Lunedì mattina, ore otto e trenta. Il titolare di una piccola azienda metalmeccanica di Guastalla apre il laptop e trova una schermata nera con un testo rosso che chiede tre Bitcoin per sbloccare i file. Panico. Invece di isolare la rete, inizia a riavviare i server sperando in un miracolo, sovrascrivendo tracce forensi vitali. Poi corre a cercare la Polizia Postale di Reggio Emilia convinto che esista un tasto magico per decriptare tutto in dieci minuti. Ho visto questa scena ripetersi decine di volte negli uffici di via Dante Alighieri. Il risultato è quasi sempre lo stesso: giorni di produzione persi, migliaia di euro spesi in consulenze dell'ultimo minuto e la scoperta amara che la denuncia è solo l'inizio di un percorso burocratico e tecnico in salita, non la soluzione immediata al disastro. Se pensi che la pubblica autorità sia il tuo reparto IT di emergenza, stai per schiantarti contro un muro di realtà molto costoso.
L'illusione della delega totale alla Polizia Postale di Reggio Emilia
L'errore più pesante che ho visto commettere è credere che, una volta sporta denuncia, il problema passi di mano. Non funziona così. La polizia si occupa di perseguire il reato e identificare i colpevoli, non di riparare il tuo database SQL corrotto o di negoziare per te con un gruppo criminale nell'Europa dell'Est. Quando arrivi negli uffici della Polizia Postale di Reggio Emilia, devi avere già in mano una copia dei log del server e un'analisi preliminare del danno. Se ti presenti a mani vuote, l'agente di turno non può fare altro che mettere a verbale la tua descrizione vaga dell'evento. Questo ti costa tempo. Mentre aspetti il tuo turno o cerchi di spiegare cosa è successo senza avere dati tecnici, i criminali stanno già spostando i fondi o esfiltrando i dati dei tuoi clienti verso server sicuri.
La soluzione non è correre in questura appena vedi un'anomalia, ma avere un protocollo di risposta agli incidenti che preveda la raccolta immediata delle prove digitali. Devi sapere dove sono i tuoi log, quanto tempo vengono conservati e chi ha l'accesso fisico ai server. Senza queste informazioni, la denuncia diventa un pezzo di carta utile solo per l'assicurazione, ammesso che tu ne abbia una che copre i rischi cyber. Ho visto aziende perdere contratti da centomila euro perché sono rimaste ferme una settimana in attesa di un aiuto che, per natura istituzionale, non può essere quello di un sistemista privato.
Confondere la sicurezza informatica con l'installazione di un antivirus
C'è questa convinzione radicata che comprare una licenza da cinquanta euro l'anno per un antivirus commerciale protegga l'azienda da tutto. È un'assunzione che ti espone a rischi enormi. I gruppi che colpiscono il tessuto produttivo emiliano non usano virus banali che si attivano cliccando su un allegato palese. Usano l'ingegneria sociale. Chiamano la tua segretaria fingendosi un tecnico della banca o inviano una mail che sembra perfettamente legittima proveniente da un fornitore storico.
L'errore è tecnico ma soprattutto culturale. Se spendi diecimila euro per un nuovo macchinario ma zero per formare i tuoi dipendenti su come riconoscere il phishing, quel macchinario diventerà un fermacarte costoso al primo attacco. La soluzione è spostare il budget dalla "scatola magica" alla gestione degli accessi. Devi implementare l'autenticazione a due fattori ovunque. Non è un optional. È l'unico modo per impedire che un dipendente sbadato regali le chiavi della tua infrastruttura a qualcuno che si trova a migliaia di chilometri di distanza. Ho visto amministratori delegati rifiutarsi di usare il secondo fattore perché "fa perdere tempo" e poi piangere quando il bonifico per un fornitore cinese finisce su un conto corrente lituano perché qualcuno ha preso il controllo della loro posta elettronica.
Il mito dei backup indistruttibili
Molti imprenditori mi dicono con orgoglio che hanno il backup su un disco esterno collegato al server. Questo è come tenere la chiave della cassaforte infilata nella serratura della cassaforte stessa. Un ransomware moderno cripta prima il backup e poi i dati originali. Se il tuo backup è raggiungibile via rete senza credenziali separate e fisicamente distaccate, non hai un backup. Hai solo una copia speculare del tuo fallimento. Il consiglio pratico è seguire la regola del 3-2-1: tre copie dei dati, su due supporti diversi, di cui una offline o fuori sede. Se non riesci a recuperare i dati in meno di quattro ore, la tua strategia di continuità operativa è fallimentare.
La gestione sbagliata del furto di identità sui social media
Qui entriamo nel campo delle piccole imprese e dei professionisti. Qualcuno ti ruba il profilo Instagram o Facebook dell'attività e tu pensi che segnalarlo alla piattaforma o alla Polizia Postale di Reggio Emilia risolva tutto in serata. La realtà è che le piattaforme americane rispondono ai tempi della loro burocrazia interna, che sono biblici. La polizia può inviare una richiesta ufficiale, ma non ha il controllo diretto sui server di Menlo Park.
L'errore è non avere la proprietà dei propri asset digitali. Spesso vedo profili aziendali creati con la mail personale di un ex dipendente o gestiti da agenzie esterne che non hanno mai ceduto le credenziali master. Quando avviene il furto, non hai modo di dimostrare che quel profilo è tuo perché non hai accesso alla mail di recupero. La soluzione è centralizzare tutto sotto un Business Manager aziendale, con mail istituzionali e procedure di recupero verificate ogni sei mesi. Se perdi l'accesso al profilo che genera il 40% del tuo fatturato e non hai un backup dei contatti dei clienti, la colpa non è dell'hacker, ma della tua gestione superficiale.
Prima e dopo la gestione di una compromissione della posta elettronica
Per capire davvero la differenza tra un approccio dilettantesco e uno professionale, guardiamo come cambia la gestione di un attacco Man-in-the-Mail. Questo è quel tipo di truffa dove un criminale si inserisce in una conversazione tra te e un fornitore, intercetta una fattura, cambia l'IBAN e ti induce a pagare sul conto sbagliato.
Approccio sbagliato L'impiegato riceve la fattura modificata, nota che l'IBAN è diverso ma pensa che il fornitore abbia cambiato banca. Effettua il bonifico da cinquantamila euro. Tre giorni dopo, il fornitore chiama chiedendo i soldi. L'impiegato va nel panico, cancella la mail per paura di essere rimproverato, prova a chiamare la propria banca che gli dice che il bonifico è ormai partito e non revocabile. Solo allora corre dai carabinieri o in questura. Il risultato? I soldi sono spariti, la prova originale (la mail con gli header intatti) è nel cestino o corrotta, e l'azienda ha perso cinquantamila euro di liquidità che non rivedrà mai più.
Approccio corretto L'impiegato riceve la fattura e nota il cambio di IBAN. Invece di rispondere alla mail, prende il telefono e chiama il fornitore su un numero già conosciuto (non quello scritto nella mail sospetta). Scopre che il fornitore non ha cambiato banca. Invece di cancellare tutto, isola quel computer dalla rete. Il consulente informatico estrae i dati tecnici della mail (gli header) che mostrano l'indirizzo IP reale del mittente. Si avvisa immediatamente la propria banca per bloccare eventuali flussi in uscita sospetti. Solo con questi dati tecnici e la prova del tentato reato si procede con la denuncia. L'azienda non ha perso un centesimo e ha fornito materiale utile per un'indagine seria. La differenza sta in un semplice colpo di telefono e nella conservazione della prova.
Il costo nascosto della negligenza e delle sanzioni GDPR
Non si tratta solo di perdere soldi per mano dei criminali. C'è il Garante della Privacy. Molti pensano che la denuncia alle autorità sia una protezione contro le sanzioni. Al contrario, se denunci un furto di dati che è avvenuto perché non avevi le misure minime di sicurezza, stai praticamente confessando un'infrazione al GDPR. Ho visto aziende denunciare un data breach e poi trovarsi un'ispezione che contesta la mancanza di cifratura sui portatili dei dipendenti.
L'errore è vedere la conformità come un peso burocratico da evitare con qualche firma su moduli prestampati comprati online. La soluzione è un audit tecnico reale. Se i tuoi dati non sono cifrati a riposo e in transito, sei vulnerabile sia ai criminali che alle multe. Le sanzioni possono arrivare fino al 4% del fatturato mondiale annuo. Per una piccola azienda di Reggio Emilia, anche una sanzione di diecimila euro può essere il colpo di grazia dopo aver già subito un danno informatico. Devi trattare i dati dei tuoi clienti come se fossero oro fisico in un magazzino: metteresti mai l'oro dietro una porta di compensato con una serratura da due soldi?
La trappola del riscatto e la negoziazione inutile
C'è chi pensa che pagare il riscatto sia la via più veloce per tornare al lavoro. È un errore strategico enorme per tre motivi. Primo, non hai alcuna garanzia che ti diano la chiave di decrittazione. Secondo, una volta che paghi, vieni inserito in una lista di "buoni pagatori" nel dark web e verrai attaccato di nuovo entro sei mesi. Terzo, in alcuni casi pagare potrebbe persino configurare reati legati al finanziamento del terrorismo o riciclaggio, a seconda di chi c'è dall'altra parte.
La soluzione non è negoziare, ma prevenire la necessità di farlo. Se arrivi al punto di considerare il pagamento, hai già fallito su tutta la linea. Invece di mettere da parte un fondo per le emergenze di questo tipo, investi quegli stessi soldi in un servizio di monitoraggio della rete (SOC) che rilevi l'intrusione prima che il ransomware venga eseguito. Ho visto aziende spendere ventimila euro di riscatto per poi scoprire che i file decriptati erano corrotti e inutilizzabili. Hanno pagato per ricevere spazzatura digitale. Non farlo.
Controllo della realtà
Smettiamola di raccontarci favole. La sicurezza informatica totale non esiste e nessuno verrà a salvarti se non hai costruito le tue difese prima dell'attacco. Se pensi che la tecnologia sia un mondo a parte che non riguarda il tuo modo di fare business, hai già perso. La realtà è che oggi un'azienda è fatta per il 90% dai suoi dati. Se perdi quelli, non hai più un'azienda, hai solo dei debiti e dei capannoni vuoti.
Non basta "stare attenti." Serve un investimento costante in tempo e denaro. Se non sei disposto a spendere il 5-10% del tuo budget IT in sicurezza, accetta il rischio di chiudere l'attività da un giorno all'altro. Non aspettarti che lo Stato o le forze dell'ordine risolvano le falle strutturali della tua gestione interna. Il loro compito è la giustizia, il tuo è la sopravvivenza. La prossima volta che ricevi una mail strana, ricorda che la tua capacità di reagire nei primi sessanta secondi determinerà se tra un mese sarai ancora sul mercato o se sarai in tribunale a dichiarare fallimento. Questa è la dura verità del campo, senza sconti e senza giri di parole.
