400 miliardi all'anno per i crimini informatici non sono una somma "accettabile"

Un nuovo resoconto ha elaborato una stima del costo globale del cybercrimine: intorno ai 400 miliardi di dollari. Il Center for Strategic and International Studies, in collaborazione con McAfee, ha pubblicato un rapporto nel quale sono stati raccolti dati provenienti da tutti i paesi del mondo per capire quanto sia remunerativo il crimine informatico. (Tanto di cappello anche a Net Security che ha portato tutto ciò alla nostra attenzione.)

La cifra di 400 miliardi di dollari è una media tra la stima più bassa di 375 miliardi e la più alta di 575 miliardi, cifre che indicano le perdite causate da cybercrimini, incluso il furto di informazioni personali e di proprietà intellettuale. Il rapporto è stato presentato in una conferenza in live-streaming, in cui Stewart Baker e James Lewis del CSIS hanno ammesso che la cifra potrebbe essere una sovrastima, ma è più probabile che invece sia una sottostima.

Baker ha fatto notare che la crescita del giro d'affari online e l'indirizzarsi dell'utenza verso le piattaforme mobili e l'Internet degli oggetti (che notoriamente soffre di problemi di sicurezza), porterà la cifra stimata ad aumentare già dall'anno prossimo. “Questi fattori creano nuove opportunità per il cybercrimine, che difficilmente si può sperare non aumenti in questi settori,” ha dichiarato.

In effetti, più interessante della cifra uscita dal rapporto, è forse la difficoltà incontrata nell'elaborare la stima. Si è dovuta creare una mappa dei costi del crimine informatico nei diversi paesi del mondo (di cui qui viene indicata la percentuale sul PIL), a cui sono però stati attribuiti diversi colori in base al margine di certezza che avevano delle cifre fornite. La maggior parte dei paesi analizzati, soprattutto quelli europei, è risultata non avere dati particolarmente accurati sul cybercrimine, quando non addirittura nessuno. Una delle motivazioni potrebbe essere la riluttanza delle imprese a denunciare le perdite, o addirittura la loro incapacità di riconoscerle, che può portare a una sottostima su scala nazionale e, ha evidenziato Baker, innestare così un circolo vizioso che aggrava il problema. “Se i governi diramano cifre che sottostimano la perdita, anche le imprese finiscono per sottovalutare il problema,” ha dichiarato.

Calcolare la “perdita” provocata dai crimini informatici, anche quando i dati sono disponibili, non è così semplice. I ricercatori hanno sottolineato che quello che i criminali informatici rubano spesso non corrisponde al loro ricavo effettivo – un conto è rubare una proprietà intellettuale, per esempio, un altro è monetizzarla.

Se qualcuno ruba un programma che un'azienda ha speso 50 miliardi di dollari per sviluppare, ha spiegato Baker, la perdita per quella stessa azienda non sarà così onerosa se l'autore del furto non introduce sul mercato un prodotto che nuoce al suo business. Ma ha anche avvertito che i cybercriminali saranno sempre più abili nell'usare o vendere un IP rubato. “Impareranno come fare, e lo faranno sempre meglio,” ha dichiarato.

I ricercatori hanno considerato anche i crimini finanziari diretti (come il furto dei dettagli della carta di credito), le “opportunità” non colte per combattere il cybercrimine invece che, ad esempio, investire in ricerca e sviluppo, e le manipolazione del mercato come l'insider trading.

In generale, i paesi sviluppati sembrano subire perdite maggiori dei paesi in via di sviluppo. La stima per gli Stati Uniti è dello 0,64% del PIL, mentre in un paio di paesi europei si va oltre l'1%. (Baker e Lewis hanno considerato il Giappone, che ha riportato solo lo 0,02%, un'anomalia probabilmente dovuta alla scarsa accuratezza dei dati.)

I paesi africani in possesso di dati hanno riportato cifre più basse, come lo 0,14% del Sud Africa e appena lo 0,08% della Nigeria. Non è stata una sorpresa, ha spiegato Lewis, e può essere in parte dovuta al fatto che i paesi sviluppati generalmente hanno più beni cybernetici da perdere, quindi i criminali informatici ne sono più attratti.

Da questi dati è anche evidente come le perdite dovute al cybercrimine possono avere effetti sul mercato del lavoro: 200.000 posti di lavoro in America e 150.000 in Europa potrebbero essere a rischio a causa del crimine informatico. Si è arrivati a tale conclusione osservando quale effetto la perdita nel PIL avesse sull'occupazione – ma è stato anche ammesso che la stima potrebbe essere per eccesso, visto che i lavoratori delle aziende colpite potrebbero trovare lavoro altrove.

In conclusione, l'importante non è la precisione delle cifre, ma il fatto che siano consistenti e in continua crescita. Intervenendo alla conferenza, Thomas Gann, responsabile in seconda delle relazioni con il governo di McAfee, si è chiesto giunti a quale punto il crimine informatico non possa più essere considerato una perdita “accettabile” – un rischio come tanti altri legati al web. Secondo il rapporto, il punto è stato raggiunto.

Se i governi e le aziende non inizieranno a prendere la situazione più seriamente, il futuro, come descritto dal rapporto, sarà desolante. “Non è credibile che le perdite dovute al cybercrimine diminuiscano,” hanno concluso. “Le prospettiva per il futuro è, in tutto il mondo, di una crescita delle perdite e di un rallentamento della crescita.”