di Michele Pinassi*
La prima volta che m’inganni la colpa è tua, ma la seconda volta la colpa è mia” (proverbio arabo)
Dalle pagine di Repubblica di sabato 30 Gennaio 2021 un editoriale dal titolo “Questa postilla tutta italiana e altre inefficienze” a firma di Corrado Augias, noto e stimato giornalista, descrive senza averne contezza in che modo l’autore sia caduto in un phishing ai danni dei clienti di Enel.
In risposta a una signora svizzera che non riesce, a causa dell’incredibile farraginosità della burocrazia italiana, a prendere cittadinanza italiana nonostante sia da 40 anni che vive e lavora qui (di cui, nota a margine, nessuno sembra essersi indignato più di tanto), Augias risponde come non è riuscito a recuperare un rimborso di 92,72€, che sarebbe arrivato via mail da Enel. Peccato che la descrizione corrisponde, errori grammaticali compresi, a una campagna di phishing che purtroppo sta imperversando ormai da tempo nelle caselle mail di mezza Italia e di cui, anche dalle pagine di questo blog, ne avevamo dato notizia.
Per fortuna, almeno stando a quanto raccontato, la truffa non dovrebbe essere andata a buon fine: i vari tentativi di recuperare una password smarrita (o mai avuta) dal finto sito web del phisher non hanno avuto successo, facendo quindi desistere il malcapitato.
Se “Augias” è diventato velocemente un trending topic su Twitter, scatenando anche battute e ironie poco educate nei confronti di una persona di 86 anni, che ha fatto la storia del giornalismo italiano, la questione è tutt’altro che banale o divertente.
Credo che vi siano due tipi di drammi, in questa vicenda.
Il primo è la qualità dell’Informazione –quella con la “I” maiuscola– italiana: nessuno, in redazione, si è accorto dello scivolone che stava per essere stampato su milioni di copie? Proviamo a darci qualche possibile risposta: la grande esperienza di Augias fa sì che i suoi editoriali non siano soggetti ad alcuna revisione? Oppure la revisione è prevista ma il revisore/correttore di bozze non se ne è accorto? In entrambi i casi, credo che una testata a tiratura nazionale non possa permetterselo.
Il secondo è che davanti alle cyber-truffe e al phishing abbiamo milioni di cittadini totalmente indifesi, anche davanti ai legittimi dubbi di qualità del phishing stesso sollevati da Augias nel suo racconto (errori grammaticali, di battitura…), che avrebbero dovuto far drizzare le orecchie a chiunque abbia anche solo un minimo di consapevolezza. E questo dimostra che la consapevolezza, purtroppo, non sempre c’è.
Negli anni passati, la cronaca è infarcita di vittime più o meno eccellenti, come l’ex manager di Confindustria caduto vittima di un attacco BEC (Business Email Compromise) costato la bellezza di 500.000€! Per non considerare i vari attacchi da ransomware, che partono (quasi) sempre da un click di troppo sull’allegato sbagliato, o data leaks più o meno consapevoli, più o meno gravi.
Insomma, non siamo nella posizione di poter irridere Augias. Tutt’altro, dovremmo ancora una volta chiederci se ci stiamo preoccupando abbastanza delle minacce informatiche, capaci ormai di paralizzare ospedali, aziende e strutture anche critiche per il Paese.
Quante aziende, ad esempio, hanno effettuato un phishing test sui loro dipendenti? E com’è andata a finire? GoDaddy, la nota compagnia di hosting e registrazione domini Internet, lo ha fatto sotto natale promettendo un fasullo bonus di 650$. Anche se qualche dipendente, probabilmente caduto nel phishing (fortunatamente fasullo), si è lamentato per la scarsa sensibilità dell’azienda, personalmente credo che GoDaddy abbia fatto benissimo. O credete che un eventuale attacco da parte di cybercriminali, quelli veri, avrebbe il tatto di non farlo sotto Natale?
Secondo i dati sugli incidenti di cybersecurity, uno degli elementi più vulnerabili della sicurezza aziendale sono proprio le persone: solamente continuo training, educazione, formazione possono mitigare il rischio.
E se leggendo queste righe vi verrà da pensare, con un certo orgoglio, che “io non ci cascherò mai!“, provate a mettervi alla prova: phishingquiz.withgoogle.com
P.S. Nell’editoriale del giorno dopo, 31 Gennaio 2021, Corrado Augias, da gran Signore, si scusa:
*www.zerozone.it