Nell’intervista a Cristina Posa, Socia di RSM Forensic Investigations & Intelligence, vengono analizzate le principali minacce informatiche emerse nel 2024, sottolineando come il cybercrime sia diventato più accessibile e devastante grazie all’uso di strumenti legittimi come Cobalt Strike, cooptati da gruppi criminali. Posa evidenzia l’importanza della “cyber resilience” per le aziende italiane, che devono investire in formazione e soluzioni flessibili piuttosto che in costose tecnologie proprietarie. Si discute anche della crescente minaccia dei deepfake, sia nel contesto aziendale che personale, e del ruolo delle società private nel supportare le istituzioni pubbliche attraverso investigazioni informatiche e cyber threat intelligence. Infine, Posa esprime preoccupazione per l’influenza di grandi aziende tech come quelle di Elon Musk sulla sicurezza informatica del governo statunitense.
Cristina Posa: “Il cybercrime è diventato economico e facile: serve un approccio agile per contrastarlo”
Dottoressa Posa, lei ha una lunga esperienza di contrasto al cybercrime sia in ambito istituzionale che privato. Volendo fare un bilancio del 2024 con un occhio al 2025, quali sono i fenomeni più pericolosi emersi negli ultimi mesi e su quali servirebbe un immediato intervento di contrasto?
Il fenomeno più allarmante - e più insidioso - è quanto sia diventato economico e facile lanciare un attacco informatico devastante. Storicamente, il nostro apparato di sicurezza nazionale in Europa e negli Stati Uniti è stato progettato per limitare gli attori degli Stati nazionali che si celano dietro le Advanced Persistent Threats, e gli attacchi in corso da parte della Russia contro l’Italia e altri alleati come ritorsione per il sostegno all’Ucraina dimostrano chiaramente che questa
minaccia è ancora molto presente.
Allo stesso tempo, però, strumenti di cybersicurezza facilmente disponibili e generalmente legittimi, come Cobalt Strike, sono stati cooptati dalle bande di ransomware per lanciare attacchi con costi o competenze minime. Hanno dimostrato una notevole capacità di adattarsi, evolversi e mutare. A questo proposito, il nostro approccio nel settore privato deve rispecchiare quello dei nostri avversari, implementando sistemi di cybersicurezza agili e facilmente adattabili, basati su fonti di intelligence sulle minacce (Cyber Threat Intelligence) costantemente monitorate.
Partiamo dal mondo delle imprese, in particolare italiane: a che punto sono in termini di sicurezza informatica, quali sono i punti più vulnerabili e cosa dovrebbero fare per proteggersi meglio?
Oggi l’aspetto cruciale per le imprese italiane è la “cyber resilience”: la capacità di continuare a operare anche durante un attacco informatico. In altre parole, bisogna progettare i sistemi informatici in modo che possano reggere alle crisi e disporre di piani alternativi - i cosiddetti piani B e C - per le funzioni aziendali più critiche, come la supply chain o i fornitori strategici.
Tuttavia, la resilienza cyber non significa per forza investire budget faraonici: al contrario, è fondamentale trovare soluzioni che tengano a bada i costi e, contemporaneamente, rafforzino le competenze del personale interno. Questo può tradursi nell’utilizzo di tecnologie open source o persino gratuite, purché gestite da professionisti formati. Acquistare soluzioni proprietarie molto costose, ma non avere risorse specializzate in azienda, potrebbe rivelarsi un boomerang, lasciando paradossalmente aperte più vulnerabilità di quante se ne vogliano chiudere.
Ecco perché il vero investimento dovrebbe essere rivolto anche (e soprattutto) alle persone: formare team interni, aggiornare le competenze dei dipendenti e creare processi di risposta rapidi ed efficaci. Solo così si può costruire un sistema di difesa che sia solido, sostenibile nel lungo periodo e capace di adattarsi a nuove tecniche usate dai threat actors.
Uno dei crimini informatici in crescita anche in Italia è il deepfake, la manipolazione grazie all’AI di immagini create con intenti criminosi. Che rischi corriamo e come ci si può difendere?
Dal lato business, abbiamo visto alcuni incidenti deepfake di alto profilo, come ad esempio il deepfake del ministro Guido Crosetto per truffare importanti imprenditori, mostrando che è semplice ingannare le aziende ed i privati. Ma facciamo un errore se consideriamo i deepfake come una minaccia isolata e limitata alle truffe economiche, perché i deepfake nel contesto aziendale sono solo un nuovo strumento nell’arsenale in continua evoluzione dei criminali informatici. In effetti, ora stiamo passando da una fase di frodi deepfake una tantum ad attacchi deepfake coordinati, progettati per impiantare attori malintenzionati nei nostri sistemi informatici allo scopo di rubare sia dati che soldi.
A questo proposito, cito il fenomeno degli individui ed entità nordcoreane che hanno gestito una rete di lavoratori IT nordcoreani che utilizzavano l’intelligenza artificiale per camuffarsi da americani, un fenomeno che è emerso con la compromissione di KnowBe4, azienda IT internazionale. In questo caso, l’utilizzo di deepfake per accedere alle organizzazioni tramite l’assunzione dei nordcoreani -- che facevano finta di essere americani -- era solo la prima fase dell’attività di compromissione. Una volta assunti, o addirittura durante i colloqui di lavoro tramite software di videochiamate malevoli, questo gruppo di threat actors si concentrava sull’esfiltrazione di dati sensibili ed altre attività di spionaggio industriale.
La minaccia del deepfake, ovviamente, non è limitata solo al contesto commerciale. Sempre più donne e ragazze sono state vittime di deepfake porno che sfrutta le loro immagini senza il loro consenso per creare pornografia. Un’indagine condotta nel 2024 dall’azienda tecnologica Thorn ha rilevato che almeno uno studente di scuola superiore su nove conosceva qualcuno che aveva usato la tecnologia AI per creare pornografia deepfake di un compagno di classe.
Bellingcat, un collettivo di investigatori ed esperti open source, ha recentemente pubblicato un’indagine sull’economia del deepfake, che include un’analisi del sito web MrDeepFakes, che ospita decine di migliaia di video e immagini e riceve milioni di visite al mese. Quindi, ancora una volta, dobbiamo passare dalla mentalità di pensare al deepfake come un problema personale che riguarda solo poche vittime individuali a un fenomeno che sta abusando delle vittime su scala industriale.
A livello pubblico le insidie sono forse ancora maggiori: che cosa può fare una realtà privata come la vostra per aiutare le istituzioni a difendersi dagli attacchi degli hacker e tutelare i cittadini?
Il nostro contributo, in un contesto in cui le istituzioni affrontano minacce sempre più sofisticate, si concentra su attività ad alto valore aggiunto come investigazioni informatiche (forensics e incident response, ovvero risposta agli incidenti cyber) e cyber threat intelligence. Questo ci consente di intervenire in maniera mirata e di personalizzare le difese in base al reale livello di rischio.
A supporto di enti di ricerca, strutture sanitarie e aziende partecipate, il nostro approccio sfrutta una rete internazionale di fonti di intelligence, composta sia da CTI (Cyber Threat Intelligence) sia da Humint (Human Intelligence). In questo modo, non ci limitiamo a reagire agli incidenti in atto, ma siamo in grado di anticipare le mosse dei criminali, identificare i vettori di attacco più probabili e ottimizzare costantemente i controlli di sicurezza sulla base della minaccia effettiva.
In pratica, mettiamo a disposizione le nostre competenze per individuare e analizzare le tracce lasciate dagli hacker, e possiamo offrire un servizio di incident response in grado di intervenire tempestivamente per contenere il danno, ripristinare i sistemi e prevenire
ulteriori compromissioni. Allo stesso tempo, grazie al nostro network di cyber intelligence, aggiorniamo in tempo reale le contromisure necessarie a proteggere infrastrutture e dati sensibili.
Uno dei problemi emersi con l’elezione di Trump è la contiguità di big tech alla nuova governance. Secondo lei ci sono dei rischi per la sicurezza? E che pochissime aziende ad elevata tecnologia possano di fatto acquisire un potere superiore agli stessi governi, condizionandoli fortemente?
In questo momento una delle minacce più gravi per la sicurezza informatica del governo federale degli Stati Uniti è l’inserimento di Elon Musk e dei suoi colleghi, che non sono necessariamente dipendenti dello stato e non hanno le autorizzazioni di nulla osta di sicurezza necessarie per accedere a sistemi informatici sensibili, nelle operazioni quotidiane del governo.
Musk e i suoi seguaci, in genere giovani che erano stagisti o lavoratori presso le sue aziende private, si sono insinuati nel sistema di pagamento del Dipartimento del Tesoro e nell’Office of Personnel Management (OPM), il dipartimento delle risorse umane del governo federale. Inoltre, stanno cercando di accedere a informazioni altamente sensibili sui contribuenti dell’Internal Revenue Service e hanno richiesto l’accesso a sistemi classificati senza l’appropriato nulla osta di sicurezza.
Non abbiamo visibilità sulle misure di cybersicurezza adottate per proteggere questo accesso da hacker di Stati nazionali come la Cina, che ha già violato il sistema dell’OPM in un attacco massiccio nel 2015, o da gruppi criminali. Sappiamo però che il cosiddetto
Department of Government Efficiency (DOGE) di Musk ha licenziato molti esperti della United States Cybersecurity and Infrastructure Security Agency (CISA), responsabile della protezione del dominio .gov e di molti altri aspetti della sicurezza informatica degli Stati Uniti. Le potenziali vulnerabilità della sicurezza informatica derivanti da questa interferenza senza precedenti nell’infrastruttura informatica statunitense sono profondamente preoccupanti.
Cristina Posa indaga sui crimini informatici da quasi 20 anni, prima come procuratore federale a New York e come addetto del Dipartimento di Giustizia presso l'Ambasciata degli Stati Uniti a Roma, poi come avvocato presso Amazon e Meta, e ora come partner di RSM Italia, dove dirige le indagini informatiche. È anche esperta di criminalità informatica per il Consiglio d'Europa e conduce programmi di formazione internazionale per pubblici ministeri e investigatori. Si è laureata alla Harvard Law School e alla Johns Hopkins University.