Determinare l’impatto economico dello spionaggio digitale (politico o industriale) e, in generale, del cybercrime non è semplice, soprattutto perché, relativamente a determinate attività, non esistono sufficienti dati storici cui fare riferimento. Il Csis-Center for Strategic and International Studies (organizzazione americana di studi strategici in diversi ambiti, dalla salute alla tecnologia, focalizzata sulla sicurezza) ha realizzato due studi per indagare il fenomeno: The Economic Impact of Cybercrime and Cyber Espionage, del luglio 2013, e Net Losses: Estimating the Global Cost of Cybercrime, del luglio 2014, delineano gli elementi da considerare per la determinazione di questo impatto, identificando sei principali tipologie di danno (analizzate di seguito nel dettaglio) che possono derivare da un’azione criminale digitale.
Dalla comparazione di diverse fonti, si stima che il valore economico generato annualmente da Internet (a livello mondiale) vada dai 2 ai 3 trilioni di dollari; sulla base degli studi effettuati nel corso di questi ultimi due anni (analizzando migliaia di report di aziende o Stati che hanno subìto attacchi informatici e i dati forniti da enti nazionali di vari paesi) e considerando le sei tipologie di danno, il Csis stima che il danno derivante dal cybercrime si possa collocare in un range tra il 15% e il 20% del valore complessivo generato da Internet e valuta che possa rappresentare una quota intorno allo 0,8% del prodotto interno lordo globale (circa 600 miliardi di dollari; per comprenderne la portata può essere utile sapere che è molto vicino al valore di una delle attività criminali più lucrose, il traffico di stupefacenti). Lo studio del 2014 riporta delle stime anche a livello di paese, con l’avvertenza che, sempre a causa della disponibilità o meno di serie storiche di riferimento, la loro attendibilità è variabile: negli Usa, in Germania e in Cina (massima attendibilità) la percentuale sul Pil è rispettivamente 0,64%, 1,60% e 0,63%; in Italia, dove però la stima ha un livello basso di attendibilità, è dello 0,04% (vedi figura nelle pagine successive).
Vediamo ora le singole tipologie di impatto dove, al di là dei valori strettamente economici, è interessante indagare quali sono gli elementi che possono caratterizzare il danno per ciascuna di esse.
1. Furto di proprietà intellettuale
È uno dei danni più insidiosi e più difficili da valutare: prima di tutto perché il valore stesso della proprietà intellettuale (soprattutto quando è ancora a livello di ideazione e progetto) è di complessa determinazione; in secondo luogo perché, sia a livello di Stato sia a livello di singola azienda, la consapevolezza del furto avviene quasi sempre in un lasso temporale molto successivo al momento in cui la sottrazione di un piano di ricerca o di un progetto viene perpetrata (e quindi è difficile capire l’entità del danno, che può dipendere, per esempio, dallo step in cui si trovava il progetto quanto il furto è stato effettuato). In primo luogo, ammonisce il Csis, non bisogna confondere i costi di ricerca e sviluppo con le perdite dovute a un furto di proprietà intellettuale; le due voci, infatti non è detto siano strettamente correlate (se un’azienda spende 1 milione di euro per la ricerca e sviluppo di un prodotto che poi non ha successo, il danno derivante dal furto di quel progetto è pari a 0 e non a 1 milione di euro). D’altra parte il danno può invece essere correlato alle capacità dell’azienda che “commissiona” il furto: se questa, per esempio, non dispone delle expertise produttive necessarie alla realizzazione del prodotto, l’impatto sulla realtà vittima del furto può essere nullo.
Al di là di queste precisazioni, l’elemento importante che lo studio evidenzia è che il furto della proprietà intellettuale danneggia l’innovazione (le risorse investite in protezione o per far fronte ai danni vengono distolte da altri investimenti), non solo a livello di azienda, ma nel suo insieme a livello di paese, dato che i settori maggiormente impattati sono anche quelli più strategici (finanziario, chimico, aerospaziale, energia, difesa e It). Inoltre, tra le conseguenze evidenziate, vi è la perdita di posti di lavoro a causa della possibile perdita di competitività di un’azienda che vede sfumare la propria leadership in un mercato a causa di un furto di questo tipo. Secondo il Csis, il danno non riguarda solo il paese colpito, ma anche quello dal quale gli attacchi (e quindi il furto della proprietà intellettuale) partono: viene meno l’interesse a investire in formazione, in ricerca e, alla lunga, porta a un indebolimento intellettuale del paese.
Nonostante queste evidenze, il Csis sottolinea che sia le aziende sia gli Stati sottostimano gli impatti, soprattutto quelli relativi alla compromissione della capacità innovativa, degli attacchi digitali alla proprietà intellettuale e, spesso, anche quando un attacco viene rilevato non hanno la totale consapevolezza di tutti i risvolti che esso implica.
2. Perdite finanziarie dirette
I crimini finanziari, ossia il furto diretto di denaro (per esempio attraverso la clonazione delle carte di credito), rappresenta la seconda fonte di perdita causata dal cybercrime. Nonostante quello finanziario sia il settore maggiormente regolamentato (per esempio con le normative sulla privacy che impongono l’immediata comunicazione e intervento nel caso di intrusione in data base contenenti dati sensibili) e quello nel quale vengono effettuati i più ingenti investimenti in security, è l’ambito più colpito da attacchi informatici. Le organizzazioni criminali che operano nei crimini finanziari sono molto ben strutturate e, oltre ad effettuare attacchi che comportano il trasferimento diretto (di cui si perde immediatamente ogni traccia) da un conto a un altro, si avvalgono di intermediari o prestanome, definiti “mules”, grazie ai quali diventa impossibile risalire al mandante dell’attacco: il Csis riporta l’esempio di due banche mediorientali oggetto di un furto di 45 milioni di dollari perpetrato tramite 500 mules sparsi in tutto il mondo i quali hanno usato carte di credito clonate per fare prelievi e, dopo avere trattenuto una percentuale del denaro rubato, hanno trasferito il resto sul conto degli hacker che hanno lanciato l’attacco. Nei paesi dell’ex Unione Sovietica, è sempre il Csis a sostenerlo, operano almeno 20 o 30 gruppi di crybercriminali in ambito finanziario che hanno una capacità di azione di “nation-state level”.
3. Furto di informazioni di business e manipolazione dei mercati
Se tra il furto di proprietà intellettuale e la sua messa a frutto può passare un periodo di tempo anche considerevole, la monetizzazione del furto di informazioni di business è generalmente immediata. I dati relativi a un’importante e milionaria trattativa commerciale o quelli inerenti una ipotesi di vendita per una società quotata in Borsa possono causare danni enormi alla società oggetto di attacco. tanto più che questa non comprende immediatamente il motivo per cui, in una trattativa, la controparte cambia improvvisamente atteggiamento o un affare sfuma apparentemente senza motivo (e quindi ritarda nel mettere in campo contromosse). Secondo il Csis, il furto di informazioni di business (tra cui uno dei maggiormente perpetrati è quello di informazioni relative ai clienti: tipo e numero di ordini effettuati, modalità e tempi di pagamento ecc.) rappresenta il terzo bacino in ordine di grandezza per il cybercrimine. In questo ambito, un’area in forte crescita è quella relativa alle manipolazioni del mercato borsistico effettuate attraverso l’intrusione nelle reti aziendali delle aziende quotate, in quelle dei loro avvocati o revisori per carpire (e poi adeguatamente diffondere, magari attraverso chat o social network) report finanziari, informazioni su fusioni e acquisizioni, piani di ristrutturazione ecc. al fine di alterare la quotazione in Borsa.
4. Perdita di opportunità di business, ma non solo…
Sono sostanzialmente due gli impatti sulle imprese in termini di perdita di opportunità di business. Il primo può essere considerato indiretto e riguarda il fatto che le aziende sono obbligate a distogliere denaro da investimenti per lo sviluppo dell’impresa (ricerca e sviluppo, aggiornamento degli impianti o dei sistemi informativi ecc.) e spenderlo per proteggere i propri sistemi. Di questo aspetto ci occuperemo però nel punto successivo, quello su cui ci focalizziamo qui è l’impatto diretto sul business in quanto un attacco informatico può impedire la realizzazione immediata di un affare e rischia di allontanare il cliente per sempre. Pensiamo infatti a un sito di e-commerce che subisce un attacco Dos-denial of service: non solo nel periodo in cui è fuori uso non è possibile effettuare acquisti, ma la fiducia di un cliente in un sito che ha subìto un attacco di questo tipo viene certamente minata e non è improbabile che questi si rivolga definitivamente altrove.
Ma come si sostanzia il cybercrime da questo punto di vista? Le tipologie di crimine commesso sono sostanzialmente due: furto di identità dei clienti e attacchi di tipo denial of service. Per quanto riguarda le aziende (nella maggior parte dei casi istituti finanziari), il furto di identità perpetrato nei confronti dei clienti riguarda frodi finanziarie (clonazione di carte di credito e bancomat a scopo di furto) che minano il rapporto di fiducia tra cliente e banca. In Italia sono 93.815 le denunce per furto di identità digitale online presentate alla Polizia Postale tra la seconda metà del 2012 e l’ottobre del 2013 (fonte, trasmissione Report 28.10.2013), ma ricordiamo che l’Europol (agenzia anticrimine dell’Unione Europea) stima che solo il 30% dei furti viene segnalato alle autorità competenti; il motivo è semplice: oltre che per rubare denaro dai conti correnti, questo crimine viene commesso anche (e in modo sempre più crescente) a scopo estorsivo, motivo per cui non viene presentata denuncia.
Ma il furto d’identità non riguarda solo le imprese; può infatti avere un costo sociale importante. A questo proposito è indicativo che l’Internal Revenue Services (l’Agenzia delle Entrate degli Stati Uniti) consideri la lotta contro il furto di identità una delle principali priorità: fino a due anni fa meno del 5% delle forze investigative dell’Agenzia era dedicato a questa attività, oggi è circa il 17-19% e arriva a punte del 50% nelle aree di Miami e Tampa. Ma qual è la relazione tra furto di identità e “Agenzia delle Entrate”? L’oggetto di furto è il famoso Social Security Number, una sorta di codice fiscale che consente l’identificazione univoca dell’individuo, nato ai fini di tassazione (ma ormai utilizzato per innumerevoli scopi, compresa l’elargizione di mutui); il furto d’identità può quindi rappresentare un mezzo per evadere le tasse (se un individuo si impossessa dell’identità di un altro – e questi dimostra il furto – le transazioni effettuate dal primo non possono essere tassate).
Per quanto riguarda gli attacchi denial of service, gli obiettivi di quelli effettuati per scopi criminali (ci sono quelli lanciati a scopo di protesta o dimostrativo, ma qui entriamo in un ambito diverso) sono molteplici: possono essere diretti a cancellare o danneggiare gravemente i dati di un’azienda per favorirne un’altra oppure, tendenza che viene rilevata sempre più frequentemente, a scopo estorsivo. Così come la criminalità “tradizionale” per convincere un negoziante a pagare il “pizzo”, brucia una vetrina o compie altri tipi di intimidazione, analogamente il cybercriminale può, con un attacco Dos di entità minore, far comprendere all’azienda cosa potrebbe succedere ai propri sistemi informativi se l’attacco venisse lanciato con tutta la sua potenza.
5. Costi di ripristino e investimenti in security
I costi di ripristino di un sistema gravemente danneggiato da un attacco possono essere superiori al valore stesso delle informazioni violate. Per quanto riguarda l’Italia, il Csis riporta i dati presentati da Jart Armin, esperto e analista di fama internazionale in operazioni di lotta alla criminalità informatica, al Security Summit 2012: a fronte di una perdita diretta (nel 2011 a livello nazionale) a causa di azioni di cybercrime di circa 875 milioni di dollari, i costi associati al ripristino (compresi quelli legati al tempo di inattività dei sistemi) vengono valutati dall’analista nel nostro paese addirittura intorno agli 8,5 miliardi di dollari. Il Csis riporta vari esempi, ma per capire quanto il cybercrime possa rappresentare un costo per l’intera comunità, basta riflettere su questo dato: vittima di un attacco Dos, lo Stato dello Utah ha dovuto spendere 3 milioni di dollari per ripristinare i propri sistemi. Rientrano poi in questa categoria, gli investimenti in security: Idc stima che gli investimenti in prodotti e servizi di security sono aumentati del 8,7% dal 2011 al 2013, passando da 53 miliardi di dollari a 58. Si tratta dell’unica conseguenza del cybercrime che ha un impatto positivo sull’economia globale di un paese (oltre che ovviamente per le aziende direttamente interessate nello sviluppo di soluzioni di sicurezza) dato che l’industria del software e delle soluzioni di security rappresenta una quota importante del mercato Ict.
6. Danni di immagine
Nonostante uno degli effetti degli attacchi informatici (come abbiamo visto nell’approfondimento di altri costi) sia proprio il danno alla “reputazione” sul web dell’azienda, il Csis afferma che si tratta di un aspetto poco approfondito. L’istituto di studi strategici sostiene che le aziende non mostrano forti preoccupazioni per il decadimento della propria reputazione sul web a causa di problemi di security dei propri sistemi; quelle degli utenti vengono frequentemente considerate reazioni temporanee e si ritiene vengano rapidamente dimenticate (per esempio, una perdita in Borsa legata a un attacco informatico ripianata nel trimestre successivo si dimentica rapidamente perché, si sostiene, quelli che si ricordano sono sempre i dati “dell’ultimo quarter”). Nel passato questo tipo di incidenti veniva il più possibile occultato, mentre oggi, anche a seguito dei regolamenti della Sec che impongono la comunicazione agli azionisti di perdite connesse ad attacchi informatici, non è più possibile mantenere il segreto e questo, secondo il Csis, potrebbe contribuire a far cambiare atteggiamento alle aziende su questo aspetto.
Se la situazione fosse statica, conclude il secondo studio del Csis, il problema sarebbe solo l’emersione di una nuova categoria di illeciti, come ciclicamente accade in ogni società, ai quali far fronte. Ma non è così semplice. Oggi l’economia, la società, la sicurezza stessa degli Stati sono pervase dalla tecnologia, che diventa un elemento fondante dello sviluppo stesso e la cybercriminalità rappresenta, utilizzando proprio la tecnologia come Cavallo di Troia per compiere i propri crimini, un elemento destabilizzante di proporzioni superiori a qualsiasi altro tipo di azione criminale.