Sicurezza informatica e attacchi hacker: attenzione al rischio professionale

Gentili Colleghe e Colleghi,

negli ultimi giorni sono giunte segnalazioni circa attacchi informatici subiti da alcuni studi professionali della nostra provincia, colpiti da cryptolocker, furto di dati e interruzione delle attività lavorative.

Questi episodi, purtroppo sempre più frequenti, evidenziano la vulnerabilità degli studi professionali, anche di piccole dimensioni, e richiedono un'immediata presa di coscienza dei rischi patrimoniali e di responsabilità a cui si può andare incontro.

I principali tipi di attacco informatico

Di seguito un breve excursus sui tipi di attacco più comuni ai danni degli studi professionali:

1. Ransomware (es. Cryptolocker)
   Un malware che cripta i dati e chiede un riscatto per la chiave di sblocco. Colpisce via email o vulnerabilità di rete.
2. Phishing e spear phishing
   Invio di email contraffatte che inducono l’utente a cliccare link malevoli o fornire credenziali (anche PEC, Entratel, portali INPS).
3. Accessi non autorizzati (Brute force / credential stuffing)
   Accesso forzato tramite password deboli o già compromesse.
4. Furto o perdita di dispositivi
   Hard disk esterni, notebook o chiavette USB non protette da crittografia o password.
5. Compromissione della posta elettronica (BEC - Business Email Compromise)
   Violazione degli account email per inviare messaggi in apparenza legittimi, talvolta per ottenere bonifici fraudolenti o dati sensibili.

Implicazioni professionali e responsabilità

Un attacco informatico può avere conseguenze molto gravi per lo studio professionale. La perdita o il blocco dei dati può comportare l’interruzione delle attività lavorative, con ritardi nelle scadenze fiscali e dichiarative e danni reputazionali presso i clienti. Il furto di informazioni sensibili o l’accesso non autorizzato a documenti riservati può inoltre esporre il professionista a sanzioni derivanti dal mancato rispetto del Regolamento Europeo sulla protezione dei dati personali (GDPR). In alcuni casi, il mancato adeguamento alle misure di sicurezza minime può configurare profili di responsabilità civile, disciplinare e anche penale, soprattutto laddove si verifichi un danno per clienti o terzi. A ciò si aggiungono i potenziali costi economici legati al ripristino dei sistemi, all’assistenza tecnica specializzata, alla gestione legale del data breach e, nei casi peggiori, al pagamento di un riscatto agli attaccanti.

Azioni minime di prevenzione da adottare

Si invitano tutti gli iscritti a:

1. Verificare lo stato di sicurezza dei propri sistemi informatici, con l’ausilio del proprio tecnico di fiducia:
   • presenza di antivirus aggiornato e firewall attivo;
   • aggiornamenti di sistema regolarmente installati;
   • backup automatico, possibilmente su server esterni o in cloud.
2. Utilizzare password complesse e differenziate, e attivare l’autenticazione a due fattori (2FA) ove possibile (Entratel, email, PEC, portali INPS, ecc.).
3. Non aprire allegati o cliccare su link sospetti, anche se provenienti da contatti conosciuti (in caso di dubbio, verificare telefonicamente la legittimità della comunicazione).
4. Formare e sensibilizzare il personale di studio sulle corrette pratiche digitali (cyber hygiene), anche attraverso brevi sessioni informative.
5. Dotarsi di un'assicurazione professionale che copra i danni da cyber risk o valutare polizze integrative dedicate.
6. Valutare il supporto di un consulente informatico specializzato in cybersecurity per un’analisi dei rischi e l’adozione di misure tecniche e organizzative adeguate.

Conclusione

La digitalizzazione crescente del nostro lavoro comporta nuovi rischi: è dovere professionale e deontologico prevenirli, per tutelare la propria attività e i dati affidati dai clienti. Invitiamo ciascun iscritto a verificare subito la propria esposizione al rischio informatico e ad adottare senza indugio le misure minime indicate.

Un cordiale saluto,
ODCEC di Genova

Il Segretario