Social engineering. Cybersecurity e crimini relazionali

Per social engineering si intende una tecnica che, in ambito informatico, sfrutta principi psicologici per manipolare le persone e indurle a fornire informazioni o a compiere determinate azioni, il tutto nel solo interesse dell’attaccante. L’ingegneria sociale è spesso il preludio ad attacchi informatici.

Gli attacchi di ingegneria sociale si strutturano normalmente in quattro fasi: raccolta delle informazioni; sviluppo della relazione; manipolazione; esecuzione.

Giova procedere ad una breve analisi di ogni singola fase al fine di poter correttamente tracciare il perimetro del fenomeno oggetto di osservazione.

La prima fase è costituita dalla raccolta delle informazioni. La probabilità di successo di qualsiasi attacco di ingegneria sociale dipende essenzialmente da questa fase progettuale. Il punto successivo si esplica nello sviluppo della relazione laddove la finalità di questa fase è stabilire un rapporto di fiducia con qualcuno che appartiene al target che si vuole colpire. Segue la manipolazione, in questa fase si utilizzano le informazioni raccolte per compiere l’attacco. Si crea una condizione credibile agli occhi della vittima con cui si è instaurata la relazione. Da ultimo la fase di esecuzione. Il raggiungimento dell’obiettivo viene amplificato dall’individuazione di una strategia di uscita.

Ora, svolta una breve analisi introduttiva di inquadramento, è possibile considerare le applicazioni dirette di questa tecnica che si sostanziano precipuamente nel: phishing; spear phishing; whaling; vishing.

Per phishing si intende una falsa mail inviata ad un numero elevato di destinatari.

Lo spear phishing è un attacco molto più mirato e preciso rispetto al semplice phishing. Le email vengono scritte a regola d’arte, su misura per ogni vittima. L’attaccante può fingersi interessato sostenitore di una causa condivisa dal bersaglio, spacciarsi per qualcuno conosciuto dalla vittima, o utilizzare altre tecniche per ottenere la fiducia del malcapitato.

Il whaling è invece un attacco phishing così chiamato perché ha come scopo quello di colpire persone molto in alto nella gerarchia aziendale. Da qui il termine “whale” inteso nel senso di “balena” o “pesce grosso” inteso come figura di natura apicale.

Il vhishing  – da voice phishing – dove interviene anche una chiamata telefonica da qualcuno che tenta di farsi passare per un funzionario della banca o di un’azienda di credito.

Pertanto è necessario considerare come l’ingegneria sociale non possa essere ridotta ad una questione puramente tecnologica, dal momento che utilizza strategie comunicative e fa leva su una serie di criticità e aspetti di debolezza della personalità dei soggetti coinvolti.

Con la progressiva evoluzione dei sistemi di interazione la rete ha assunto un contesto sempre più orizzontale, in continua evoluzione, dove le possibilità di farsi notare divengono molteplici. Le caratteristiche dell’ambiente digitale, e come le persone vi interagiscono, favoriscono l’attivazione di certi comportamenti, ormai oggetto di osservazione sempre più acuta per i diversi interessi coinvolti.

Pertanto, è possibile scindere il campo di osservazione prima verso una prospettiva sociologica e poi una maggiormente avviluppata di aspetti giuridici.

Le tecnologie digitali sempre più pervasive e persuasive hanno influenza sul comportamento sociale delle persone provocando una serie di effetti che si osservano in modo evidente nel progressivo mutamento delle reti relazionali e dei fenomeni che in grado di influenzarli.

Dall’analisi del sub – contesto di si può osservare la genesi dei cosiddetti crimini relazionali, laddove con la stessa si vuole sottolineare la relazione nella sua forma più patologica e disfunzionale.

Fenomeni come il bullismo e lo stalking, certamente non sconosciuti, trovano nuove modalità di espressione adattive alle nuove evoluzioni tecnologiche, trasformandosi cosi in cyberbullismo; cyberstalking e revenge – porn fattispecie autonoma di reato.

Un primo riconoscimento avviene con la sentenza n. 32404 del 16 luglio 2010 dove la Corte di Cassazione riconosce lo stalking tramite web, stabilendo che è perseguibile anche chi attua la persecuzione con video e messaggi postati su altri social media. Seguono ulteriori interventi posti in essere dal decisore politico al fine di colmare i vuoti normativi, e segnatamente ci si riferisce principalmente ai seguenti interventi: 23 aprile 2009, n. 38 che ha introdotto il reato di atti persecutori art. 612 bis c.p.; modifiche apportate con il decreto legge n.93/2013 convertito in Legge 119/2013; Legge 19 luglio 2019, n. 69 tutela delle vittime di violenza domestica e di genere.

Senza pretesa di esaustività, si può assumere come la Legge 19 luglio 2019, n. 69 (codice rosso) introduca delle novità in ambito procedurale, inasprendo le sanzioni con l’introduzione di nuove fattispecie di reato come il suddetto revenge – porn – disciplinato dall’art. 612 ter c.p., comma 1. Ulteriore tematica che si pone nel solco delle figure sinora analizzate sono le deepfakes ovvero video contraffatti che tramite sistemi di intelligenza artificiale si combinano e si sovrappongono immagini e video esistenti contribuendo ad un sistema di disinformazione lesivo attraverso il nocumento del soggetto passivo.

In conclusione dalla breve analisi svolta è necessario considerare come il ruolo delle tecnologie digitali finisca indirettamente con l’offrire ulteriori opportunità a forme di molestie già note, non deve fuorviare l’uso del prefisso cyber poiché le conseguenze in alcuni casi estreme si riverberano nella vita reale – come il caso oggetto di revisione dopo una prima archiviazione da parte della magistratura di Tiziana Cantone.

Pertanto pare opportuno – a parere di scrive –  un continuo processo di sensibilizzazione con una costante attenzione del legislatore volta ad impedire che la rapida evoluzione tecnologica crei aree di impunità del web con inevitabili ripercussioni sull’integrità psicofisica dei soggetti coinvolti nel mondo fenomenico reale. L’uso consapevole delle tecnologie digitali diventa una priorità che non può essere più ignorata neppure dal legislatore.