17 minute read
Rafforzare le strategie di sicurezza, un obiettivo necessario
Le recenti analisi confermano la diffusione di cybercrimini negli ambienti digitali legati al gioco pubblico: diventa sempre più importante investire nella formazione
di Daniele Duso
Nel mondo della cybersecurity, recentemente si è registrato un aumento di attacchi cybernetici e di attività fraudolente. Il numero di attacchi cibernetici è in costante crescita e il giro di affari relativo ad attività fraudolente sta interessando anche le piattaforme di gaming e gioco pubblico, registrando statistiche elevatissime. Un rapporto pubblicato dagli esperti dell’azienda di sicurezza Akamai evidenzia che circa 12 miliardi di attacchi cibernetici avvengono contro siti di giochi online. Questo fenomeno si accompagna ad un aumento dei profitti delle aziende che operano nel settore d’azzardo: il Global Games Market Report riporta che secondo gli analisti il mercato del gioco d’azzardo supererà i 200 miliardi di dollari entro il 2023. Cifra che sicuramente non passa inosservata ai criminali che usano la rete come campo d’azione, e la loro abilità a muoversi all’interno di ambienti informatici come grimaldello per entrare nel cuore delle aziende, creando danni ingentissimi, spesso irreversibili. Ne parliamo con Giuseppe Gorga, esperto di cybersecurity, privacy e diritto digitale, componente del Comitato scientifico dell’ente di formazione Juribit. “Gli esperti del settore informatico”, spiega Gorga, “denunciano che gruppi di criminali informatici adoperano strumenti automatici per codificare le credenziali provenienti dai data online, accedendo così agli account di molti players e svuotando i depositi monetari. Sembra che password di sicurezza e codici identificativi siano poco resilienti rispetto a questi attacchi. In molti casi, vengono adoperati botnet, cioè macchine compromesse con codici malevoli, al fine di accedere agli archivi di credenziali provenienti da violazioni di dati passate. Questa metodica è anche conosciuta come ‘credential stuffing’, ed è frequentemente impiegata per rubare identità e compromettere account”. Le utenze hackerate e collegate a una carta di credito o a un conto PayPal settate per transizioni automatiche e senza codici Otp, hanno per gli hacker un valore più elevato in quanto così il criminale potrà attingere ad ulteriori beni monetari dell’utente violato. Si
capisce come il mondo del gioco, in generale, sia uno dei più attraenti per i cybercriminali. “Non di rado, il mondo del gioco pubblico è anche pervaso da phishing, che di fatto si basa su email e messaggi malevoli che tentano di convincere i giocatori a fornire le proprie credenziali per la risoluzione di problematiche sul conto di gioco. In realtà, tramite questa modalità, l’hacker riesce ad estorcere le password di accesso ed a violare il conto gioco. Sempre più diffusi sono anche i malware, mascherati da programmi che promettono ai giocatori di ottenere vincite illimitate, come ad esempio sedicenti programmi per vincite automatiche alla roulette”. Quali sono i pericoli, in questo caso? “Queste app possono nascondere codici malevoli, che consentono agli hackers di prendere possesso del dispositivo delle vittime, ed accedere così anche ad altre applicazioni, come quelle bancarie, finanziarie e personali. Questi programmi sono spesso pubblicizzati su YouTube e Instagram, e sono scaricabili attraverso Torrent”. Ma i rischi non limitano a questo... “Oltre a tutte le vulnerabilità della cybersicurezza degli utenti dei giochi pubblici, non possiamo dimenticare che il novero dei reati informatici nel mondo del gambling include anche la possibilità di riciclare danaro attraverso le stesse attività di scommessa. Hackerando gli account, i criminali possono utilizzare il conto gioco per convertire i proventi di attività illegali, come denaro proveniente dai dati delle carte di credito rubate, in denaro scommesso e poi vinto nuovamente sui diversi servizi di scommessa. Spesso i criminali frazionano ingenti somme di denaro e utilizzano microtransazioni tra account e diversi circuiti monetari, rendendo così complesse le indagini delle forze dell’ordine”. Tutti questi recenti fenomeni hanno spinto le agenzie di gioco d’azzardo a rafforzare la sicurezza delle proprie infrastrutture informatiche, ha qualche esempio? “Sì, Playcasino, ad esempio, ha cominciato ad applicare criteri molto rigorosi per il pagamento e la sicurezza del giocatore. Il rafforzamento dei sistemi di sicurezza ad opera delle agenzie di scommessa non sembra essere sufficiente, ma risulta anche necessario che gli stessi utenti seguano delle prassi utili a proteggersi da tentativi di violazione da parte degli hacker”. Cos’altro può fare, quindi, un’azienda? “In primo luogo, è importante tutelare la cyber security e l’information security. Se l’information security riguarda l’insieme dei propri dati personali, la cybersecurity riguarda invece l’accesso malevolo di malware alla propria piattaforma, che determina il furto di dati. Le minacce alla cybersicurezza nel gaming online hanno un profilo di allerta molto alto, e per questo gli utenti per proteggersi sono chiamati ad usare tutta una serie di accorgimenti”. Possiamo elencarli? “Certo, in primo luogo occorre diffidare di software non attendibili o sospetti. Molti di questi sono piratati, violano la rete, il computer e le informazioni personali del proprio conto di gioco. Anche nell’utilizzo di applicativi scaricabili per il gioco online, gli esperti raccomandano l’utilizzo di piattaforme ufficiali per scaricare i giochi, e diffidare apps da terze parti. È importante quindi evitare gli account torrent e gli Url poco chiari, plug-in e trucchi. Ma di primaria importanza è anche la tutela del proprio profilo. Per proteggerlo, è raccomandato di non connettere diversi account tra loro, non ripetere stesse password per diversi account e non condividere informazioni riguardanti la propria identità nella comunità di players, poiché lì potrebbero esserci hackers in cerca di informazioni sensibili. Per questo, è importante usare avatar non riconoscibili”. Ci sono anche altri accorgimenti efficaci da mettere in atto? “Sì, bisogna essere attenti al phishing. Come accennavamo prima, è un tipo di crimine informatico dove l’autore attira il bersaglio in una truffa. L’utente viene così spinto a comunicare le proprie informazioni personali, i propri dati sensibili, password ed altre informazioni che dovrebbero in realtà essere protette e riservate. Gli esperti segnalano che il phishing, al pari degli altri contesti informatici (sistemi di pagamento, piattaforme di acquisti, et cetera), si possono presentare sottoforma di email, commenti YouTube e messaggi privati”. Come difendersi allora? “Per difendersi è importante usare sempre un’utenticazione multi fattore, fare spesso backup dei propri dati e non cliccare su Url sconosciuti. Gli Url sconosciuti possono inoculare Keylogging malware, quali programmi parassiti che entrano nel sistema e registrano la sequenza di tasti mentre viene eseguito il log in, rubando così password e informazioni private”. Per rinforzare la sicurezza degli utenti delle piattaforme di gioco pubblico infine possono entrare in campo le agenzie esterne, in prima linea per rinforzare la solidità dei sistemi di sicurezza? “Esempi di azioni che possono consolidare la sicurezza dei propri utenti sono il rafforzamento del supporto all’utente, l’impiego di Ssl crittografate, sicurezza backend, protezione delle transazioni ed adozione di licenze di software. Oltre a questo, un approccio integrato sulla problematica ingloba anche la necessità di maggiore informazione e formazione tra gli utenti delle piattaforme. È importante, altresì, che tutti i cittadini digitali e gli utenti della rete vengano formati ed informati su come navigare in sicurezza sulle diverse piattaforme, proteggendosi da eventuali tentativi di violazione dei propri dati. Ecco perché, alla luce di queste analisi, deduciamo chiaramente quanto possa essere importante investire ancora di più nella promozione di tutti quei percorsi formativi sulla cybersicurezza e sulla formazione di figure professionali preposte alla tutela giuridica e cybernetica degli utenti della rete”.
speciale
LUI CHI È?!? Il dottor Giuseppe Gorga è componente del comitato scientifico dell’ente di formazione Juribit, accreditato dal ministero della Giustizia in materia di formazione giuridica ed economica e formazione nelle nuove tecnologie. Da tempo si interessa di tematiche legate alla cybersecurity, alla privacy, al diritto digitale e ai crimini informatici. Consulente giuridico di varie associazioni, enti e strutture specializzate nel settore delle nuove tecnologie, è componente e responsabile dell’associazione nazionale dell’osservatorio Information Security Privacy.
Cybersecurity
la formazione è essenziale
ono tanti i modi attraverso i quali un malintenzionato con molta dimestichezza con l’informatica può far del male a un’azienda. Quando capita un’intrusione nei sistemi aziendali, in gran parte dei casi c’è a monte una disattenzione da parte di un utente (dipendente, magari non adeguatamente formato), ma non sempre. C’è da dire che gli hacker sono sempre più abili, e le strategie vanno da quella più semplice, che consiste nell’entrare in contatto con un dipendente, attraverso il cosiddetto social hacking, a quella più complessa, che porta a un attacco mirato, dopo aver individuati il bersaglio. Se per quest’ultima categoria non c’è molto da fare se non agire il prima possibile dopo aver accertato l’attacco, magari affidandosi al miglior esperto in circolazione, per tutti gli attacchi che possiamo circoscrivere al social hacking molto si può fare. Anzi, molto può fare qualunque dipendente, se adeguatamente formato. Occorre infatti inizialmente “sapere quali sono i rischi ai quali si può andare incontro e come si possono prevenire”, spiega Gabriele Belloni, consulente esperto di cybersecurity attualmente responsabile delle sicurezza informatica di OneDay Group (che ha al suo interno realtà come ScuolaZoo, WeRoad, ZooCom, attive nella creazione di servizi per i Millenials e la Generazione Zeta). “L’hacking che va sui grandi numeri punta non tanto sulle debolezze del sistema informatico, quanto sulla collaborazione indiretta (o diretta, anche se involontaria) da parte di qualche dipendente”, spiega Gabriele Belloni, “questo è il social hacking, che punta aziende ma anche normali cittadini. Qui il punto debole è l’utente (inesperto o ignorante), le procedure (insufficienti o assenti) o il modo in cui gli utenti applicano le procedure”. E qui gli esempi tratti tutti da esperienze reali, fioccano. “Le aziende solitamente hanno un Password management system con un accesso che richiede l’autenticazione in due fattori. Una volta dentro si ha accesso a tutte le password condivise. Quante volte, per bypassare la verifica in due fattori, capita di vedere password passate tramite bigliettini, chat o social network?” Perché spesso nelle aziende il sistema di difesa c’è, ma l’utente non lo usa, o lo usa male. “Un altro esempio”, continua Belloni, “un hacker si finge un collega, o un capo, dice di trovarsi all’estero, tipo in Braile, e chiede l’invio della password. Quanti sono quelli che si prendono la briga di verificare che dall’altra parte ci sia davvero un capo, o un collega, e magari gli ricordano che può accedere alle password tramite il Pms?” La regola dovrebbe essere che di fronte a una richiesta strana, o sospetta, si dovrebbe procedere con una verifica tramite canali sicuri. “Invece pochi lo fanno, e la pandemia ci ha messo suo”, spiega Belloni. “La gente non è più fisicamente nello
stesso posto, non riesce più a valutare se una richiesta sia strana o meno, mettiamoci poi che con i superiori è S più difficile fare un passaggio di verifica e qui la frittata è fatta: si passa la password tramite chat, e l’hacker ottiene quello che cercava”. L’hacker può arrivare a controllare i profili social e carpire informazioni che poi possono essere utili per conquistare la fiducia di un dipendente. “A volte utilizzano Whatsapp o altre app di messaggistica, che sono ritenute confidenziali e sicure. Attraverso il social hacking riescono ad aggirare anche l’autenticazione a due fattori, facendosi di fatto aprire le porte dell’azienda da un complice inconsapevole. Così ha fatto l’hacker che, qualche anno fa, con una mail fasulla ma credibilissima, ha sostituito il suo iban con quello di un fornitore”. Ma occhio anche ad altri potenziali accessi. “Ad esempio la rete wifi guest”, continua Belloni, “per la quale spesso la password non si cambia mai e talvolta non ci sono impostazioni a livello di firewall, un hacker abbastanza esperto tramite wifi può accedere a livelli aziendali. Soprattutto se non c’è alcuna limitazione d’accesso tra rete internet e rete intranet”. Occhio poi ai documenti condivisi, aggiunta l’esperto, “mai condividere documenti aziendali su email personali, che spesso non hanno le protezioni che ci sono sulle mail aziendale”. Ognuno ha la propria responsabilità, proporzionale al livello che ricopre in azienda, “ma ognuno può fare danni seri se non sa o non sta attento”, chiosa Belloni, “per questo credo la miglior difesa sia puntare sulla formazione, che crea consapevolezza. Chiunque, anche uno stagista, se inconsapevole, può essere un anello debole nella sicurezza informatica aziendale”. (Dd)
Dall’hacker “camuffato” da fornitore al “capo” che chiama dal Brasile, attenzione e informazione possono aiutare a sventare i più comuni attacchi informatici
COVER STORY
Così sono cambiati il gioco e i giocatori
DA LUISS BUSINESS SCHOOL E IPSOS UN NUOVO FOCUS SUL COMPARTO DEL GIOCO PUBBLICO, PER COMPRENDERNE IL CAMBIAMENTO E COMBATTERE L’ILLEGALITÀ
Comprendere l’evoluzione del settore del gioco, soprattutto nel post pandemia, e combattere tutte le forme di illegalità a tutela sia dei consumatori che degli esercizi commerciali. È il duplice obiettivo, di ancora più scottante attualità vista l’attenzione e l’attesa verso l’annunciato riordino normativo dell’offerta di gioco, perseguito da Luiss business school e Ipsos - la società di ricerche di mercato Ipsos - nell’ambito dell’Osservatorio sui mercati regolati.
Con una nuova ricerca, che segue il primo rapporto dello scorso luglio 2021, suddivisa in una doppia analisi. La prima, curata da
Ipsos, ha coinvolto 300 imprese impegnate nella distribuzione del gioco tra esercenti, bar, tabaccherie, ricevitorie, sale gioco e sale scommesse, mentre la seconda, elaborata sulla base di un modello econometrico sviluppato dalla Luiss business school, ha definito il profilo del giocatore tipo, grazie a dati forniti dall’Agenzia delle dogane e dei monopoli e dall’Istat.
“Dalla nostra indagine”, spiega il presidente di Ipsos, Nando Pagnoncelli, “emerge una differente percezione dell’illegalità nel mondo del gioco: il 70 percento degli operatori pensa che questo fenomeno riguardi principalmente il canale fisico e che si sia propagato soprattutto durante il periodo pandemico, con conseguenze ritenute gravi per la diffusione del malaffare. I risvolti negativi sono poi ulteriormente rafforzati dalla convinzione presente nel 70 percento della popolazione e nel 79 percento degli esercenti, che non sia facile intercettare e punire fenomeni di illegalità, che inoltre sono socialmente tollerati, situazione che indebolisce la capacità della rete distributiva del gioco legale evidenziando delle fragilità di cui è bene tenere conto nel futuro”.
Sempre secondo quanto rilevato da Ipsos, il settore del gioco si conferma pesantemente toccato dagli effetti della pandemia: solo il 35 percento degli esercenti dichiara di essere soddisfatto dell’andamento della propria attività e un esercente su sei ha dovuto ridurre il personale (17 percento), e solo il 3 percento lo ha incrementato. Ripercussioni che potrebbero riverberarsi negativamente anche sul territorio con la diminuzione dei punti vendita e il proliferare di attività illegali. Dato, questo, ulteriormente enfatizzato da Ilaria Ugenti, corporate reputation leader di Ipsos, evidenziando la “forte sofferenza economica” che emerge dalle valutazioni degli esercenti sull’andamento degli ultimi tre mesi, rapportati al periodo prepandemico. La maggior parte delle attività sono a conduzione familiare, con due o tre dipendenti al massimo: il 17 percento di loro non è riuscito a preservare il numero degli occupati ed è stato costretto a licenziare. Per quasi tutti gli operatori intervistati “senza il loro esercizio il territorio avrebbe un grave danno, anche in termini di luogo di aggregazione”. Dalla lettura del Rapporto, inoltre, risalta anche la riduzione della spesa dei giocatori, per il 42 percento. Molti infatti si rivolgono all’online”. Ancora, in tema di illegalità, “il 75 percento degli esercenti ritiene che a livello nazionale il problema sia molto serio, meno evidente e presente a livello locale, dove l’esercente si sente presidio di legalità. La chiusura durante la pandemia ha sicuramente accesso i riflettori sul fenomeno, ma il danno non è solo economico, in quanto alimenta la criminalità e danneggia fortemente il cittadino/utente. Gli esercenti quindi auspicano un’azione congiunta tra aziende concessionarie e istituzioni e una serio programma di formazione sui pericoli del gioco illegale”. Attraverso
un modello econometrico elaborato dalla Luiss business school è stato, inoltre, possibile determinare le caratteristiche (individuali e non) dei giocatori, l’influenza del reddito familiare pro- capite e della spesa ricreativa pro-capite sulle diverse tipologie di gioco, nonché l’evoluzione di tale spesa su base annua e per area geografica, grazie ai dati collezionati dall’Agenzia delle dogane e dei monopoli e dall’Istat, nel periodo 2011-2020. Raffaele Oriani, referente scientifico del progetto di ricerca sul settore del gioco e associate dean della Luiss business school, commenta: “Dall’analisi dei dati emerge il racconto di una popolazione di consumatori che considera il gioco sempre più come un bene ‘normale’ e un bene ‘necessario’, quindi parte del proprio tempo libero, ineliminabile dunque dal paniere dei consumi.” Il professore Oriani segnala inoltre che “per combattere l’espansione del gioco illegale è necessario garantire una regolamentazione attenta, in particolare ai comportamenti dei giocatori e alle evoluzioni tecnologiche”.
LA PERCEZIONE DELL’ILLEGALITÀ GLI EFFETTI DELLA PANDEMIA SUGLI ESERCIZI
70%
il 70% degli operatori pensa che l’illegalità riguardi principalmente il canale fisico
79% 70%
il 79% degli esercenti
e il 70% della popolazione ritiene non facile intercettare e punire fenomeni di illegalità
35%
solo il 35% degli esercenti è soddisfatto dell’andamento della propria attività oggi
17%
uno su sei ha dovuto ridurre il personale (17%)
3% 20%
e solo il 3% lo ha incrementato il 20% si dichiarano “non soddisfatti”
61%
il 61% lo sono “meno”
Preoccupati ma non troppo
La pandemia ha messo a dura prova gli esercenti di gioco ma, guardando agli ultimi tre mesi, non si coglie una marcata insoddisfazione per l’andamento del business, per quanto la maggior parte sia lontana dai livelli pre-pandemia. Il 20 percento non sono soddisfatti, il 35 percento lo sono, il 61 percento lo sono “meno”. Questo quanto emerge dal Rapporto Luiss-Ipsos, che evidenzia anche come, in tema di occupazione, nella quasi totalità dei casi i punti vendita hanno almeno un dipendente. Per l’80 percento degli esercenti il numero di addetti è rimasto invariato rispetto al periodo pre-pandemia. Inoltre, dal report di LuissIpsos emerge che la pandemia ha inevitabilmente cambiato le abitudini di gioco, sia come spesa sia come luoghi di gioco, penalizzando su entrambi i fronti i punti vendita. Quanto alla percezione della diffusione dell’illegalità, il giudizio espresso degli intervistati è ben diverso quando si considera il proprio territorio rispetto al resto del Paese. Ad ogni modo vi è la chiara percezione che il problema ci sia e sia ben diffuso, analogamente a quel che pensano i cittadini. La percentuale infatti tocca quota 75 (fra il molto e l’abbastanza) relativamente alla diffusione del gioco illegale nel Paese, e scende a 26 quando si guarda alla “propria zona”. Un fenomeno comunque ritenuto grave, con pesanti conseguenze non solo di tipo economico, andando ad alimentare il crimine. Poi, si conferma anche tra gli esercenti la convinzione che individuare forme di illegalità sia tutt’altro che facile, senza fare grandi distinguo tra tipologia di giocatori. Per oltre la metà di loro infatti, appare “poco probabile” che un giocatore, che gioca in situazioni illegali, venga scoperto e punito da parte dell’autorità competente. Infine, un importante punto di convergenza di opinione tra esercenti e popolazione: il gioco illegale è equiparabile a un vero e proprio reato, ma per contrastare il fenomeno le sanzioni non possono essere l’unica azione su cui fare leva. Bisogna inasprirle, sì, ma anche favorire azioni congiunte di contrasto all’illegalità tra le aziende che offrono i giochi e le istituzioni pubbliche, avviare azioni continuative di divulgazione di informazioni per far comprendere i danni economici per l’industria del gioco e il territorio derivanti dal gioco illegale.
La ricerca completa è disponibile qui:
Il sottosegretario Freni: «Regole senza pregiudizi e a tutela di legalità e fasce deboli»
“La classe politica e il Governo devono prendersi finalmente la responsabilità. Io non sono un politico ma voglio portare a termine questo lavoro finché rimarrò in carica”. A ribadire, in occasione della presentazione romana del Rapporto LuissIpsos, il proprio impegno nei confronti dell’atteso riordino dell’offerta del gioco, è Federico Freni, sottosegretario di Stato per l’Economia e le finanze. “Il gioco è un comparto industriale a livello di gettito e nessun settore ha ricevuto questo trattamento da parte del Governo. Ora va dimostrato che il settore sa regolamentare in maniera matura, a-pregiudiziale e uniformata a livello europeo. La legge delega è la mia ricetta che giace sul tavolo della Ragioneria di Stato e dovrebbe vedere la luce entro la prima metà di febbraio al netto di quello che accadrà al Governo. Noi però dobbiamo lavorare su una coscienza sociale che deve maturare e deve far riflettere sul fatto che il settore porta lavoro, gettito fiscale e fa parte delle abitudini dei cittadini. Bisogna aumentare questo tipo di consapevolezza”, rimarca il sottosegretario, secondo il quale, però, “l’industrialità del settore non può prescindere dal contrasto al gioco illegale e al disturbo dal gioco d’azzardo. È doverosa la tutela dei giocatori e delle fasce più deboli. Senza questi presupposti costruiremmo una casa sulla sabbia”, puntualizza Freni. “Questi saranno i punti di partenza, ma si potrà arrivare al traguardo se il settore insieme alla politica vorrà costruire una regolamentazione stabile ed omogenea”.
