Una cultura della cybersicurezza è ciò che serve ai cittadini, alle aziende e alle nazioni per guardare al futuro con più serenità. Senza una solida cultura in materia di sicurezza informatica - fatta di conoscenze e competenze, ma anche e soprattutto di valori - si prospetta un futuro preoccupante in cui sarà sempre più facile fare danni, anche gravi, e sempre più difficile difendersi. “Le grandi minacce informatiche sono un po’ sempre le stesse”, ha esordito Alessandro Curioni, autore, docente universitario e presidente di DI.GI. Academy, ospite della conferenza “Security Day 2025” di Fortinet, organizzata a Milano.
“Il problema”, ha detto Curioni, “è che oggi esiste una nuova generazione di cybercriminali giovanissimi, tra i 17 e i 20 anni. C'è un abbassamento impressionante dell'età media, che indica uno scollamento generazionale abnorme : le generazioni precedenti non sono stato in grado di trasmettere dei valori e oggi gli strumenti per attaccare sono in mano a chiunque, mentre c'è una straordinaria circolazione di informazioni su come delinquere. Ci sono soldi facili e ci sono dietro organizzazioni criminali che monetizzano, anche con piattaforme totalmente gestite dall'intelligenza artificiale”. A mo’ di esempio, lo studioso ha citato Scattered Spider, un collettivo di giovanissimi dediti al furto di dati e all’estorsione.
Naturalmente, questa è solo una parte del composito scenario del crimine informatico, a cui si associa il fenomeno delle operazioni finanziate dai governi, tra cyberspionaggio e attacchi alle infrastrutture critiche. I giovani, a digiuno di cultura di cybersicurezza e di valori etici, sono però l’incognita che più preoccupa Curioni, perché veicolano “un crimine diffuso, che rischia di coinvolgere centinaia di migliaia di persone”, e perché agiscono come cani sciolti, liberi da responsabilità e “peraltro inconsapevoli dei danni che possono creare”.
Per quanto riguarda, invece, le competenze avanzate in cybersecurity, Curioni ha spiegato che nel mondo accademico esistono ormai molti indirizzi e specializzazioni. Il mestiere dell'esperto di cybersicurezza è diventato un po’ come quello del medico, che racchiude molte discipline diverse. Questo può essere un punto di forza ma resta il fatto che in Italia raggiungere un elevato grado di specializzazione richiede troppi anni di studio, tra lauree triennali, specialistiche e master. Le aziende, di contro, hanno bisogno ora di competenze avanzate e specialistiche.
Aldo Di Mattia, director of specialized systems engineering and cybersecurity advisor Italy and Malta di Fortinet
La cybersicurezza non ha età
Fortinet è da anni impegnata, anche in Italia, sul fronte delle competenze e della cultura della cybersicurezza. Un molteplice fronte, in realtà, perché il problema si sviluppa su più livelli, nella società, nella scuola e nelle aziende. “La formazione è diventata una missione per Fortinet”; ha esordito Aldo Di Mattia, director of specialized systems engineering and cybersecurity advisor Italy and Malta. “Nelle aziende manca una cultura della cybersecurity e, poiché il tema è complesso, abbiamo deciso di agire su tutti gli orizzonti temporali: breve, medio e lungo termine”.
L’intervento sul breve termine viene portato avanti con programmi di formazione per le aziende, mentre si lavora sul medio orizzonte temporale con il progetto Fortinet Academic Partner, che coinvolge (a titolo gratuito) centinaia di università del mondo e dà la possibilità di ottenere certificazioni di cybersicurezza. L'impegno sul lungo termine è rappresentato dal programma di incontri con classi delle scuole secondarie, medie e superiori, recentemente estesi alla scuola primaria. Non è presto, tutt'altro, per parlare di temi tecnologici che hanno un forte impatto sulla vita quotidiana e sul benessere dei giovanissimi, come la privacy, la sicurezza delle password, l’uso dei social media e il cyberbullismo.
“I bambini di nove o dieci anni quasi sempre hanno già un telefono cellulare, usano le chat e sono connessi a Internet”, ha raccontato Di Mattia. “Abbiamo anche scoperto che conoscono le truffe informatiche, quasi tutti avevano già subito perdite. Terzo punto interessante, si sentono responsabili della sicurezza informatica in famiglia, perché in alcuni casi gli adulti non sanno gestire la tecnologia come invece sanno fare i bambini”. Dopo il successo dei primi incontri già organizzati, Fortinet vorrebbe estendere l’attività rivolta alla scuola primaria italiana anche facendo leva sulle collaborazioni strette con la Polizia Postale e con Acn, l’Agenzia per la Cybersicurezza Nazionale.
La società di sicurezza informatica collabora anche con la Andrea Bocelli Foundation, entità nata nel 2011 per sostenere (in Italia e all’estero) persone e comunità che affrontano povertà, analfabetismo, esclusione sociale e situazioni di disagio causate da malattie. Nel nostro Paese porta avanti progetti per l'accesso all'educazione in contesti difficili, con attività artistiche, musicali e di educazione al digitale. “Il digitale è la leva che davvero può cambiare la società”, ha dichiarato Silvia Gualdani, chief financial officer e deputy director della fondazione. “Fortinet è stata al nostro fianco con soluzioni che ci hanno consentito di raccontare un nuovo modo di fare educazione e di garantire a tutti i bambini e ragazzi un accesso sicuro. Inoltre il contributo di un partner tecnico come Fortinet è stato fondamentale per aiutarci a fare formazione sui giovani, proponendo un nuovo approccio alla tecnologia”.
Il punto di vista della Polizia Postale
La collaborazione tra Fortinet e le forze dell’ordine è fatta anche di comunicazione, e in occasione del “Security Day” milanese è stato raccontato il “dietro le quinte” del lavoro della Polizia Postale. “Il nostro è il punto di vista del ‘pronto soccorso’, di chi agisce dopo aver già visto le conseguenze del crimine informatico su persone, patrimoni, infrastrutture”, ha detto Rocco Nardulli, vice questore della Polizia di Stato e vice dirigente del Centro Operativo per la Sicurezza Cibernetica della Polizia Postale Lombardia. “Da questo punto di vista, i problemi che osservo sono innanzitutto tre. Il primo è l'anonimizzazione: i servizi disponibili per anonimizzare l'identità oggi sono più efficaci, sia in termini di strumenti sia di metodi. Viene sfruttata una debolezza del sistema, ovvero la cooperazione internazionale tra operatori delle forze dell'ordine dei singoli Stati: si conoscono tra di loro, creano gruppi Telegram, c'è tanto dialogo. Ma ci sono anche tanti Stati in cui tutto ciò non esiste, e i cybercriminali sfruttano questo punto”
“Il secondo problema”, ha detto Nardulli, ricollegandosi al problema della scarsa cultura della cybersicurezza,
“è quello del social engineering, che sta alla base di molti reati ai danni sia della persona sia di infrastrutture ed enti. Capita che i criminali lascino in giro drive Usb infetti che vengono ingenuamente presi dal dipendente e inseriti in un dispositivo anche solo per curiosità”. Su questo aspetto, ha commentato il vice questore, non si può far altro che continuare a lavorare sul fronte della consapevolezza e della cultura della sicurezza. E non possiamo aspettarci che maturino dall'oggi al domani: per un vero cambiamento bisogna partire dalla scuola e dalle famiglie, fermo restando l’impegno divulgativo e formativo di aziende del settore, come Fortinet.
“Il terzo fenomeno che osserviamo”, ha proseguito Nardulli, “
è il proliferare dell'as-a-service, veicolato nel Web o anche su app di messaggistica. Qui è possibile acquistare malware, servizi di cifratura, di anonimizzazione, di de-anonimizzazione”. Dal lavoro della Polizia Postale emerge anche la piaga del
furto di dati, specie quelli sensibili o facilmente monetizzabili: dati sanitari, o che riguardano segreti industriali e proprietà intellettuale. Talvolta vengono immediatamente monetizzati, come avviene nel caso dei ransomware, ma spesso sono anche sottratti nella logica del “rubare per dopo”, per ricattare utenti e aziende minacciando la loro pubblicazione online o per rivenderli nel Dark Web.
Massimo Palermo, vice president & country manager Italia e Malta di Fortinet
Intelligenza artificiale nemica e alleata
In questo già complesso scenario, fatto di criminalità “bassa” e sofisticata, si inserisce l’intelligenza artificiale. “L'AI viene immaginata come qualcosa di etereo”, ha osservato Nardulli, “ma in realtà può rappresentare un ausilio per sopperire a carenze culturali che non consentirebbero di avviare un progetto criminale più o meno articolato”.
D’altra parte l’intelligenza artificiale è anche un formidabile aiuto per la cybersicurezza, come ricordato da Massimo Palermo, vice president & country manager Italia e Malta di Fortinet: “Da parte delle aziende ci arriva una richiesta di aiuto”, ha esordito Palermo. “Cito un dato frutto di una survey interna di Fortinet: un'azienda usa in media 43 soluzioni di cybersecurity. C'è una richiesta di aiuto per consolidare questa situazione, con un approccio di piattaforma e anche con il supporto dell’AI. L'aiuto non può essere solo umano, perché da sole le persone non ce la possono fare: se un Security Operations Center riceve migliaia di alert al giorno, è chiaro che servano soluzioni di machine learning per gestirli. La velocità è un fattore cruciale nel rilevamento e nella risposta, e questo può arrivare solo con la visione unica e centralizzata e con l'automazione dell'AI”.
Nel portafoglio di offerta di Fortinet, l’intelligenza artificiale è integrata in tre aree: il rilevamento delle minacce (e l’AI è particolarmente efficace nel riconoscere quelle ancora non note e non classificate, come gli exploit zero-day), le attività di analisi dell'incidente e remediation (in affiancamento al personale dei Soc) e la protezione dell’AI stessa (e in particolare dei Large Language Model, soggetti al rischip di poisoning e di esfiltrazione di dati).
“La protezione del dato è la vera prossima sfida, non facile, ed è il tipico caso di commistione fra tecnologia e fattore umano”, ha detto il country manager, citando l'esempio delle esfiltrazioni di dati causate da comportamenti dei dipendenti. “Anche qui può aiutare a mettere in piedi un sistema di tipo adattivo basato sul rischio. Inoltre bisogna agire sulla formazione, perché controllare i flussi di dati in transito vuol dire risolvere solo una parte del problema”. Tecnologie e persone, appunto. E si torna qui, al problema delle competenze e della cultura.
Secondo il “Global Cybersecurity Skills Gap Report” di Fortinet, di recente pubblicazione, il 54% degli addetti ai lavori considera la mancanza di competenze in materia cyber come una delle principali cause di violazioni informatiche nella propria azienda (lo studio è stato condotto da Sapio Research su circa 1.850 decisori IT e responsabili di cybersicurezza di 29 Paesi).
Quasi tutte le realtà del campione, il 97%, sta già utilizzando o prevede di adottare soluzioni basate sull’AI per il rilevamento e la prevenzione delle minacce informatiche, ma in circa metà dei casi (48%) la mancanza di personale competente in materia rappresenta il maggiore ostacolo per una corretta implementazione. Tra le aziende già equipaggiate di soluzioni di AI per la cybersicurezza, ben il 76% ha comunque subìto nel corso del 2024 nove o più attacchi informatici: l’ennesima conferma del fatto che la tecnologia, da sola, non basta.