Nel 2019 il World Economic Forum classificava i rischi per la sicurezza informatica tra le prime tre minacce economiche al mondo. L’espansione delle tecnologie dell’informazione e della comunicazione degli ultimi anni hanno posto il continente africano al centro di tali rischi con la parallela esplosione del cybercrime (crimini informatici) e dei “truffatori di Internet”, ma soltanto il 20% dei paesi africani possono muoversi all’interno di un quadro legislativo per combattere tale fenomeno.
Nel 2020, e solo da gennaio ad agosto, ci sono stati in Africa 28 milioni di attacchi informatici e sono state più dell’85% le istituzioni finanziarie che hanno dichiarato di essere state vittime di attacchi, anche più di una volta. Governi, siti di e-commerce, banche ma anche settori vitali come acqua, energia, comunicazione, sono stati i più colpiti.
Sono dati riportati sul sito del Cyber Africa Forum, evento che è stato ospitato il 7 giugno scorso ad Abidjan, in Costa d’Avorio. Una prima edizione che ha riunito decine di esperti di sicurezza informatica africani ed europei. Quello della sicurezza informatica è un settore debole, è stato sottolineato dai partecipanti. I motivi sono tanti: la mancanza di competenze ma anche la mancata consapevolezza del rischio da parte di imprese e istituzioni.
Ingenti perdite economiche
Solo per rimanere nel paese che ha ospitato l’evento, il costo della criminalità informatica è stato valutato in 20 miliardi di franchi Cfa, qualcosa come 30.5 milioni di euro. Nel 2017 la Serianu, azienda africana che si occupa di rilevamento delle minacce, monitoraggio e quantificazione del rischio, assistenza e training, aveva stabilito che nell’intero continente la perdita economica era stata di 2,9 miliardi di euro. Ma secondo l’African Center nel 2017 gli imprenditori africani hanno perso circa 3,5 miliardi di dollari a causa di frodi e furti informatici.
Cifre che aumenteranno – dicono gli esperti – se non si procederà a mettere in sicurezza il settore informatico sia di aziende private che delle istituzioni statali. Insomma non è più possibile continuare a digitalizzare senza preoccuparsi della protezione.
Mancano leggi ad hoc
Oltretutto si registra una sorta di vuoto legislativo. Nel 2014 l’Unione Africana aveva adottato la Convenzione sulla sicurezza informatica e la protezione dei dati personali, la cosiddetta Convenzione di Malabo, ma sono solo 18 al momento i paesi che l’hanno firmata e 8 quelli che l’hanno ratificata. E solo 6 sono i paesi africani che hanno ratificato la Convenzione di Budapest sulla criminalità informatica.
Si tratta di due importanti trattati che aiutano le nazioni africane a condividere le informazioni sulle minacce, stabilire standard uniformi e beneficiare dell’assistenza tecnica e della cooperazione della comunità internazionale. E anche gli investimenti nel settore della sicurezza sono ancora minimi rispetto alle altre voci delle aziende.
Il quotidiano francese Le Monde ha riportato uno studio condotto dalla società di consulenza Deloitte su 211 grandi aziende con sede in undici paesi dell’Africa francofona, dal quale emerge che i due terzi delle aziende intervistate spendono meno di 200mila euro all’anno sulla sicurezza informatica che oggi, invece, dovrebbe risultare una priorità.
Truffe sempre più sofisticate
È ormai superato il tempo dei “grazers” ivoriani, dei “sakawa boys” ghaneani o dei “Yahoo boys” nigeriani che usavano gli Internet Cafè male attrezzati e si adoperavano per sfuggire alla povertà imbrogliando i creduloni. Queste sono oggi considerate piccole truffe in confronto ai nuovi e sofisticati sistemi e che generano guadagni enormi.
A metterli in atto sono giovani colti, spesso laureati, ma disoccupati che mettono a frutto – in modo criminale – conoscenze e skills specifici. Ma anche veri e propri gruppi criminali strutturati e organizzati. E poi quelli al servizio degli Stati che vogliono sabotare o controllare gli affari degli altri.
Con il crescere della tecnologia crescono dunque anche le competenze dei criminali informatici che – soprattutto nel continente africano – si stanno avvantaggiando della debolezza degli apparati pubblici e privati. Insomma le truffe si stanno facendo più elaborate nello stesso momento in cui la tecnologia si espande in vari settori.
Il mobile banking, ad esempio, e i servizi finanziari digitali hanno sviluppato l’azione parallela di chi riesce a svuotare i portafogli online. Uno dei sistemi più diffusi è l’installazione di uno spyware tramite messaggi di testo, tramite i quali si precede al prelievo automatico dall’account del malcapitato. E a parte la capacità tecnica, gli hacker possono spesso contare su una complicità interna, ad esempio di operatori telefonici.
Il termine “grazer”, usato in Costa d’Avorio, vuol dire, appunto, pascolare. Laddove il pascolo è rappresentato dai conti correnti delle vittime. Richieste di denaro precedute dalle storie più disparate – riscattare un’eredità, curare un parente malato, un prestito – sono invece le caratteristiche dei “yahoo boys” nigeriani che usano le e-mail per agganciare persone in ogni parte del mondo, soprattutto Europa e Stati Uniti.
O proposte commerciali per sbloccare un conto in banca, la truffa 419, che porta il nome dall’articolo del codice penale che punisce tali crimini. E poi c’è la truffa amorosa – Facebook è uno dei mezzi preferiti – con cui giovani intraprendenti contattano donne, soprattutto di una certa età che si presume abbiano denaro, circuendole e poi lasciandole al verde. La cosiddetta “romance scam”.
Cyber spionaggio
Ma questi, dicevamo, sembrano ora modalità arcaiche rispetto ai nuovi sistemi di crimine online. Ma anche rispetto a problemi seri come lo spionaggio. Recentemente, per esempio, Pegasus malaware, tra i più sofisticati software di spionaggio, ha infettato sistemi in 11 paesi africani. Cosa che, ovviamente, ha provocato grande allarme e si è parlato di tentativi di sorveglianza, sia interna che esterna.
Tra gli attacchi più importanti registrati negli ultimi tempi, quello alla National Security Agency in Nigeria (2012 da parte di Boko Haram) e alla municipalità di Johannesburg (2019, in questo caso gli hacker chiesero un riscatto in bitcoin pari a 30mila dollari). In aumento anche i cyber attacchi alle infrastrutture marittime collegati alla pirateria.
Situazioni che hanno, tra l’altro, portato a galla il gap tra nuove azioni criminali online e il personale impegnato nella sicurezza. Già nel 2018 si parlava di un divario di 100mila professionisti certificati della sicurezza informatica. Questo vuol dire mancanza di capacità di monitoraggio e di prevenzione. E quindi interventi che arrivano quando il danno è già stato fatto.