Abbiamo avuto la ghiotta opportunità di porre alcune domande sulla sicurezza informatica in ambito finanziario a Raoul Chiesa, il notissimo hacker italiano. di cui vi forniamo di seguito un breve profilo.

Raoul Chiesa, nato nel 1973, si è guadagnato la fama che tutt'ora l'accompagna fin da giovanissimo, arrivando a violare da solo i sistemi della Banca d'Italia nel 1995. Dopo l'arresto e la conseguente notorietà, Raoul cambia sponda e passa dalla parte della sicurezza informatica, fondando nel 1997 @Mediaservice.net s.r.l. e cooperando da allora in poi con le autorità dello Stato.

Nel 2003 inizia a collaborare con l'agenzia delle Nazioni Unite “UNICRI” (United Nations Interregional Crime and Justice Research Institute), lavorando su “HPP”, l'Hackers Profiling Project gestito da ISECOM e UNICRI; nel 2005 viene ufficialmente riconosciuto come cybercrime advisor. Oggi il suo ruolo in UNICRI è quello di “Independent Senior Advisor on Cybercrime”.

Dal febbraio 2010, Raoul Chiesa è membro del Permanent Stakeholders' Group (PSG) dell'Agenzia europea per la sicurezza delle reti e delle informazioni (ENISA.

Fra i tanti altri incarichi svolti, spiccano le collaborazioni avute con NATO, FBI e Interpol in ambito consulenziale e formativo.

In un sito di informazione e consulenza finanziaria, secondo te quali sono gli aspetti più importanti connessi alla sicurezza dei dati e alla protezione delle informazioni?

Il primo aspetto è essere coscienti della propria “presenza” sul darkweb: è un eufemismo per dire che spesso e malvolentieri i dati ce li hanno già presi, rubati e stanno all’esterno. Questo succede perché le aziende non hanno strumenti di cyber intelligence in casa o all’esterno che sia. Il secondo aspetto da considerare è il “penetration test”: quell’infrastruttura che ospita i dati degli utenti, ha mai fatto il check-up, quello che si usa fra noi umani, una volta all’anno? Quello che succede è che, se viene fatto, viene fatto a pezzetti, per inseguire il bollino ISO.  O ancora: tutti dicono di avere il disaster recovery: ma quante volte fanno la prova di spegnere per vedere se si riesce a riaccendere in tempo utile e con tutti i dati? Un conto è la compliance su carta, l’utopia che io chiamo Alice in Wonderland”, un altro è alzare fisicamente il tappeto dei dati tutte le settimane e vedere quanta polvere c’è sotto.

Nella tua esperienza hai mai visto esempi di incursioni in banche dati di intermediari finanziari e utilizzo improprio dei dati?

Il consulente finanziario di mia moglie che lavora per la più nota banca d’investimenti online italiana, mi ha dato i nominativi di alcuni suoi colleghi, peraltro pubblici: io ho fatto un semplice check su darkweb ed è uscito il mondo. Chili di logfiles e password come se piovesse. Bisogna che si sappia che, specie su app e anche in caso di doppia autenticazione, esiste il modo di aggirare molti tipi di protezione. Un dispositivo isolato che fornisca una OTP (one time password) è ancora il rimedio più sicuro e tutte le banche e le società d’investimento dovrebbero fornirlo a loro spese ai clienti e ai loro agenti. Invece pare che sia tra le prime cose che vengano tagliate per ottimizzare i costi.

Oggi come oggi, se i nostri lettori volessero investire nel settore della cyber security, verso quali aziende dovrebbero rivolgersi?

Io ho visto che quando un’azienda di cyber security ha le idee e il know-how e per questo inizia ad emergere sulle altre, appena supera una dimensione fra i 50 egli 100 addetti, si perde. Anche nel caso venga acquisita da un big. L’ho visto in Europa, in America, in Asia. È la dedizione dei singoli che fa la differenza e purtroppo secondo la mia esperienza non c’è maniera di replicare il talento su vasta scala.

E Kaspersky? Si è fatto un gran parlare di questa società di cybersecurity russa così popolare in Occidente, specie dopo il 24 febbraio 2022…

Lo dicevo già tre anni fa ma allora nessuno mi ascoltava: quell’azienda è collusa e corrotta.  Avevamo dati ed evidenze sufficienti già allora ma solo oggi l’inganno è sotto gli occhi di tutti.

Probabilmente allora non tutti volevano vedere… A proposito, abbiamo visto un video di una delle tue società, la Security Brokers, in cui prospettate una settimana intera di cyberattacchi a tutte le strutture di uno stato sovrano da parte di un’organizzazione esterna, fino a condurlo al collasso e a permetterne un’invasione armata. Ma è davvero reale, non vi sembra di esagerare?

Veramente abbiamo solo raccontato di quello che è successo in Libia pochi anni fa: una serie di azioni ops (operations) di hacking ad altissimo livello: i provider, le telco, le società energetiche, le banche sono tutte state bloccate e poi sono scesi in campo i soldati. Tutto molto vero, reale e non realistico. Tutto accaduto sotto i nostri occhi.

Torniamo ai fatti di casa nostra: di che tipo di attrezzatura hardware e/o software dovrebbe disporre un intermediario finanziario o un consulente per proteggere i dati dei suoi clienti?

La risposta è una sola: outsourcing. Altrimenti costerebbe uno sproposito. E inoltre si cadrebbe in un secondo errore, altrettanto grave. Sai quante banche ho conosciuto che mi hanno detto: ho preso il guru, adesso sono a posto. Ma quel guru si ritrova solo, poco a poco perde freschezza, perde esperienza e tu non lo puoi bloccare nella tua banca. Prima o poi se ne andrà. Non basta un falco: hai bisogno di uno stormo coordinato che voli per te come per altri, mantenendo freschezza  e agilità, rinnovandosi internamente elemento dopo elemento.

Che comportamenti e che accorgimenti dovrebbero adottare i clienti di un consulente finanziario per ridurre al minimo i rischi di incursione?

Awareness, consapevolezza, per me è la parola chiave. Io, Raoul, sceglierei la private bank A invece di B o C perché so che loro m’informano se io ho un malware a bordo. Questo è il futuro.

Ehi Raoul, qui stiamo regalando un asso nella manica alle banche che ci leggono.

Bravo, hai capito. Io mi ricordo nel 2010 una banca americana che regalava ai suoi clienti un cd con sistema operativo Linux: devi fare e-banking con noi? Infila il cd ed è sicuro. Una cosa che mi fa arrabbiare è che le banche oggi non ti danno più il token perché costa, lo perdi e va sostituito, eccetera. E ti fanno usare l’app col pin: ma il cellulare è sì la cosa più intima che hai ma anche la più vulnerabile, perché dallo smartphone andiamo ovunque ed è così esposto che è veramente stupido usarlo per spostare i tuoi soldi. Inoltre le app non vengono testate così a fondo e così di frequente come occorrerebbe. Affidare i nostri soldi a chi ha scelto un fornitore di app secondo il principio della migliore offerta economica, è puro suicidio. Ne vedremo delle belle, in questo senso.

Le autorità di vigilanza, ad esempio la Banca d’Italia nei confronti delle banche, offrono idonea assistenza o supporto agli intermediari che vogliono proteggere i dati dei loro clienti?

Che sappia io, ma mi occupo di cyber e non di finance, no. Quello che succede è che vengono troppo sottovalutati i sistemi fraudolenti cui abboccano ancora moltissimi ingenui risparmiatori. Le autorità hanno gli elenchi dei frodatori ma sono scarsi, poco aggiornati e coprono a malapena il livello nazionale. Un mio cliente di Bari mi raccontava che il nipote si è fatto fregare 50.000 euro da una società che chiamava dal Regno Unito secondo un modus operandi tecnologico molto efficace e che io ben conosco. In realtà, Londra serve solo da paravento di affidabilità e autorevolezza per società criminali basate spesso in Cina o in Nigeria e che sfuggono completamente al controllo delle autorità.

Se tu fossi un cracker e non un hacker etico quale ti riconosce il mondo intero, che hub o portale penseresti di attaccare per primo, oppure – detto in altri termini – quali sono i siti più esposti alle incursioni?

Oramai non c’è più qualcuno che possa considerarsi più esposto di altri: il cybercrime considera il web come un maiale di cui non si butta via niente. Qualunque sito dove avvengano transazioni o da cui sia possibile accedere a dati sensibili è da considerarsi in pericolo, anche quello del salumiere sotto casa perché ha il POS e ha le carte di credito anche lui. Tutto vale e si può rivendere.  Ovviamente più il sito è popolato e più è appetibile ma nessuno può dirsi al sicuro.

Un’ultima domanda: nella tua esperienza, la situazione all’estero (in particolare in Europa e negli Stati Uniti) è significativamente migliore rispetto all’Italia? C’è qualcosa che dovremmo/potremmo fare per adeguarci alle best practices del mercato?

In Italia amiamo apparire e far credere che è tutto a posto, anche se non lo è. E’ così, è un difetto italiano: in realtà siamo pieni di problemi. Da poco abbiamo creato un’agenzia nazionale per la cyber security ma nella realtà si fa pochissimo. Poi è giusto che ci sia però siamo 20 anni in riardo. Germania, Francia e Olanda hanno lavorato meglio di noi e adesso sono nettamente più avanti nella difesa da crimini informatici.

Bene Raoul, crediamo di aver imparato moltissimo dalle tue parole, ti ringraziamo infinitamente e speriamo di ritrovarti ancora sulle nostre pagine.

Grazie a voi, è stato un piacere rispondere a domande così dirette e circostanziate, spero di esservi stato utile.