Vai al contenuto

Podcast RSI – Identità elettronica: pro e contro tecnici, promesse e preoccupazioni

Questo è il testo della puntata del 29 settembre 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.

[CLIP: varie voci che chiedono “Mi dà un documento per favore?”]

Immaginatevi di rispondere a questa richiesta senza dover frugare nella borsa o nel portafogli per trovare una tessera consunta che ha su una vostra foto venuta male. Immaginate che non vi vada a genio l’idea di dare a uno sconosciuto l’elenco completo dei fatti vostri impressi su quella tessera, compreso l’indirizzo di casa come avviene nei documenti di alcuni paesi,* quando in realtà dovete dimostrare soltanto di essere maggiorenni o di essere chi dite di essere. O immaginate di essere online e che un sito di acquisti o un social network vi chieda una foto di un documento o addirittura di fare una scansione tridimensionale del vostro volto.

* La carta d’identità elettronica italiana, per esempio, include l’indirizzo di residenza, il codice fiscale e vari altri dati personali.

Ora immaginate di poter rispondere a queste situazioni semplicemente mostrando il vostro smartphone, che fornirà al vostro interlocutore soltanto le informazioni strettamente necessarie al caso specifico, garantite e autenticate dallo Stato. Questa è la promessa del cosiddetto Id-e o e-ID o mezzo di identificazione elettronico, già disponibile in numerosi Paesi.

Ma questa promessa è accompagnata anche da alcune preoccupazioni. Si teme di barattare la comodità con la sicurezza e di svendere la riservatezza in cambio dell’efficienza. Ci si preoccupa che si possa aprire gradualmente la porta a una sorveglianza di massa informatizzata e a vulnerabilità informatiche e che si finisca per escludere dalla società chi non ha o non può avere uno smartphone.

Benvenuti alla puntata del 29 settembre 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica e focalizzato, in questo caso, sui pro e i contro delle identità elettroniche. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Ci siamo abituati ormai da tempo all’idea che per acquistare certi prodotti, accedere a vari posti, fruire di determinati servizi o chiedere documentazione alla pubblica amministrazione si debba presentare un documento d’identità. Spesso non si tratta soltanto di esibire momentaneamente un documento a qualcuno che lo verifica al volo, ma quel documento viene anche scansionato o fotocopiato o comunque conservato, non sempre legittimamente, da chi ce lo ha chiesto.

E questa conservazione, a volte, non è particolarmente diligente. Lo testimonia il fatto che immettendo semplicemente in Google le parole chiave giuste emergono migliaia di scansioni di documenti d’identità perfettamente leggibili, archiviate maldestramente in qualche cloud mal configurato, a disposizione del primo truffatore che passa, e anche del secondo e del terzo. La gestione e la custodia corretta di questi dati personali rappresentano un costo importante per le amministrazioni e per le aziende.

Con la graduale introduzione dei controlli di età minima nei social network e nei siti di acquisti e di incontri, ci siamo anche abituati a dare a queste mega-aziende una scansione 3D del nostro volto oppure una foto fronte-retro di un nostro documento di identità. Quel documento contiene nome, cognome, indirizzo, data di nascita esatta, foto del volto e molte altre informazioni personali in più rispetto a quelle realmente necessarie per una semplice verifica dell’età. Una sovrabbondanza di dati che queste aziende divorano con entusiasmo per fare profilazione di massa delle persone insieme ai nostri like, alla rete dei nostri contatti e alla nostra localizzazione.

Questi problemi evidenti di sicurezza, riservatezza e costo della situazione attuale possono essere ridotti drasticamente con un sistema di identificazione elettronica come quelli già esistenti da molti anni in vari Paesi europei e come quello previsto in Svizzera dalla legge federale approvata dalla votazione popolare di ieri.

L’identificazione elettronica svizzera che viene proposta è gestita direttamente dallo Stato, che la rilascia e ne è responsabile, e si basa su standard tecnici aperti. I dati personali vengono custoditi e trattati a bordo dello smartphone dell’utente, in un’app statale chiamata Swiyu per iOS e Android [codice su Github]. Tutta la gestione ha luogo su computer dell’infrastruttura della Confederazione e quindi i dati non finiscono in qualche cloud aziendale magari d’oltreoceano, come avviene invece con le identificazioni online attuali.

Inoltre i dati che vengono trasmessi durante l’uso sono solo quelli strettamente necessari: per esempio, se un negozio fisico o online deve verificare un’età, riceverà soltanto l’informazione che il cliente ha più di 18 anni e nient’altro. Con i sistemi attuali, invece, il negozio viene a sapere, e finisce per archiviare, tutte le informazioni presenti sul documento tradizionale mostrato o trasmesso online. La privacy è insomma maggiormente protetta se si usa un’identificazione elettronica.

I dati scambiati sono protetti dalla crittografia e non sono riutilizzabili da terzi, per cui intercettarli è sostanzialmente inutile, e per chi li riceve è semplice verificare che siano autentici. Invece superare gli attuali controlli usando una carta d’identità tradizionale falsificata o trovata su Internet è relativamente facile, soprattutto online.

I documenti di identificazione tradizionali, inoltre, possono essere rubati e usati abusivamente fino alla loro scadenza prefissata, salvo che ci siano complessi coordinamenti fra archivi delle denunce di furto o smarrimento e negozi o servizi pubblici, mentre l’identificazione elettronica è facilmente revocabile in qualunque momento e cessa immediatamente di essere usabile ovunque.

Fra l’altro, la revocabilità non va vista come una procedura d’emergenza, come lo è nel caso dei documenti d’identità cartacei, ma è una prassi standard del sistema. Infatti l’identità digitale è legata strettamente allo specifico esemplare di smartphone dell’utente, grazie ancora una volta alla crittografia, e quindi non è trasferibile, in modo che siano praticamente impossibili i furti di identità. Se si cambia smartphone, si chiede semplicemente il rilascio di un nuovo certificato di identità digitale. L’intero procedimento è gratuito per i residenti.

C’è anche un altro livello di protezione della privacy: i dati personali delle credenziali digitali degli utenti non vengono mai custoditi nei server dello Stato e non c’è un’autorità centrale che li aggrega, custodisce o controlla. Lo scambio di dati avviene direttamente, in maniera decentrata, fra l’utente e il servizio o negozio. In questo modo è impossibile collegare tra loro le informazioni sull’utilizzo delle varie credenziali e fare profilazione di massa degli utenti.

I vantaggi di un sistema di identità digitale decentrato e non commerciale sono insomma numerosi, ma ci sono comunque degli aspetti meno positivi da considerare.

Il primo è la scarsa intuitività, almeno all’inizio, quando presentare il telefono per identificarsi non è ancora un gesto abituale e diffuso, anche se lo si fa già per i biglietti aerei, per i pagamenti contactless nei negozi fisici e in varie altre occasioni. Tutte le procedure informatiche che permettono, dietro le quinte, la garanzia e la verifica di un’identità digitale sono arcane e scarsamente comprensibili per l’utente non esperto, mentre verificare un documento d’identità tradizionale è un gesto naturale che conosciamo tutti.

Il secondo aspetto è la potenziale fragilità del sistema elettronico: una carta d’identità tradizionale funziona sempre, anche quando non c’è campo, e non ha una batteria che si possa scaricare. È un problema già visto con chi non stampa più i biglietti del cinema o del treno e poi va nel panico perché gli si scarica il telefono e non ha modo di ricaricarlo, o con chi si affida al navigatore nell’app e poi non sa che strada prendere quando si trova in una zona senza segnale cellulare.

Un terzo problema è la necessità di avere uno smartphone, e specificamente uno smartphone moderno con funzioni crittografiche integrate, se si vuole usare l’identità digitale: è vero che quasi tutte le persone oggi hanno un telefono cellulare, ma non tutte hanno uno smartphone Android o iOS. E ci sono persone che per mille ragioni, come costo, impatto ambientale, difficoltà motorie, diffidenza verso la tecnologia e antipatia per le interfacce tattili, non vogliono essere costrette a portarsi in giro un oggetto di questo genere.

Del resto non ci sono alternative tecniche realistiche: la potenza di calcolo e la facilità di aggiornamento che sono necessarie per avere un sistema sicuro e flessibile non consentono soluzioni come per esempio delle tessere in stile carta di credito, e comunque qualunque dispositivo dedicato comporterebbe un costo di produzione, distribuzione e gestione di milioni di esemplari, per non parlare del problema di far abituare le persone a portare con sé e tenere sempre carico un dispositivo in più, mentre lo smartphone è bene o male già nelle tasche di quasi tutti.

È anche per questo che la Confederazione continuerà a offrire tutti i servizi anche in maniera analogica e i metodi tradizionali di identificazione non verranno soppiantati ma resteranno disponibili in parallelo, per evitare che si formino dei ghetti tecnologici che intrappolano chi non può permettersi o non può usare uno smartphone, e quindi proprio le persone più deboli e vulnerabili.

Video di presentazione dell’id-E realizzato dalla Confederazione prima del recente referendum.

Resta comunque il problema di fondo di tante innovazioni tecnologiche degli ultimi tempi: la crescente centralità e importanza che fanno assumere allo smartphone nella vita di tutti i giorni. Quello che una volta era un telefono è oggi un oggetto fragile e costoso al quale viene chiesto di fare sempre più cose: fotocamera, agenda, navigatore, chiave di casa e dell’auto, custodia per i biglietti di viaggio, portafogli, traduttore, terminale bancario e adesso anche mezzo di identificazione. Se perdiamo lo smartphone o si rompe, rischiamo la paralisi sociale. Ma siccome capita raramente, ci abituiamo, diamo per scontato che funzioni, e smettiamo di sapere come usare i metodi alternativi.

Tirando le somme, il sistema di identità digitale svizzero non è perfetto, ma l’ottimo è nemico del buono, e non fare nulla significa lasciare le cose come stanno, cioè continuare a riversare dati personali negli immensi collettori delle aziende trilionarie del settore tecnologico. Il timore istintivo che un sistema di identità digitale porti a un ipotetico Grande Fratello governativo è comprensibile, ma l’alternativa è continuare a sottostare agli umori dei tanti Grandi Fratelli commerciali che non sono affatto ipotetici.

Una regola d’oro dell’informatica, quando si tratta di privacy e riservatezza, è che bisogna sempre progettare i software che gestiscono questi aspetti cruciali della vita sociale democratica in modo che siano resistenti non solo alle tentazioni di abuso del governo corrente di un Paese, ma anche a quelle di tutti i possibili governi futuri, compresi quelli peggiori immaginabili. Per l’identità digitale svizzera sono state prese misure tecniche robuste proprio per ridurre al minimo questo rischio. La sua progettazione si basa su tre punti di forza principali.

  • Il primo è la cosiddetta privacy by design, ossia la riservatezza è incorporata e intrinseca e non è una funzione aggiunta a posteriori.
  • Il secondo è la minimizzazione dei dati, ossia in ogni fase vengono condivisi e scambiati soltanto i dati strettamente necessari allo scopo specifico, e anzi se un negozio o servizio ne chiede più del necessario è prevista la sua segnalazione pubblica.
  • Il terzo è il decentramento, vale a dire i dati dell’identità digitale di un utente sono custoditi esclusivamente sul suo dispositivo, senza archivi centrali.

A questi tre si aggiunge un quarto punto felicemente lungimirante: il sistema di identità digitale svizzero è concepito per essere conforme agli standard internazionali, in modo da garantire che possa essere usato in futuro anche all’estero, per esempio nell’Unione Europea, che si sta attrezzando con un sistema analogo.

Se tutto procederà secondo i piani, dall’anno prossimo sarà possibile avere una sorta di portafoglio elettronico che potrà contenere documenti e attestati della pubblica amministrazione, diplomi, biglietti, licenze di circolazione, tessere di assicurazione malattia, tessere di socio, carte clienti, iscrizioni protette ai social network e altro ancora, senza più stampare e spedire montagne di carta o tessere di plastica, e permetterà di identificarsi online, o meglio di qualificarsi per esempio in termini di età o di licenze,senza regalare a ogni sito tutti i nostri dati personali.

La spesa prevista per lo sviluppo e la gestione di questa identità digitale nazionale e per l’infrastruttura che la supporterà equivale a meno di tre franchi e mezzo a testa all’anno. Sembra una spesa ragionevole, se permette di snellire la burocrazia e di evitare di dover inviare ovunque immagini dettagliate dei nostri documenti.

E soprattutto se permette di creare una penuria di scansioni di documenti di identificazione sfruttabili dai criminali informatici. Sarebbe davvero splendido riuscire a indurre finalmente in questi malviventi una vera e propria… crisi di identità.

Fonti
Svizzera, falso sito del quotidiano “La Regione” promuove truffa sugli investimenti usando il nome della Presidente della Confederazione

Svizzera, falso sito del quotidiano “La Regione” promuove truffa sugli investimenti usando il nome della Presidente della Confederazione

Un lettore, Marco, mi segnala il sito Inform24svi[zz].net (togliete le
quadre se volete riottenere il nome originale del sito), che al momento in cui
scrivo ospita questa imitazione truffaldina del quotidiano ticinese
La Regione (il cui sito reale è
Laregione.ch).

Screenshot dell’inizio del falso articolo.

Per i non svizzeri, Viola Amherd è la presidente di turno della Confederazione (il sistema elvetico è complicato) e quindi il suo nome è un richiamo molto forte e autorevole, ma qui viene usato abusivamente, come del resto viene abusato anche il nome della testata giornalistica.

Ovviamente non è vero che “i cittadini Svizzeri potranno ufficialmente andare in pensione a 45 anni”, come dice il titolo del falso articolo.

Lo scopo di questa falsificazione è promuovere una truffa basata su finti investimenti. L’articolo include infatti un modulo di iscrizione a un fantomatico “VortexValor” che promette a chi investe 250 franchi di “ricevere in media 3.000 CHF al mese sul proprio conto bancario. I profitti sono generati dal trasporto di gas e petrolio attraverso il nostro Paese verso altri Paesi. Come potete immaginare, veniamo pagati per questo. Lo ripeto ancora una volta. Non ci sono rischi, tutti gli investimenti possono essere restituiti in qualsiasi momento, il che è garantito dalla Banca Nazionale e dal nostro Ministero.” Ovviamente è tutto falso.

I malcapitati che abboccano a un’offerta troppo bella per essere vera come questa (ci sono sempre; lo so, perché mi contattano piangendo calde lacrime dopo aver “investito” migliaia di franchi) riceveranno una telefonata da un “manager” che li guiderà nel loro “investimento”. Traduzione: li spennerà facendo credere che stiano guadagnando montagne di soldi.

Il meccanismo di queste truffe è tipicamente questo: il “manager” crea un finto conto online di investimento per la vittima e incassa i primi 250 franchi. Il conto, consultabile via Internet dalla vittima, mostra quelli che sembrano essere rendimenti favolosi. È tutto finto: sono solo numeri su una pagina Web, generati dal software, ma sono presentati con una grafica curata e professionale.

Le vittime vengono sedotte da questi apparenti guadagni e, istigati dal “manager”, inviano altri soldi (reali) ai gestori della truffa con la speranza di guadagnare ancora di più. Ma, ripeto, è tutta una finzione.

La cosa che spiazza molte vittime è che se provano a prelevare i loro soldi da questi “conti”, li ricevono davvero, e questo aiuta a far sembrare serio e credibile l’intero meccanismo. Ma attenzione: i truffatori di solito non restituiscono mai più di quanto è stato versato. Ridanno alle vittime quello che hanno versato, ma mai di più. Se la vittima chiede di ricevere anche i presunti “guadagni”, il “manager” risponde con mille pretesti per rinviare o rifiutare la richiesta.

Il guadagno dei truffatori sta di solito nella mazzata finale: se vedono che la vittima è sedotta e investe soldi ma ne ritira anche una parte, gli propongono un affarone speciale, al quale bisogna aderire in fretta e che richiede un investimento ingente: 10.000 o più franchi, che (dice il finto manager) renderanno anche 100.000 franchi o più. La vittima, incantata dalla prospettiva di una cifra del genere, invia i soldi, chiede di prelevare almeno in parte i lauti guadagni… e a quel punto il “manager” scompare insieme ai soldi del malcapitato investitore.

Non inviate denaro a questi criminali; se ne avete inviato, consideratelo perduto per sempre. 

Se siete fra le vittime di questi imbroglioni, troncate ogni comunicazione con loro e fate una segnalazione (non una denuncia) alle vostre autorità di polizia. La polizia difficilmente potrà fare qualcosa per acciuffare i criminali o per ridarvi i vostri soldi, ma la segnalazione è importante perché se nessuno segnala questo genere di truffa le autorità non hanno idea di quanto sia diffusa, e senza dati e numeri sulla sua diffusione è difficile stanziare fondi o assegnare risorse al contrasto di questi reati.

Se avete dato ai truffatori numeri di carte di credito o coordinate bancarie, avvisate il vostro gestore o la vostra banca e vi dirà cosa fare. 

Se vi contatta qualcuno dicendo di essere un’autorità che è in grado di recuperare i vostri soldi, non credetegli: è un complice del truffatore, che vi chiederà altri soldi per “sbloccare” i vostri (inesistenti) guadagni. 

Se invece vi siete imbattuti in un sito-truffa di questo genere e volete segnalarlo alle autorità affinché venga bloccato, ci sono vari modi per farlo:

Un’altra cosa importante da fare è parlare in casa e agli amici di queste frodi, perché tutti abbiamo un amico o un parente particolarmente vulnerabile che potrebbe essere ingannato e tentato da questi criminali, che sanno essere convincenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – Svizzera, rapporto federale: raddoppiano gli incidenti informatici. Come rimediare (prima parte)

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.

Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.

[CLIP: Descrizione di un hackeraggio da “Mr. Robot”]

I toni drammatici di un telefilm come
Mr. Robot, dal quale è tratto questo spezzone, possono
sembrare fantasiosi ed esagerati, ma non sono poi così tanto lontani
dalla realtà degli attacchi informatici.

Le tecniche descritte da questa serie
sono infatti realistiche, anche se c’è qualche licenza narrativa
per esempio sui tempi di esecuzione, e sappiamo che sono realistiche
perché i resoconti reali degli addetti ai lavori raccontano di un
mondo sommerso di attacchi veri, sferrati contro aziende e
infrastrutture, da cui solo ogni tanto affiora nella cronaca qualche
episodio particolarmente sensazionale.

Fra questi resoconti c’è quello
semestrale dell’Ufficio federale della cibersicurezza svizzero o
UFCS, di cui è appena stata pubblicata una versione
aggiornata scaricabile, riferita al secondo semestre del 2023,
che contiene dati, statistiche, esempi di casi concreti e tantissime
risorse utili da conoscere per evitare di diventare uno di quei dati
e di entrare a far parte di quelle statistiche.

Ma è
scritto in linguaggio piuttosto tecnico, e a pochi verrà in mente di
leggersi quaranta pagine
fitte di un testo intitolato,
in modo molto pragmatico ma poco accattivante, Rapporto
semestrale 2023/II (luglio-dicembre) – Sicurezza delle informazioni –
La situazione in Svizzera e a livello internazionale.
L’ho fatto io per voi, e così posso raccontarvi le cose più
importanti da sapere per essere pronti alle nuove sfide di sicurezza
informatica. E se avete pensato che sicuramente ci sarà di mezzo
l’intelligenza artificiale, non avete torto.

Benvenuti
alla
puntata del 10
maggio 2024 del
Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie
e alle storie strane
dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Tecniche classiche in aumento, ma cala il
ransomware

Per capire correttamente questo rapporto è necessario partire da
una premessa che ci riguarda tutti: i suoi dati si basano sulle
segnalazioni degli attacchi, fatte alle autorità, ossia
all’Ufficio federale della cibersicurezza, da chi li ha subiti. I
numeri del rapporto, insomma, non rappresentano tutti i
“ciberincidenti”, per usare la terminologia del documento,
ma soltanto quelli segnalati.

Questo vuol dire che le segnalazioni sono importantissime per gli
addetti ai lavoro, contrariamente a quello che molti pensano, cioè
che sia inutile informare le forze dell’ordine di un attacco
subìto, perché tanto le speranze di ottenere la punizione dei
colpevoli sono minime. Sì, è vero che i criminali informatici
risiedono quasi sempre all’estero, in paesi nei quali sanno che non
verranno perseguiti, e quindi è improbabile avere giustizia o
riavere i soldi o i dati sottratti con la frode informatica, ma
segnalare gli attacchi serve per consentire agli esperti di sapere
quali sono le tecniche più frequenti e quindi per concentrare i loro
sforzi dove c’è maggiore bisogno, per poter avvisare
la popolazione e le imprese in caso di un’escalation della
minaccia”, come dice appunto il rapporto, e a volte serve anche
per scoprire tecniche inedite.

È importante anche distinguere le segnalazioni
dalle denunce: le
segnalazioni sono molto più semplici da fare. Il rapporto
consiglia di farle online, presso l’apposita
pagina dell’Ufficio Federale della Cibersicurezza oppure presso il sito
Antiphishing.ch.
Trovate i nomi e i link a tutte queste fonti presso
Disinformatico.info.

Detto questo, i numeri delle segnalazioni sono impressionanti: nel
secondo semestre del 2023 ne sono state inviate oltre 30.000, quasi
il doppio rispetto allo stesso periodo del 2022. L’aumento, dice il
rapporto, è causato soprattutto dalle truffe, sotto forma di
offerte di lavoro fraudolente” e
chiamate fasulle a nome della polizia”.

Le offerte di lavoro fasulle sono state diffuse soprattutto
tramite WhatsApp e hanno seguito uno schema piuttosto complicato che però illustra bene il livello di sofisticazione dei criminali. Chi
rispondeva a queste offerte riceveva infatti un elenco di mandati,
per esempio redigere recensioni di prodotti, in cambio di un compenso
versato su una piattaforma online gestita dai truffatori. Ma

il numero di mandati disponibili” dice il rapporto “si azzerava rapidamente.
Per accelerare l’attività e non dover aspettare, la piattaforma
dava la possibilità di generare a pagamento nuovi mandati. Per pochi
dollari si potevano così acquistare 50 nuovi mandati di recensione”
spiega sempre il rapporto,
aggiungendo che “Il guadagno promesso, che a sua volta
avrebbe dovuto essere accreditato sulla piattaforma, superava di
molto i costi, per cui la vittima pensava che valesse la pena
utilizzare quel modello. La brutta sorpresa arrivava quando si voleva
incassare il guadagno accumulato. Il gestore della piattaforma
richiedeva delle tasse per il versamento del guadagno finché la
vittima si accorgeva che si trattava di una truffa.”

Le prese di contatto fasulle a nome della polizia, invece, erano a
volte sotto forma di mail nelle quali si comunicava alla vittima che
era “ritenuta colpevole di un grave reato (in genere legato alla
pornografia minorile)” e che l’unico modo per evitare
un’azione penale era versare una somma di denaro. Ma i criminali
hanno anche effettuato raffiche di telefonate automatiche, nelle
quali una voce sintetica diceva di rappresentare un’autorità di
polizia e informava la vittima che per esempio i dati del suo conto
corrente privato erano emersi in relazione a un dato reato e che per
avere ulteriori informazioni doveva premere il tasto 1. Se la vittima
lo faceva, la chiamata veniva inoltrata a un sedicente “operatore”
che le chiedeva di scaricare un software di accesso remoto, che poi
permetteva al criminale di insinuarsi nel computer o nel telefono
cellulare per accedere alle credenziali di e-banking della vittima e
usarle per inviare soldi dal conto della vittima a quello dei
truffatori.

La classifica delle tecniche criminali più frequenti prosegue
citando la cosiddetta “truffa del CEO”, cioè quella in
cui gli aggressori fingono di essere un membro importante di
un’azienda e contattano uno dei dipendenti di quell’azienda per
convincerlo a inviare urgentemente del denaro a un conto bancario
controllato dai truffatori, dicendo che si tratta di un pagamento
necessario per concludere un grosso accordo commerciale.

Si colloca in alto in classifica anche la tecnica in cui i
criminali riescono a manipolare le fatture ricevute da un’azienda,
per esempio alterando le loro coordinate di pagamento in modo da
dirottare i soldi su un conto ancora una volta gestito dai
truffatori.

Tutte queste forme di attacco sono in aumento, mentre sono in
diminuzione gli attacchi di ransomware ai danni delle imprese,
ossia quelli nei quali i criminali chiedono denaro per sbloccare i
computer aziendali di cui hanno preso il controllo oppure per non
disseminare i dati aziendali di cui si sono impadroniti.

Ma non sono mancati i tentativi di inganno basati
sull’intelligenza artificiale.

Se ti hanno filmato nudo, dì che è un deepfake:
IA nel crimine online

Il rapporto dell’Ufficio federale di cibersicurezza (o UFCS)
nota che nel 2023 i criminali hanno iniziato a usare l’intelligenza
artificiale nei loro attacchi. Per ora, dice il rapporto, non si
tratta ancora di un uso sistematico ma solo di “tentativi con
cui i truffatori cercano di sondare cosa sia possibile o redditizio”.

In alcuni di questi tentativi segnalati, l’intelligenza
artificiale è stata usata “per creare foto o video
compromettenti allo scopo di ricattare la vittima. Basta che i
criminali siano in possesso di filmati o fotografie del tutto
innocenti registrate o scattate personalmente dalla vittima in
precedenza o magari accessibili a tutti su Internet. Da questi video
innocui l’IA crea filmati pornografici o immagini di nudo”,
ossia dei deepfake.
L’UFCS “ritiene che questa forma di estorsione crescerà
vertiginosamente negli anni a venire”,
ma nota anche che l’esistenza
dei deepfake è
ampiamente conosciuta dal grande pubblico e
quindi questa forma di ricatto potrebbe risultare inefficace perché
anche chi è stato realmente
ripreso dai criminali in video compromettenti potrebbe
dire tranquillamente che si tratta di una ripresa fabbricata con l’intelligenza
artificiale.

I video
falsi generati con l’intelligenza artificiale sono stati usati dai
criminali anche in un’altra forma, facendo dire in video a persone
famose, come politici o grandi imprenditori, raccomandazioni
di investimenti in criptovalute che erano in realtà fraudolenti.

Un altro esempio interessante di
uso criminale dell’intelligenza artificiale viene segnalato dal
rapporto dell’UFCS notando che varie imprese hanno segnalato di
aver ricevuto “telefonate da loro presunti dipendenti
che, con voce perfettamente simulata, si sarebbero informati su
questioni aziendali interne o avrebbero disposto l’esecuzione di
pagamenti. I dipendenti in questione, tuttavia, erano completamente
ignari di queste telefonate, che con tutta probabilità vengono
generate tramite deepfake”,
cioè con voci sintetiche
generate usando campioni di quelle reali.

Il rapporto cita anche un caso
molto particolare nel quale si sospetta l’uso dell’intelligenza
artificiale: sono state
segnalate mail truffaldine, in apparenza provenienti da banche,
scritte in svizzero tedesco, forse
con lo scopo di sembrare
più realistiche e familiari, perché in effetti è facile pensare
che sia improbabile che un criminale informatico che sta in chissà
quale paese lontano sappia scrivere in una lingua così locale.
Ma l’UFCS nota che nel
mondo degli affari svizzero “si utilizza di prassi il
tedesco standard” e
che “[u]na presunta e-mail ufficiale proveniente
da una banca e scritta in dialetto tenderebbe a insospettire la
vittima piuttosto che convincerla a cliccare sul relativo link”.
I criminali, in questo caso,
hanno insomma preso un granchio.

Tuttavia c’è un altro settore
del crimine informatico in cui ha molto senso usare il dialetto: “le
truffe legate ai piccoli annunci […]. Questo stratagemma infonde
fiducia nella vittima, dando l’impressione che acquirente e
venditore provengano dalla medesima regione (linguistica)”.
Sono già stati osservati i primi casi di annunci online fraudolenti
scritti in buon svizzero tedesco, presumibilmente
usando software di traduzione basati sull’intelligenza
artificiale, per cui l’uso
di questa forma di comunicazione non deve far abbassare la guardia, e
sapere questo fatto è il primo passo verso la prevenzione degli
attacchi.

Torna il “voice phishing”

Il rapporto dell’Ufficio federale di cibersicurezza si sofferma
poi sull’impennata di segnalazioni di una tecnica di attacco
solitamente rara: il voice phishing,
ossia l’ottenimento delle credenziali di sicurezza di una vittima
attraverso una telefonata fatta a voce, in
tempo reale, dai criminali.

Verso la fine dell’anno scorso
sono stati segnalati molti casi di chiamate “da parte di
sedicenti impiegati di banca, che facevano credere di voler bloccare
un pagamento fraudolento. In alcuni casi il numero di telefono
visualizzato corrispondeva persino a quello ufficiale della banca: si
tratta in realtà di un numero che, attraverso la tecnica dello
«spoofing», viene falsificato dai truffatori per farlo sembrare
credibile.” Conviene insomma
sapere che il numero di telefono del chiamante che vedete sullo
schermo del vostro telefono non è affatto una garanzia di
autenticità, come invece pensano in molti.

Ma l’astuzia dei criminali non
si limita alla falsificazione del numero del chiamante. In alcuni
casi, segnala il rapporto dell’UFCS,
il finto impiegato di banca “consigliava di telefonare
immediatamente alla divisione antifrode della Polizia cantonale e
comunicava altresì il numero da chiamare”, dice il rapporto. Una
cortesia spiazzante, che di certo non fa pensare che l’interlocutore
sia un criminale, ma c’è l’inghippo: il numero che veniva
fornito non era
quello della divisione antifrode ma era
anch’esso gestito
dai malviventi.

L’altro ingrediente spiazzante
usato dai truffatori è l’apparente conoscenza della banca usata
dalla vittima. È capitato anche a me di ricevere una di queste
telefonate, nella quale la truffatrice (era una voce femminile)
diceva che c’era un problema sul mio conto bancario e citava
proprio la banca presso la quale ho un conto. Come fanno i criminali
ad avere queste informazioni?

In realtà non le hanno, spiega
il rapporto dell’UFCS:
“gli aggressori si spacciano per impiegati di una
grande banca, visto che la probabilità che la vittima vi abbia
effettivamente un conto è statisticamente più alta”.
In altre parole, tirano a
indovinare e spesso ci azzeccano.
E se sbagliano, dice
il rapporto, “nel
corso della telefonata cercano di scoprire quale sia l’istituto
bancario della vittima e quindi richiamano poco tempo dopo, ma questa
volta a nome della banca «giusta».”

E le
loro astuzie non finiscono qui: l’UFCS
cita infatti
il caso di una vittima alla quale il sedicente
impiegato di banca ha chiesto se negli ultimi giorni avesse
predisposto un pagamento di una somma consistente a
favore di una specifica persona, di cui il finto impiegato ha citato
nome e cognome. La vittima conosceva
effettivamente quella persona: come facevano i truffatori ad avere
un’informazione così precisa e apparentemente rassicurante?

L’UFCS
ha scoperto che “sia
il nome che il numero di telefono della vittima e del presunto
destinatario erano comparsi in una presentazione pubblica che i due
avevano effettuato insieme in passato. Questo dimostra che gli
aggressori spulciano sistematicamente Internet alla ricerca di
informazioni che possono poi sfruttare per attacchi di social
engineering mirati.”

Il social engineering
è quella tecnica di attacco
informatico che si basa sul conquistare la fiducia della vittima
mostrando di conoscere informazioni che in apparenza solo un vero
impiegato di banca o di un’azienda potrebbe avere. Ma le nostre
vite sono sempre più pubbliche e condivise, grazie
anche alla quantità di informazioni che noi stessi riversiamo nei
social network, e i criminali sanno come trovarle e sfruttarle contro
di noi. Anche
qui, sapere che i criminali non pescano a caso ma anzi spesso si
studiano bene la vittima è il primo passo verso la prevenzione.

Il
rapporto dell’UFCS prosegue con la descrizione di molti altri tipi
di attacco, anche a livello internazionale e in situazioni di guerra,
e con le raccomandazioni su
come difendersi bene. Ma
queste sono storie che meritano di essere raccontate per bene in una
puntata a parte.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Vignetta elettronica svizzera, prova pratica. Utile anche per i turisti

Vignetta elettronica svizzera, prova pratica. Utile anche per i turisti

In Svizzera non ci sono mai code ai caselli autostradali semplicemente perché non esistono i caselli: gli automobilisti e motociclisti
(anche esteri) che usano le autostrade nazionali contribuiscono al loro
finanziamento attraverso una tassa annuale di 40 CHF (43 euro, al cambio
attuale) per ciascun veicolo. Questa tassa viene riscossa e verificata tramite
un particolare contrassegno adesivo, la vignetta, che va applicato in
modo visibile e non rimovibile alla superficie interna del parabrezza dell’auto
o a una parte non rimovibile (anche se non visibile) della moto.

Senza vignetta non è consentito circolare sulle autostrade e semiautostrade
svizzere ma si può circolare liberamente su tutte le altre strade: per
esempio, un turista che non percorre le autostrade può viaggiare in Svizzera
senza comprare una vignetta. Se lo beccano in autostrada senza vignetta sono
guai. La vignetta dura 14 mesi: da inizio dicembre dell’anno precedente a fine
gennaio dell’anno successivo.

Comprare e applicare la vignetta nuova per poi raschiar via quella vecchia
(fatta apposta per disintegrarsi in mille pezzetti) è uno dei rituali della
vita in Svizzera. Da metà del 2023, però, è possibile acquistare in
alternativa il
contrassegno elettronico o e-vignetta, che elimina quest’incombenza e ha il grosso pregio
aggiuntivo di
coprire due veicoli
per chi, come me, ha le targhe trasferibili.

* Lo so che sembra strano, ma in Svizzera si possono avere due auto
immatricolate con la stessa targa. La targa è facilmente rimovibile e
trasferibile da un veicolo all’altro. Le due auto del Maniero, Elsa e Tess,
condividono la targa. Questo riduce moltissimo le tasse annuali, ma in
compenso può circolare uno solo dei due veicoli in un dato momento; non
possono circolare entrambi contemporaneamente. A noi questa soluzione va
benissimo, visto che guidiamo una sola delle auto per volta e non ci capita
mai di doverle usare contemporaneamente.

La vignetta adesiva tradizionale, invece, copre il singolo veicolo, per cui
anche chi ha le targhe trasferibili si trova a doverne comprare due. Così
quest’anno sono passato alla e-vignetta, che ha anche altri pregi: può essere
comprata online a qualunque ora e anche dall’estero, evitando quindi ai
turisti la perdita di tempo dell’acquisto in frontiera.

La procedura è piuttosto semplice. Per prima cosa si va sul sito e-vignette.ch, che
porta alla
sezione apposita del negozio
online della Confederazione. Diffidate di qualunque link o sito alternativo e digitate sempre a mano il nome del sito e-vignette.ch; sono già attivi siti-truffa che cercano di approfittare della novità e della distrazione degli utenti.

Fatto questo, si clicca su Acquistare sotto l’icona
del contrassegno elettronico 2024, si sceglie la categoria (nel mio caso,
Veicolo a motore), il paese di immatricolazione (Svizzera, per me, ma
si può scegliere il proprio paese se si è turisti), si inserisce due volte il
numero di targa completo e infine si sceglie se permettere ad altri di sapere
se è già stata emessa una e-vignetta valida per quel veicolo (questo è utile
per chi usa veicoli a noleggio oppure in car sharing).

Fatto questo, si aggiunge la e-vignetta al carrello (cliccando su
Aggiungi al carrello), si immette facoltativamente un indirizzo di mail
al quale farsi spedire la conferma d’acquisto, si accetta la dichiarazione
sulla protezione dei dati e finalmente si clicca su Vai alla cassa.

Il pagamento è effettuabile con Mastercard, Visa, American Express,
Postfinance, l’online banking della Posta, Twint (un servizio di pagamento
online molto popolare in Svizzera) e Google Pay.

Quando l’operazione va a buon fine, il sito avvisa che non è necessario
stampare la ricevuta o portarla con sé in altra forma: in caso di controllo
verrà verificata soltanto la targa.
“Il controllo del contrassegno elettronico avviene tramite verifiche a
campione della targa di controllo al confine da parte dei collaboratori
dell’Ufficio federale della dogana e della sicurezza dei confini (UDSC),
nonché all’interno del Paese dalla polizia. Non sono previsti impianti per i
controlli automatizzati”,
scrive
l’UDSC stesso.

Ho lasciato intenzionalmente visibile la targa perché è un riferimento a Star Trek.

Addio raschietti e alcool e truciolini di plastica sparsi per l’abitacolo. I
tradizionalisti possono comunque continuare con la vignetta fisica, che rimane disponibile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
La Svizzera si prepara alla guida semi-autonoma con nuove leggi: meglio evitare entusiasmi eccessivi. Ne ho parlato a Ticinonews

La Svizzera si prepara alla guida semi-autonoma con nuove leggi: meglio evitare entusiasmi eccessivi. Ne ho parlato a Ticinonews

Pubblicazione iniziale: 2023/10/21 13:35. Immagine generata da
Lexica.art.

Si potranno togliere legalmente le mani dal volante, ma bisognerà sempre
essere pronti a intervenire: questa, in sintesi, la novità più importante
delle nuove normative svizzere sulla guida autonoma e assistita annunciate nei
giorni scorsi.

A primavera scorsa il Parlamento svizzero ha approvato la revisione della
Legge federale sulla circolazione stradale, creando le condizioni quadro, e il 18 ottobre scorso il Governo federale ha
pubblicato due ordinanze, una sulla guida automatizzata e una sugli aiuti
finanziari a soluzioni innovative per i trasporti su strade pubbliche, che
definiscono le modalità di attuazione della legge in questione. Ora si avvia
il processo di consultazione, che durerà fino al 2 febbraio 2024.

Le novità principali dell’ordinanza sulla guida automatizzata sono due:

  • La prima è che i veicoli appositamente attrezzati con sistemi di guida
    assistita (non autonoma; l’ordinanza usa il termine
    automatizzata per indicare la guida assistita) consentiranno al
    conducente di togliere legalmente le mani dal volante nelle
    situazioni opportune, pur restando sempre responsabile della condotta del
    veicolo. Oggi ci sono vari sistemi di guida assistita che lo consentono
    tecnicamente, ma non legalmente (anche se il mantenimento di corsia è
    affidato all’auto, il conducente ha l’obbligo legale di tenere le mani sul
    volante).
  • La seconda è che il parcheggio automatizzato senza conducente sarà
    legalmente possibile negli spazi appositi. Le auto adeguatamente
    equipaggiate potranno quindi essere lasciate a un punto specifico di un
    parcheggio apposito e andranno a cercarsi da sole un posto per parcheggiare.

Chi ha in mente di comprarsi oggi una Tesla, una Mercedes o una Ford e
mettersi a leggere il giornale o fare un pisolino mentre l’auto lo porta a
destinazione farà bene a smorzare le proprie attese: neppure sistemi di punta
come Autopilot e FSD, Drive Pilot e BlueCruise (dei costruttori che ho citato
sopra) consentono di farlo, né tecnicamente (salvo sabotaggi da
incoscienti) né legalmente.
Il conducente resta legalmente responsabile della condotta del veicolo
sempre e comunque e deve essere pronto a intervenire in ogni momento
(l’unica possibile eccezione, che io sappia, è Drive Pilot di Mercedes, ma
solo in particolari condizioni di guida, e resta ancora da vedere se la nuova
normativa svizzera consentirà questo tipo di responsabilità del costruttore).

Un altro aspetto interessante è che i sistemi di assistenza alla guida
dovranno essere omologati e spetterà alle case costruttrici dimostrare che
funzionano correttamente, garantendo sicurezza e fluidità del traffico per
tutti gli utenti delle strade.

Per chi vuole consultare il testo ufficiale delle ordinanze e i rapporti
esplicativi, che contengono molti riferimenti normativi utili e anche informazioni sullo stato dell’arte e della legge in altri paesi europei, sono a disposizione in italiano nell’apposita
pagina del sito dell’Ufficio federale delle strade. Il
comunicato stampa
è disponibile in italiano.

Dal Rapporto esplicativo sull’ordinanza sulla guida automatizzata, pagina 4,
cito questo paragrafo fondamentale, che chiarisce una situazione spesso
fraintesa da molti utenti di auto dotate di assistenti di guida (ho aggiunto
io i grassetti):

In Svizzera l’attuale situazione giuridica
esclude la possibilità di utilizzare su strada i sistemi di automazione conformemente alla loro destinazione d’uso. La legge sulla circolazione
stradale (LCStr) prescrive che il conducente debba costantemente padroneggiare
il veicolo in modo da potersi conformare ai suoi doveri di prudenza (dovere di
controllo) [Art. 31 cpv. 1], il che implica nello specifico il
divieto di lasciare il volante [Art. 3 cpv. 3 ordinanza sulle norme della circolazione stradale (ONC; RS
741.11)]. Finora i veicoli a guida automatizzata hanno pertanto circolato in Svizzera
solo con autorizzazioni eccezionali nel quadro di esperimenti.

Segnalo anche altri paragrafi importanti:

I veicoli devono in particolare essere dotati di un registratore di guida che
rilevi le interazioni tra sistema di automazione e conducente od operatore e
tenga traccia degli eventi che si verificano mentre è attivo il sistema di
automazione. È inoltre stabilito chi ha diritto ad accedere ai dati rilevati
dal registratore di guida e a che scopo [pag. 5]

L’utilizzo di sistemi di automazione implica anche l’acquisizione di nuove
competenze e conoscenze e ciò vale sia per i veicoli che continuano a
necessitare di un conducente sia per quelli che ne sono privi. Per non
intralciare inutilmente la diffusione di veicoli a guida automatizzata, si
rinuncia a un apposito esame di guida e si prescrive una formazione
obbligatoria unicamente per i veicoli senza conducente. Chi guida o monitora
un veicolo a guida automatizzata è tenuto a conoscere le funzionalità del
sistema e prendere visione delle istruzioni d’uso del costruttore, cui spetta
l’obbligo di fornirne di idonee. Chi acquista un veicolo a guida automatizzata
deve essere informato dal rivenditore sull’utilizzo conforme del sistema di
automazione e sui dati memorizzati al riguardo. Nel caso di veicoli privi di
conducente, l’operatore o la persona che se necessario guida manualmente un
veicolo sprovvisto di comandi convenzionali (ad es. mediante telecomando) deve
seguire una formazione presso il costruttore [pag. 8]

Sono intervenuto a Ticinonews sulla questione, cercando di riassumerla in
termini semplici e pratici. La registrazione e la trascrizione sono
qui sul sito di Ticinonews.

Fonti aggiuntive:
TVsvizzera,
Corriere del Ticino.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il governo svizzero sbarca su Mastodon, con una propria istanza: social.admin.ch

Il governo svizzero sbarca su Mastodon, con una propria istanza: social.admin.ch

Pubblicazione iniziale: 2023/09/12 21:46. Ultimo aggiornamento: 2023/09/13 10:30.

Oggi (12 settembre) è stata annunciata ufficialmente l’apertura di un’istanza
Mastodon della Cancelleria federale svizzera:
social.admin.ch. Qui sotto trovate il
testo del
comunicato stampa in italiano.

Notate le osservazioni sull’indipendenza da singole imprese e sulla protezione
dei dati personali, ossia tutto il contrario dei social network commerciali,
che creano dipendenza da un singolo fornitore e raccolgono dati personali come
parte essenziale del loro modello commerciale. L’apertura su Mastodon è un
passo molto interessante del governo per offrire informazioni ai cittadini
senza costringerli a iscriversi a social network ficcanaso.

La Confederazione dà avvio a un esperimento pilota su Mastodon

Berna, 12.09.2023 – La Cancelleria federale ha aperto un’istanza su
Mastodon. Nell’ambito della comunicazione governativa intende così
sperimentare un media sociale organizzato in modo decentralizzato. Su questa
istanza, Consiglio federale e dipartimenti possono gestire dei conti
ufficiali (account). La durata dell’esperimento pilota è limitata a un anno.

Da molti anni il Consiglio federale e l’Amministrazione federale utilizzano
i media sociali per comunicare. Questi ultimi li supportano nell’adempimento
del mandato legale d’informazione permettendo loro di raggiungere parti di
popolazione, soprattutto i più giovani, che sarebbero difficilmente
raggiungibili su altri canali.

Nell’ambito di un esperimento pilota, la Cancelleria federale ha deciso di
aprire un’istanza su Mastodon. Denominata «social.admin.ch», tale istanza è
a disposizione del Consiglio federale e dei dipartimenti affinché possano
registrare i loro conti ufficiali. Gli utenti che dispongono di un conto
presso un’altra istanza possono seguire i conti registrati sull’istanza
social.admin.ch e leggere i relativi contenuti, conformemente alla logica e
agli usi di Mastodon.

Attualmente il DFAE, il DFI e il DEFR prevedono di gestire uno o più conti
ufficiali sull’istanza social.admin.ch. La Cancelleria federale stessa ne
gestisce uno per il portavoce del Consiglio federale.

Mastodon presenta alcune caratteristiche allettanti per la comunicazione a
livello governativo. La piattaforma è organizzata in modo decentralizzato e
non lavora su un server centrale. Per questo essa si sottrae al controllo
sia di una singola impresa sia delle autorità statali di censura. Mastodon
rispetta la protezione dei dati. La sorte dei dati degli utenti è decisa dai
gestori delle istanze. Molti di loro sono trasparenti; nel rilevare i dati
si limitano a quanto strettamente necessario per la gestione dell’istanza ed
escludono esplicitamente la vendita e il commercio di dati. Anche l’istanza
della Cancelleria federale sarà gestita nel rispetto della protezione dei
dati.

I media sociali sono in rapida evoluzione. La Confederazione segue
costantemente questi sviluppi anche per verificare se prendere in
considerazione nuove piattaforme o piattaforme esistenti non ancora
utilizzate dall’Amministrazione federale quali canali d’informazione.
L’esperimento pilota con Mastodon va visto in questo contesto. Non ha
ripercussioni sull’utilizzo di altre piattaforme di media sociali da parte
del Consiglio federale o dell’Amministrazione federale. La durata
dell’esperimento è limitata a un anno. L’ulteriore modo di procedere sarà
deciso alla luce delle esperienze acquisite.

Per i non svizzeri: DFAE è il Dipartimento federale degli affari esteri; DFI è
il Dipartimento federale dell’interno (@EDI_DFI@social.admin.ch); DEFR
è il Dipartimento federale dell’economia, della formazione e della ricerca.

L’account Mastodon del portavoce del Consiglio federale, André Simonazzi,
è @gov@social.admin.ch.

Per chi volesse iscriversi a Mastodon (gratuitamente e senza dare dati
personali a nessuna azienda, ottimo sostituto dell’ormai impresentabile e
inutilizzabile Twitter/X), ho preparato una
miniguida facile facile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Raffica di attacchi contro siti istituzionali svizzeri: il punto della situazione stamattina a Modem (RSI)

Raffica di attacchi contro siti istituzionali svizzeri: il punto della situazione stamattina a Modem (RSI)

Stamattina sono stato ospite del programma
Modem
della Radiotelevisione Svizzera (Rete Uno) per parlare della serie di attacchi
informatici che hanno colpito numerosi siti istituzionali nazionali, su due
filoni: distributed denial of service da una parte e
ransomware con esfiltrazione e pubblicazione di dati sensibili. 

L’annuncio fatto dal gruppo Play dell‘esfiltrazione dei dati dal sito di Xplain. Fonte:
Bleepingcomputer.com.

Potete riascoltare la
puntata
qui sotto:

Questo è il mio rapido riassunto delle informazioni pubblicate sugli attacchi
noti fin qui, sugli aggressori e sulle misure di difesa possibili.

  • Ci sono rivendicazioni di un gruppo filorusso che si fa chiamare
    NoName. Il Centro Nazionale per la Cibersicurezza conferma
    “legami con la Russia del gruppo responsabile” (RSI).
  • Il gruppo NoName ha un canale Telegram pubblicamente accessibile, dove
    annuncia i propri attacchi in inglese (NoName057(16) Eng) e in russo
    (NoName057(16)).  
  • 15 giugno: NoName rivendica DDOS contro RUAG e
    “ZVV – la  rete di trasporto che copre il cantone di Zurigo e le
    aree adiacenti – Svizzera turismo e SwissID, i cui siti web sono risultati
    temporaneamente inaccessibili.”
    (RSI). 
  • 14 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un altro comunicato stampa sull’attacco ai danni di Xplain, nel quale precisa che “tra i dati di Xplain rubati e criptati vi erano probabilmente anche dati operativi dell’Amministrazione federale”, diversamente da quanto annunciato inizialmente. “Le diverse autorità e organizzazioni interessate devono chiarire se i dati trafugati sono attuali e se la loro pubblicazione possa comportare implicazioni di ampia portata. […] Dato che sono stati colpiti dati operativi, diversi servizi dell’Amministrazione federale hanno sporto denuncia penale o stanno prendendo in considerazione misure simili. Ciò permetterebbe di chiarire per quale motivo i dati dell’Amministrazione federale sono finiti nel sistema della ditta Xplain”. Un’ipotesi è che si tratti di dati condivisi con Xplain per risolvere questioni tecniche (cose per esempio del tipo “questo allegato in una mail inviata da un cliente fa scattare l’antivirus/l’antispam, ti giro la mail per fartela analizzare”).
  • 14 giugno: NoName rivendica DDOS al sito della Città di Bellinzona, effettuato con circa 1500
    computer al ritmo di 70.000 richieste/secondo (RSI).
  • 14 giugno: NoName rivendica DDOS ai siti del Canton Basilea Città, città di Zurigo, San Gallo
    (RSI) (La Regione).
  • 13-14 giugno: pubblicati nel dark web
    “altri dati operativi sottratti in precedenza all’Amministrazione
    federale. Questi attacchi di tipo ransomware erano stati inflitti a fine
    maggio ai danni di Xplain, ditta svizzera che fornisce software per le
    autorità e avevano interessato, tra gli altri, l’Ufficio federale di
    polizia (Fedpol) e l’Ufficio federale della dogana e della sicurezza dei
    confini (UDSC), nonché le FFS e le autorità di polizia cantonali.”
    (RSI). Attribuito al gruppo che si fa chiamare Play.
    “Non vi sono tuttavia ancora prove che i sistemi federali siano stati
    attaccati direttamente. Visto che sono stati colpiti dati operativi,
    diversi servizi dell’amministrazione federale hanno sporto denuncia penale
    o stanno prendendo in considerazione misure simili. Ciò permetterebbe di
    chiarire per quale motivo questi dati sono finiti nel sistema della ditta
    Xplain, una società che sviluppa, tra l’altro, applicazioni per i servizi
    cantonali di esecuzione delle pene.”
    (RSI).
  • 14 giugno: NoName rivendica DDOS contro il sito dell’aeroporto di Ginevra (Swissinfo).
  • 8 giugno: NoName rivendica DDOS contro il sito del Parlamento svizzero, Parlament.ch (Swissinfo). Non è corretto dire che il gruppo di criminali informatici si è
    “intrufolato”, come scrive
    La Regione: un DDOS non sfonda le difese, non entra nel sito, ma lo rende
    inaccessibile agli utenti legittimi.
  • 8 giugno: il Centro Nazionale per la Cibersicurezza (NCSC) pubblica un comunicato stampa sull’attacco ai danni di Xplain.
  • 3 giugno:
    “L’esercito svizzero, l’Ufficio federale della dogana e della sicurezza
    dei confini (UDSC), l’Ufficio federale di polizia (Fedpol) e diversi corpi
    di polizia cantonali sono indirettamente toccati da un attacco
    cibernetico. Secondo rivelazioni pubblicate sabato dal quotidiano romando
     Le Temps, l’aggressione ha visto come vittima Xplain, una società
    informatica bernese a cui facevano riferimento tutte le entità in
    questione… Si parla di sei file compressi contenenti migliaia di
    documenti, provenienti dalla società con sede a Interlaken (BE)
    specializzata in servizi di sicurezza informatica… UDSC e Fedpol hanno
    confermato a Keystone-ATS che sono state divulgate delle informazioni,
    minimizzando la portata di quanto accaduto: l’Ufficio delle dogane
    sostiene che non sono stati sottratti dati interni, bensì elementi legati
    alla corrispondenza con clienti, mentre Fedpol afferma che l’attacco non
    ha interessato i suoi progetti, ma soltanto “dati di simulazione
    anonimizzati a scopo di test”.”
    (Tvsvizzera.it)
  • L’attacco contro Xplain sembra un classico caso di
    supply chain attack, nel quale l’aggressore prende di mira un fornitore di servizi o risorse
    tecniche del bersaglio effettivo e lo usa per raggiungere quel bersaglio.
    Tecnica molto efficace, usata già per esempio per i grandi attacchi di
    Solarwinds e NotPetya.
  • A fine maggio il gruppo Play ha fatto ransomware a Xplain (annuncio pubblico
    del gruppo il 23 maggio) e ha colpito anche i media: CH Media e NZZ (The Local). Colpiti indirettamente anche le FSS e il Cantone di Argovia (RSI) il Dipartimento dell’istruzione di Basilea Città, l’amministrazione
    comunale di Rolle (Vd),
    “l’Università di Neuchâtel e il caseificio Cremo nel Cantone di
    Friburgo”
    (La Regione).
Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Attenzione al falso “concorso Manor” di San Valentino: è spam che riempie il telefono di pubblicità

In Svizzera sta circolando un finto concorso apparentemente associato alla
notissima catena di grandi magazzini Manor.
Non condividete il link al “concorso”: è spam.

Il link in questione è
http://lever***scramble.cn/Manor-v2w/tb.php?oo=zo1676573320813 (con
age al posto dei tre asterischi), che porta poi a
50xun9d(punto)cn. Già il suffisso CN, che indica la Cina,
dovrebbe far riflettere: perché mai Manor dovrebbe gestire i suoi concorsi
attraverso un sito cinese? Ma forse gli utenti distratti non si accorgeranno
del suffisso .cn, visivamente abbastanza simile a .ch, e i
truffatori contano proprio sulla disattenzione delle vittime.

Il “concorso” dapprima fa fare un gioco (che in realtà è truccato, per cui si
“vince” sempre) e poi chiede di mandare una copia del link/invito ad almeno 20
contatti su WhatsApp o Messenger per poter accedere ai “premi”, che
ammonterebbero (dicono i truffatori) a 2000 franchi. Se mandiamo questo
link/invito, esponiamo i nostri amici e colleghi alla stessa trappola, di cui
probabilmente si fideranno perché arriva da una persona di cui si fidano.

In realtà ho visto che non c’è bisogno di mandare questi inviti: se si clicca
tante volte si passa lo stesso al livello successivo. La barra di progressione
alla fine arriva al 100% senza aver dato i contatti di nessuno.

Dopo aver chiesto di “registrare” un’app, inizia il bombardamento
pubblicitario. La truffa sembra consistere proprio in questo: sfruttare un nome
molto conosciuto (quello della Manor) per sembrare credibili e convincere il
maggior numero possibile di persone a seguire le istruzioni e condividere il
link, in modo da incassare denaro per la visualizzazione di pubblicità.

Ovviamente Manor, che ha già smentito ogni legame con questo “concorso”, ne
può subire un danno reputazionale.

Ho già segnalato a Google il sito truffaldino; chiedo anche a voi di fare
altrettanto usando l’apposita opzione del vostro browser oppure andando a
questo link per Firefox.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Svizzera, cosa fare se la TV digitale di Sunrise non vi funziona più e siete ex clienti UPC (come me)

Svizzera, cosa fare se la TV digitale di Sunrise non vi funziona più e siete ex clienti UPC (come me)

Se siete utenti della TV digitale diffusa via cavo in Svizzera da Sunrise e
improvvisamente non vi funziona più, forse la causa è più banale di quel che
potreste immaginare. Io ci ho perso due settimane, restando per ore al telefono
con l’assistenza clienti senza che si riuscisse a venirne a capo. Poi è arrivata
la rivelazione.

Ve la condivido subito, così non perderete tempo anche voi:
se siete ex clienti UPC passati a Sunrise e di colpo il servizio cessa di
funzionare, assicuratevi prima di tutto che il vostro TV Box sia marchiato
Sunrise. Se è ancora marchiato UPC, ditelo subito all’assistenza clienti e
fatevene mandare uno marchiato Sunrise. Insistete e siate inamovibili. Qui
sotto spiego perché.

Piccola premessa per i non svizzeri: in quasi tutta la Confederazione la TV è
diffusa via cavo coassiale da molti anni, dapprima in formato analogico e poi
in formato digitale. Le tipiche antenne sui tetti, così diffuse in altri
paesi, qui sono rarissime. Oggi c’è la concorrenza dei canali TV satellitari e
dello streaming via Internet, ma “la via cavo”, come si chiama
comunemente qui, è ancora diffusissima. Sul coassiale viaggia anche Internet,
e qui al Maniero Digitale ho una connessione di questo tipo che mi offre un
gigabit in download e 100 megabit in upload.

Il mio provider, sia per Internet sia per la TV, è
Sunrise. Prima avevo UPC, ma UPC si è fusa
con Sunrise e così alcuni mesi fa sono diventato cliente Sunrise (e in questa
migrazione sta, temo, l’origine di tutte le mie tribolazioni).

La migrazione inizialmente è andata bene: è cambiato il software sul TV Box
(il ricevitore che prende il segnale digitale dal cavo coassiale e lo passa
alla TV tramite cavo HDMI), la Dama del Maniero ed io abbiamo continuato a
ricevere i programmi TV, e anche il servizio Internet è stato erogato senza
interruzioni (a parte il tempo di installare un nuovo “modem” per gestire la
connessione a 1 gigabit).

Il 5 dicembre scorso la Dama mi ha segnalato che la sua Apple TV
personale (foto qui accanto, che mostra solo il monitor ma non l’Apple TV vera e propria) non le permetteva più di vedere i programmi TV tramite l’apposita app
di Sunrise. Compariva sullo schermo la dicitura “Accesso non possibile – Per utilizzare la Sunrise TV App sulla tua piattaforma TV, hai bisogno di
un abbonamento attuale a Sunrise TV con o senza Sunrise TV box”, seguita dalla richiesta di digitare di nuovo nome utente e password.
Anche il TV Box non dava più accesso, con un codice di errore CS9993. Un guasto
strano, visto che la Apple TV riceve il servizio TV di Sunrise via Internet (e
la connessione a Internet era perfettamente funzionante) mentre il TV Box riceve
il servizio TV di Sunrise tramite cavo coassiale.

Ho pensato a un errore di digitazione delle credenziali (erano giuste), poi a
un errore di software (ho rimosso e reinstallato l’app di Sunrise), poi a un
difetto della Apple TV (ho reinstallato il sistema operativo e ho fatto tutti
gli aggiornamenti), ma niente da fare. Intanto il diagnostico del TV Box dava
segnale inesistente sul cavo (cosa impossibile, visto che Internet
funzionava).

Dopo aver aspettato qualche giorno pensando che potesse trattarsi di un
malfunzionamento temporaneo del servizio, il 9 dicembre ho iniziato il
calvario delle chiamate al servizio clienti: gentilissimo, per carità, e
dotato di pazienza infinita, ma chiaramente gestito da persone che devono
seguire un diagramma di flusso scritto da altri e non sanno come funziona
l’hardware. Ho spiegato il problema, precisando che ero un ex utente UPC,
descrivendo dettagliatamente tutti i sintomi e aggiungendo che avevo già
provato a reinstallare sia l’app sia il sistema operativo sulla Apple TV. Ma
gentilmente e pazientemente mi hanno chiesto di rifare tutto quanto da capo.
Ovviamente non è servito a nulla.

Poi gentilmente e pazientemente hanno provato a cambiarmi nome utente e
password tramite i loro sistemi, e io pazientemente ho immesso le nuove
credenziali nell’Apple TV. Altrettanto ovviamente, non è servito a nulla
neanche questo. La Apple TV ha continuato a non dare accesso ai servizi
Sunrise. 

Intanto il TV Box (lo scatolotto nero appena visibile sotto il televisore, sulla destra, nella foto qui accanto) aveva cambiato errore: a questo punto dava il codice
Errore del conto CS1011 e diceva
“Non siamo in grado di recuperare i dettagli del tuo account. Per favore
contattaci”. Cosa che appunto stavo facendo, ma non stava servendo a nulla.

Siamo andati avanti così per un paio di giorni, con infiniti tentativi di
cambio password e nome utente e persino con un reset da remoto
del modem (fatto prima che io li potessi fermare e costatomi una mezza
giornata per reimpostare tutta la configurazione), mentre io dicevo che era
chiaro che era inutile continuare a tentare con cambi di password perché non
si trattava di un errore nel mio dispositivo o nel suo software ma c’era un
problema nella loro gestione degli accessi. Infatti se immettevo nell’Apple TV
le credenziali giuste
compariva “Accesso non riuscito”; se invece sbagliavo
intenzionalmente le credenziali, mi diceva
“Nome utente o password non valido”.

Paradossalmente, però, le credenziali funzionavano perfettamente se immesse
nell’app Sunrise per telefonini o nel
sito Web di Sunrise per vedere la TV
in streaming tramite browser.

Dopo l’ennesimo tentativo infruttuoso di rianimare l’Apple TV, l’assistenza
clienti telefonica si è arresa e ha finalmente deciso di inviare un tecnico
al Maniero.

Ci siamo ingegnati guardando la TV via browser e tramite il servizio
concorrente (Zattoo) in attesa della Fatidica Visita.

Il 19 dicembre è arrivato il tecnico della Cablex, l’azienda che fa
l’assistenza in loco per i clienti Sunrise. ha fatto qualche test di base,
confermando che il segnale sul cavo coassiale era ottimo, ha ascoltato
pazientemente la mia spiegazione dei sintomi e ha visto che non stavo
vaneggiando, e inizialmente ha alzato bandiera bianca: un Apple TV che non
accettava le credenziali e un TV Box che non riusciva a recuperare i dettagli
dell’account erano chiari indicatori di un problema di gestione delle
credenziali stesse (ma che sorpresa), però il servizio tramite browser che le
accettava era un controsenso. In ogni caso, tutto indicava un problema nel
backend di Sunrise.

All’ultimo momento, però, gli è caduto l’occhio sul frontale del TV Box e si è
accorto che era ancora marchiato UPC. Era ancora quello vecchio, di quando eravamo clienti UPC. Sunrise avrebbe dovuto
mandarci quello nuovo,
ma non lo aveva fatto. E quello vecchio aveva continuato a funzionare per mesi, e quindi io
non mi ero posto il problema di doverlo eventualmente sostituire.

Il tecnico ha ordinato subito per telefono un TV Box nuovo, e ha spiegato
che tutto si sarebbe risolto installandolo: infatti
la gestione dell’autenticazione dell’account dipende non solo da nome
utente e password, ma anche dalla presenza online del TV Box abbinato
all’account
(l’abbinamento è basato sul MAC Address del TV Box). In altre parole, il
messaggio della app di Sunrise su Apple TV
“Per utilizzare la Sunrise TV App sulla tua piattaforma TV, hai bisogno
di un abbonamento attuale a Sunrise TV
con o senza Sunrise TV box
è totalmente ingannevole: il TV Box ci vuole eccome.

Non abbiamo pagato nulla e il TV Box nuovo è arrivato il giorno dopo: non
appena installato, tutto ha ripreso a funzionare, anche la Apple TV.

La spiegazione più probabile di questo gran garbuglio è che quando UPC e
Sunrise si sono fuse, il backend di UPC è rimasto attivo in parallelo a quello di Sunrise per un periodo di
transizione (e quindi il vecchio TV Box ha continuato a funzionare); alla
fine di questo periodo, però, il vecchio backend è stato disattivato e
quindi chi aveva ancora il vecchio TV Box si è trovato senza servizio di colpo e soprattutto senza
motivo apparente.

Tutto si sarebbe risolto immediatamente se il servizio clienti avesse
prestato attenzione alla mia segnalazione del fatto che ero un ex cliente
UPC e mi avesse chiesto se avevo ricevuto un TV Box aggiornato; se i
messaggi diagnostici fossero stati almeno vagamente informativi invece di
creare confusione; o se qualcuno avesse notato che c’era una discrepanza
fra il numero di utenti ex UPC e il numero di TV Box nuovi inviati. Insomma,
se siete ex clienti UPC e ora siete clienti Sunrise, mi raccomando: per
prima cosa controllate che sul vostro TV Box
(lo scatolotto nero) ci sia il marchio Sunrise e non quello UPC.

Spero che questi appunti possano essere utili ad altre anime dannate.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Antibufala: Il Sole 24 Ore, La Provincia di Como, HWupgrade e lo “stop ai veicoli elettrici” in Svizzera (spoiler: non c’è nessuno stop)

Antibufala: Il Sole 24 Ore, La Provincia di Como, HWupgrade e lo “stop ai veicoli elettrici” in Svizzera (spoiler: non c’è nessuno stop)

Pubblicazione iniziale: 2022/11/29 13:33. Ultimo aggiornamento: 2022/12/13 9:10.

La Provincia di Como ha pubblicato il 28 novembre un
articolo
(copia permanente) a firma di Marco
Palumbo che titola
“Svizzera, stop ai veicoli elettrici e in autostrada si va a 100
all’ora”. Il titolo fa sembrare che sia una descrizione della situazione attuale o
prossima ventura (il sottotitolo parla di
“misure in vigore dal 12 dicembre”), e ovviamente gli ottusangoli che
odiano le auto elettriche ne gongolano pateticamente (sulla scia per esempio
di
Francesca Totolo).

Un
articolo su HWupgrade
(copia permanente) segue la stessa
falsariga, usando il titolo “Clamoroso dietrofront della Svizzera: auto elettriche vietate, limite a 100 km/h e riscaldamento a 18 gradi” per un articolo a firma di Massimiliano Zocchi. 

L’8 dicembre Il Sole 24 Ore ha titolato “Auto elettriche: la Svizzera vicina al divieto di circolazione. Svezia stop agli incentivi”, a firma di Giulia Paganoni (copia permanente).

Ma tutti questi titoli sono falsi e ingannevoli. Abito in Svizzera (vicino a Lugano) e ho
un’auto elettrica. Posso dire, con la certezza dell’esperienza diretta sul
posto, che non c’è nessuna restrizione alla circolazione delle automobili
elettriche.

L’articolo de La Provincia spiega che l’idea di limitare l’uso dei veicoli elettrici per
gestire la penuria energetica è solamente un’ipotesi. Cito infatti
dall’articolo in questione:

[…] l’esecutivo federale ha persino paventato l’ipotesi di introdurre «il
divieto di circolazione delle auto elettriche, in caso di penuria
energetica»

Il presunto “divieto” non è in vigore oggi e non è previsto che entri automaticamente in
vigore dal 12 dicembre. 

La frase virgolettata da Marco Palumbo sembra essere
tratta da
questo documento PDF
del Consiglio Federale, che è un documento consultivo, non dispositivo:
è una sorta di FAQ sulle misure per contrastare la penuria di energia
elettrica.

Fra le tante misure in consultazione, si propone di limitare a 100 km/h
la velocità sulle strade nazionali (attualmente il limite autostradale è 120
km/h) perché
“chi viaggia sotto i 100 km/h dovrà ricaricare di meno le batterie,
riducendo così il consumo di elettricità.”
Quindi nessuno “stop”, ma semmai una eventuale limitazione dei consumi.

Il documento propone anche un divieto di uso delle auto elettriche, ma
solamente “[i]n caso di penuria persistente (fase 3)”. In tal caso
“si può limitare l’uso privato delle auto elettriche al minimo
indispensabile. Rimarrà lecito l’uso per spostamenti assolutamente necessari
come la spesa, le visite mediche e l’esercizio della propria
professione.”
Quindi anche nel caso peggiore, non si tratterebbe di uno stop assoluto. 

Inoltre
la condizione di “penuria persistente” citata dal documento è una
situazione assolutamente eccezionale. Chi volesse approfondire la questione invece di fermarsi a un titolo sensazionalistico può leggere queste fonti:
Energia – situazione attuale
(Ufficio federale per l’approvvigionamento economico del Paese);
Provvedimenti in caso di penuria di elettricità
(Dipartimento federale dell’economia, della formazione e della ricerca);
Energia: in consultazione le misure per far fronte a un’eventuale penuria
di elettricità
(Consiglio Federale);
Ticinonews;
La Regione;
TVsvizzera.it.

2022/12/13 9:10. Sulla questione è intervenuto oggi il Corriere del Ticino con un editoriale di Paride Pelli che nota che “Se non si tratta di fake news, poco ci manca”.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.