività rende infruibile il servizio”. Non è però neppure il caso di esagerare il pericolo precisa Russo che spiega “nessuna banca è sicura al 100% ma nessuna banca è totalmente esposta. Esistono diversi step di controllo non solo “informatici” ma anche umani e procedurali che sono in grado di arginare l'impatto dell'incursione”.

© Riproduzione riservata