Se un giorno mi avessero raccontato che qualcosa di virtuale, di “realmente inesistente”, potesse arrivare a mettere nei guai le persone, quasi mi sarei sentito all’interno di un film con Bruce Willis, uno di quelli in cui un hacker immette un virus nei sistemi informatici di una cittadina americana, e il protagonista deve correre da una parte all’altra del mondo per disinnescare la minaccia conseguente all’attacco informatico.
Eppure, vi assicuro che non siamo di fronte ad un film: la Sicurezza Informatica continua ad essere vista come qualcosa di distante da noi, che quasi non ci riguarda. Almeno finché non ci si ritrova nei guai.
I protagonisti delle due storie che vi racconto quest’oggi – che conosco personalmente e che ho aiutato personalmente – si sono ritrovati a dover fronteggiare guai reali, guai veri, nonostante non ci fosse nulla, a conti fatti, di fisicamente presente: la Sicurezza dei dati che viaggiano attraverso i nostri PC, e, in generale, attraverso la rete, viene spesso vista come una sorta di entità astratta, che magari riguarda solamente le grandi aziende, che hanno a che fare con milioni di banche dati, mentre – a conti fatti – ci riguarda, e anche da vicino.
Il primo protagonista di questa storia è un giovane, come tanti altri, che, un bel giorno, dopo aver subito l’ennesimo tentativo (sventato) di accesso ai suoi Social e alla sua E Mail, decide di attivare la cosiddetta “autenticazione a due fattori”: dietro questo parolone altisonante, si nasconde un sistema a conti fatti molto semplice. Quando la classica password non basta, l’autenticazione a due fattori garantisce una sicurezza ulteriore, in quanto richiede un codice aggiuntivo da inserire dopo la password: in pratica, quindi, se un malintenzionato s’impossessa delle nostre password, non avrà accesso a nulla che ci riguardi se prima non inserirà tale codice!
Detto così è una genialata, e non posso nascondere che lo è davvero, soprattutto perché realmente permette di garantire la sicurezza dei nostri dati: c’è, però, il proverbiale rovescio della medaglia, che è, poi, quello che ci frega. Ed è il famosissimo fattore umano: l’uomo, si sa, è tendenzialmente imperfetto (e ci mancherebbe pure il contrario, sai che noia la perfezione!), e per quanto la tecnologia possa tutelarci, uno sbaglio resta sempre uno sbaglio.
Abbiamo detto poc’anzi che è necessario un ulteriore codice da inserire dopo la password: questo codice viene generato attraverso un’apposita applicazione per cellulari, che, dopo essersi accertata che siamo realmente noi ad avere accesso a questi particolari codici, a seguito – nella maggior parte dei moderni cellulari – del riconoscimento della nostra impronta digitale, ci fornisce i codici da inserire quando necessario. Ma cosa accade se decidi di formattare il telefono, ovvero se decidi di cancellare qualsiasi cosa ci sia sul cellulare e ripartire “da zero”, o se il telefono lo perdi, o se il telefono si rompe? Semplice: resti fuori dai tuoi Social e da qualsiasi applicazione richieda quei determinati codici!
In teoria, ad onore del vero, non è esattamente così: i Social Network, così come i siti che offrono spazio per le e mail, offrono e consigliano l’utilizzo di più di un fattore di autenticazione. Ad esempio, usare i codici generati dall’applicazione, ma inserire anche un numero di cellulare: in questo modo, se l’applicazione non funziona, potrai accedere ai tuoi Social attraverso un codice inviato via SMS: poc’anzi, però, abbiamo premesso che l’uomo non è perfetto, e si da il caso che il giovanotto in questione abbia pensato bene di formattare il proprio cellulare senza prima fare una copia delle chiavi di accesso generate dal programma, senza inserire alcun fattore di autenticazione secondario, ma, cosa ancora più grave, senza appuntarsi i “codici di backup” da utilizzare in caso di emergenza.
I siti web che offrono l’autenticazione a due fattori, infatti, consigliano di appuntare in un luogo sicuro dei “codici di sicurezza estrema”, da usare in caso di perdita delle credenziali: se hai quei codici, sei sicuro che non resterai mai fuori dalla tua mail, dai tuoi Social, dai tuoi Siti Web. Questo giovanotto, però, non aveva niente di tutto questo. Ed è stato l’inizio dei suoi guai.
Fortunatamente, però, ho guidato il giovane nel recupero sia dei suoi account sui Social, sia della sua posta elettronica, attraverso una particolare procedura prevista dai siti in questione, basata sul riconoscimento dei documenti della persona, con relativa richiesta di sblocco: il guaio si è, così, risolto in circa 72 ore, con buona pace del caro giovane che, da ora in poi, ha imparato ad inserire (almeno) il numero di cellulare insieme all’autenticazione a due fattori!
Se i guai del protagonista della prima storia erano relativi alla sua presenza sui Social e alle sue e mail, è andata molto, molto peggio alla protagonista della seconda storia, caduta vittima non soltanto di una truffa, ma, ancora una volta, del “fattore umano”, su cui tanti, troppi truffatori, fanno leva.
Avrete sicuramente sentito parlare, in questi giorni, della truffa che certi malintenzionati stanno perpetrando tramite SMS: arriva un messaggino che avvisa dell’imminente spedizione di un pacco tramite il corriere. Si preme un link, ed un sito identico a quello del servizio di spedizione invita ad inserire i propri dati e i dati della propria carta di credito. E in un solo istante inizia un incubo senza precedenti.
Forse una distrazione, forse un momento di debolezza, e ti ritrovi nel peggiore dramma della tua vita: tutti gli accessi alla tua carta di credito vengono immediatamente modificati, e tu sei tagliato fuori dai tuoi stessi risparmi. Devi correre, immediatamente, ad avvisare il tuo istituto bancario e a fare denuncia, ma, quasi sempre, ti accorgi di essere diventato triste spettatore delle transazioni bancarie che si susseguono, spesso verso l’estero, mentre vedi dilapidarti i tuoi risparmi senza potere fare niente. E vi assicuro che non è finzione, ma una realtà decisamente spiacevole.
Lasciamo perdere, poi, le trafile infinite per vedersi riaccreditati i soldi rubati: giornate appresso a documenti, richieste, carte bollate, e la possibilità di trovarsi di fronte ad un secco NO da parte dell’Istituto Bancario. La banca, infatti, potrebbe contestare la negligenza al cliente, che ha portato, poi, al danno in essere. Esattamente come accaduto alla giovane protagonista di questa storia, che – per la cronaca – ancora adesso non ha risolto la sua controversia, e sta tentando, disperatamente, di vedersi riaccreditate le somme che le sono state indebitamente sottratte. Riusciranno i nostri eroi nell’ardua impresa?
Insomma: ancora una volta, va ribadito. I dati sono virtuali, ma i guai sono quantomai reali, soprattutto se questi dati vanno a finire nelle mani sbagliate! E mai come adesso mi rendo conto di quanto avesse ragione quel mio vicino di casa, tecnico informatico, che quando si trovava di fronte a simili situazioni diceva: “il PC è un mezzo, e come tale necessiterebbe di un patentino d’uso, come tutti quei mezzi che, se usati in maniera impropria, possono diventare pericolosi!”
Sarà esagerato, ma stento a dargli torto…