Cosa succederebbe se un attacco informatico cancellasse i nostri conti correnti?

Se c’è una cosa che la serie TV Mr. Robot ci ha insegnato è che un semplice attacco informatico non basta per cancellare i debiti contratti dalle persone, destabilizzare i mercati finanziari e ridistribuire la ricchezza nella società. Come minimo occorre il supporto di un gruppo di criminali legati a un governo straniero, pianificare tutto nei minimi dettagli e prevedere persino la distruzione di una qualsiasi forma di backup cartaceo. 

Anche le conseguenze di un attacco del genere sono ben immaginate nella serie: proteste mondiali, distruzione dei dati bancari inclusi quelli sui pagamenti dei mutui già effettuati e controllo estremo sull’uso del denaro contante prelevabile (quest’ultima conseguenza è già realtà concreta per paesi come il Libano, con enormi crisi economiche in corso).

Non si sente spesso parlare di attacchi informatici così catastrofici nel mondo reale. Nel 2016 alcuni hacker criminali legati alla Corea del Nord sono riusciti a intrufolarsi nei sistemi di comunicazione dei pagamenti interbancari e a dirottare almeno un miliardo di dollari nei propri conti. Questi attacchi sono però sempre mirati in un modo o nell’altro a estorcere o sottrarre somme di denaro, mai a colpire in modo distruttivo una banca—figuriamoci l’intero settore bancario di una nazione.

Il rischio di un attacco totale è altamente improbabile—se non impossibile—ma l’attenzione ai sistemi informatici delle banche è sempre comunque alta, come dimostra un recente avviso della banca centrale dell’Unione Europea che ha chiesto di aumentare le difese contro gli attacchi informatici.

Quindi cosa accadrebbe a una nazione se un attacco informatico riuscisse a cancellare ogni dato dai conti correnti delle banche? E soprattutto: quanto sarebbe difficile da sferrare?

“Un attacco all’infrastruttura bancaria è uno scenario da attacco terroristico che però richiede come attore un governo; non possiamo immaginare un lupo solitario che compie questo tipo di attacco solo, considerando tutta la complessità che comporterebbe,” spiega Stefano Zanero, esperto di sicurezza informatica presso il Politecnico di Milano, in una chiamata telefonica con VICE.

“Se pensiamo agli unici attacchi recenti di questo tipo contro una banca, vengono in mente quelli della Russia contro l’Ucraina con il malware NotPetya nel 2017,” aggiunge Zanero. Il teatro di quell’azione però era chiaramente diverso: l’Ucraina era vittima da tempo di attacchi informatici da parte della Russia e in quel caso è sembrato essere una sorta di test. Secondo alcune stime, circa il 10 percento dei computer del paese erano stati colpiti e i dati resi irrecuperabili o totalmente cancellati. Tra gli obiettivi colpiti si contano almeno quattro ospedali, aziende energetiche, aeroporti, banche e sistemi di pagamento.

La difficoltà nello sferrare un attacco informatico a una banca è direttamente legata al motivo dell’esistenza stessa dei server delle banche. “Il sistema bancario in realtà custodisce denaro nel senso stretto del termine. La rappresentazione numerica che c’è nei nostri conti in banca è letteralmente il nostro denaro,” prosegue Zanero. “Sono la rappresentazione momento per momento di dove si trovano i nostri soldi.” È per questo motivo che nei sistemi delle banche non si possono creare dei conti di test: quel conto conterrebbe soldi che si creerebbero dal nulla.

“Vista la loro importanza per la stabilità monetaria, i sistemi bancari sono ben salvaguardati,” rassicura Zanero.

Quando pensiamo al sistema informatico di una banca dobbiamo immaginare una struttura complessa: ci sono i computer dei singoli dipendenti nei vari uffici, quelli delle aziende che offrono supporto informatico o altri servizi, ma ci sono anche i sistemi con cui interagiamo via web, come il nostro home banking. E poi ci sono i sistemi di backend, quelli che registrano e memorizzano effettivamente il flusso di denaro, la rappresentazione della realtà. 

“Nel momento in cui parli di attacco informatico bisogna capire di cosa si parla: per distruggere tutto potremmo pensare a un attacco di tipo ransomware (che cifra i dati rendendoli illeggibili, ndr) o un wiper (che elimina del tutto i file, ndr),” prosegue Zanero, ma il risultato sarebbe lo stesso: da un punto di vista della fattibilità tecnica è quasi impossibile compromettere il backend.

“Questi sistemi sono disaccoppiati, ci sono backup ridondanti posizionati in diverse aree, inoltre le banche hanno degli specifici requisiti di sicurezza da rispettare, in modo da garantire la resilienza dei sistemi,” spiega Zanero. 

Lo scenario di un classico attacco informatico prevede un criminale che si impossessa delle credenziali di accesso di un dipendente della banca—che potrebbe aver trovato in vendita online oppure aver ottenuto grazie a un attacco di phishing. 

Una volta entrato, dovrebbe riuscire a comprendere l’infrastruttura interna, muoversi lateralmente tra i vari computer e server e, magari, riuscire a infettare il pc della persona con la possibilità di manomettere i dati. Infatti, non tutti i dipendenti hanno lo stesso livello di accesso quando si tratta di effettuare queste modifiche.

Inoltre, specifica Zanero, “i sistemi che fanno parte del sistema bancario impediscono che una singola persona possa effettuare modifiche irreversibili, non basta quindi compromettere un utente.”

“Niente è invulnerabile, ma chiaramente per arrivare a cancellare tutti i dati vuol dire che la complessità dell’attacco aumenta,” ribadisce Zanero. Senza considerare che poi sarebbe necessario sferrare l’attacco contro tutte le banche italiane se volessimo rimanere fedeli alla nostra idea iniziale. 

Ci sono però scenari diversi, che potremmo considerare più semplici, che ad esempio “vanno a compromettere l’operatività,” spiega Zanero. Ci sono infatti singoli punti critici che se colpiti rischiano di creare notevoli disagi—anche senza arrivare a cancellare tutti i dati dai conti correnti. Questi nodi sono ad esempio i sistemi di comunicazione interbancari, oggetto dell’attacco sferrato dalla Corea del Nord, o anche i sistemi di pagamento con carta di credito. Ad aprile 2022 il circuito di pagamento NEXI, principale gestore dei pagamenti elettronici in Italia, ha avuto un disservizio di quasi mezz’ora che ha bloccato i pagamenti con i Pos e alcuni bancomat in tutta Italia—il disservizio non ha avuto nulla a che fare però con un attacco criminale.

Un attacco a uno di questi nodi cruciali produrrebbe comunque caos sufficiente da terrorizzare la popolazione: pensiamo a un disservizio di un paio di giorni con i nostri pagamenti online. 

A voler rimanere comunque fedeli all’ipotesi che un criminale riesca a cancellare tutti i dati dei conti correnti, rimarrebbero comunque delle soluzioni che potremmo chiamare “backup di ultima spiaggia” conclude Zanero. Quei backup non avrebbero le ultime transazioni, sarebbero aggiornati ai giorni precedenti, ma permetterebbero comunque di tornare operativi. Chiaramente il ripristino non sarebbe in tempi brevi. 

Appurato che un attacco del genere sia quasi impossibile, possiamo comunque immaginare come i giornali reagirebbero pochi attimi dopo la diffusione dei disservizi e il trapelare della notizia dell’azzeramento dei conti. Per farlo possiamo basarci su vicende recenti relative ad altri attacchi informatici.

Secondo Carola Frediani, giornalista e scrittrice della newsletter e del progetto editoriale Guerre di Rete, scatterebbe la caccia al colpevole: “I media cercherebbero subito di attribuire l’origine dell’attacco, sarebbe un susseguirsi di attribuzioni non verificate, citando ad esempio fonti di intelligence.”

Questo approccio sarebbe chiaramente problematico. È difficile trovare il colpevole quando si tratta di attacchi informatici ben pianificati, perché i criminali usano tecnologie per depistare gli investigatori. Ma il problema più grande, secondo Frediani, è che questa caccia all’attribuzione servirebbe solo a spostare l’attenzione. “Quello che servirebbe ai lettori è rispondere a una domanda: ma i nostri soldi ci sono ancora? Non corriamo nessun rischio? Una qualsiasi comunicazione istituzionale o delle banche dovrebbe concentrarsi su questo,” chiarisce Frediani.

Spiegare ad esempio che i conti dei cittadini sono tutelati o essere più trasparenti sulla situazione post-attacco sarebbe fondamentale. “Perché altrimenti, soprattutto nel caso in cui dietro l’attaccante ci sia un governo di un altro paese, si potrebbe lasciare terreno fertile per un’operazione di disinformazione,” spiega Frediani. Immaginiamo migliaia di note vocali inviate su WhatsApp che potrebbero creare ulteriore allarmismo. “Sarebbe molto facile generare allarme e panico, soprattutto se le persone non fossero in grado di accedere ai propri conti e vedere cosa è rimasto,” aggiunge Frediani.

Dal lato di chi ha sferrato l’attacco, invece, la situazione è completamente diversa. “Nessuno farebbe un annuncio pubblico dell’attacco, potremmo immaginare però un finto gruppo di hacktivisti che sbuca dal nulla con un profilo Twitter appena creato e che rivendica le azioni, un po’ come era successo con Guccifer2.0 nel 2016 contro il partito democratico statunitense,” spiega Frediani. Guccifer2.0 è lo username del presunto hacker dietro cui in realtà si nascondevano i servizi di intelligence russi.

“La confusione sarebbe chiaramente un terreno fertile per ulteriori truffe ma anche per la diffusione di consigli non richiesti,” dice Frediani, ipotizzando tweet di Elon Musk che invitano le banche ad aggiornarsi o a usare sistemi di criptovalute. “Sotto quel tipo di tweet ci sarebbero tutta una serie di truffatori che, usando profili hackerati, consiglierebbero di dirottare fondi in qualche truffa digitale.” 

Tornando però alla reazione della popolazione, “se immaginiamo un periodo lungo e indefinito dove le persone non sono in grado di accedere all’home banking o nemmeno ai bancomat, e a quel punto non solo non possono ritirare i propri soldi ma nemmeno verificare quanto hanno in banca,” prosegue Frediani, “ci troveremmo di fronte a un contesto sociale e politico al limite dello stato di emergenza.” Situazione che potrebbe sfociare nella protesta di piazza con una conseguente stretta della polizia. 

Gli scenari di attacco apocalittico all’intero sistema bancario nazionale rimangono quindi relegati solo all’immaginario, ma non vuol dire che gli esperti del settore non li tengano in considerazione. Accenture, società che offre sistemi di sicurezza informatica, sottolinea nel suo report del 2021 relativo a “minacce estreme ma plausibili” nei servizi finanziari come gli attacchi di tipo ransomware stiano diventando sempre più distruttivi: in alcuni casi, pur ricevendo il riscatto, i criminali non restituiscono i dati oppure colpiscono senza lasciare alcuna richiesta di pagamento.

Restano poi altre infrastrutture che non sono protette tanto quanto il settore bancario ma che rappresentano obiettivi comunque sensibili—come ospedali, o centrali e reti energetiche. Anche se per tornare al baratto dobbiamo aspettare più una tempesta solare potentissima che un attacco hacker alle banche, è chiaro che dipendiamo da sistemi che è fondamentale mantenere sicuri.