Poste Italiane e i cybercrime: rischi, minacce e strategie per la lotta al crimine informatico

Project work “Phishing, risparmi rubati dalla Postepay:
Giudice condanna Poste a risarcire il cliente”
Poste Italiane e i cybercrime: rischi,
minacce e strategie per la lotta al
crimine informatico
Master GIURISTI IN AZIENDA 2020 - 2021
A cura di :
Monica Amato
Gaetano Di Salvo
Domenico Gesualdo
Roberto Spina

Poste Italiane e i cybercrime: rischi, minacce e strategie per la lotta al crimine informatico
1
Abstract
Il nostro gruppo di lavoro ha trattato la tematica relativa ai cybercrime, le problematiche che possano
sorgere in capo alle aziende colpite da questi attacchi, le politiche di prevenzione e i rimedi che
queste adottano.
In particolare ci siamo occupati del gruppo Poste Italiane e di una pratica di cybercrime molto diffusa:
il phishing. L'attenzione sul phishing è stata posta perchè diverse decisioni dell'autorità giudiziaria
hanno condannato Poste Italiane a risarcire i propri clienti colpiti da questa attività criminale. Molto
stimolante è stato verificare come l'azienda abbia aggiornato e adattato le proprie scelte aziendali e
i propri modelli organizzativi proprio per porre rimedio a queste criticità.
Per una completa analisi del tema oggetto del project work lo abbiamo suddiviso in tre capitoli.
Nel primo capitolo abbiamo esaminato il gruppo Poste Italiane e contestualmente il proprio mercato
di riferimento.
Nel farlo, abbiamo verificato quale fosse stata l'evoluzione del gruppo. Abbiamo rilevato come Poste
Italiane sia stata capace di diversificare le proprie attività di business. Ciò le ha permesso di ricoprire,
allo stato attuale, un ruolo chiave per la crescita della compagine economica e sociale Italiana.
Nel secondo capitolo ci siamo soffermati sul caso giurisprudenziale che ha visto coinvolta l’Azienda
relativo al tema della responsabilità della stessa per i danni subiti dai propri clienti, vittime di diverse
truffe online messe in atto con la tecnica del cosiddetto “phishing”. Partendo dal predetto caso,
abbiamo rivolto particolare attenzione al mondo dei cybercrime in generale e al phishing in
particolare. Ci siamo poi focalizzati sul modello organizzativo 231 di Poste Italiane, evidenziando
come l’azienda si sia adoperata per fronteggiare tali minacce e tutelare la propria sicurezza e quella
dei suoi clienti.
Nel terzo capitolo abbiamo provato ad individuare quelli che noi riteniamo essere degli strumenti
imprescindibili e idonei di cui l’azienda deve servirsi al fine di riuscire, se non ad eliminare,
quantomeno ad attenuare notevolmente le problematiche esposte. Abbiamo inoltre evidenziato che
I rischi, legati alla sicurezza informatica, sono esponenzialmente aumentati in seguito al dilagare del
Coronavirus. Proprio per questo motivo ci siamo posti degli interrogativi, a cui abbiamo cercato di
dare risposte.

2
INDICE
I
Capitolo I
Poste Italiane: L’azienda e i suoi settori di business
1. L’azienda
4
4
2. Settori di business
6
6
2.1 Il settore postale
6

3
6
2.2 Il settore finanziario, del risparmio postale e assicurativo
7
7
2.3 Pagamenti, mobile e digitale
8
8
II
Capitolo II
Poste Italiane vs Cybercrime: Minacce e prevenzione
1. Il caso giudiziario
9
9
2. I cyber crime
11

4
11
2.1 Il phishing
12
12
3. Misure organizzative di Poste Italiane per difendersi dai cybercrime: 13
Il modello organizzativo d.lgs. 231/2001 e la Policy sicurezza di Postepay
3.1 Policy sicurezza di Postepay: modello organizzativo d.lgs. 231/2001
14
e i suoi protocolli

5
3.2 Gestione dei rischi relativi alla cybersecurity
16
16
3.3 In conclusione: perchè è importante adottare un modello organizzativo 17
efficace ed efficiente?
III
Capitolo III
Come proteggere la realtà aziendale dai cybercrime? Quali i rischi post covid?
1. Riflessioni sugli strumenti da adottare a tutela dell’azienda.
18
18
2. La minaccia dei cybercrime nel periodo post-covid 21
2.1 Quali sono i possibili rischi ? 22
2.2 Come gestire i rischi ? 23
Conclusioni 23
Appendice A: Intervista al dott. Nicola Sotira, Information Security Manager 25
presso Poste Italiane
Appendice B: Intervista all’avv. Fabio Cangiano, Head of Legal Affairs 28
presso Babcock & Wilcox SPIG

6
Bibliografia 30
Capitolo I
POSTE ITALIANE: L’AZIENDA E I SUOI SETTORI DI BUSINESS
1. L’AZIENDA
Poste Italiane S.p.A. rappresenta la più grande infrastruttura di servizi in Italia. È infatti oggi la più
grande realtà del comparto logistico / servizi postali (corrispondenza, pacchi ecc.) ed è leader nel
settore finanziario, assicurativo e dei servizi di pagamento. Inoltre fornisce servizi di e-Commerce,
di gestione del risparmio, di telefonia mobile e di comunicazione digitale su tutto il territorio
nazionale a famiglie, imprese e Pubblica Amministrazione.
Poste Italiane è una società per azioni, in cui lo Stato italiano, tramite il Ministero dell'Economia e
delle Finanze, è l'azionista di maggioranza, detenendo circa il 60% del capitale sociale (35% Cassa
depositi e prestiti, 29,7% Ministero dell’Economia). Il restante 35 % delle azioni è stato invece
oggetto di privatizzazione, ossia messo sul mercato e ceduto in favore di investitori istituzionali e
investitori privati.
Ferma restando l’analisi dei mercati di riferimento in cui l’Azienda opera – su cui ci soffermeremo
nel prosieguo del nostro lavoro -, appare indispensabile, fin da subito, evidenziare il ruolo chiave che
l’Azienda riveste per la crescita economica sociale e per la competitività dell’intero sistema
nazionale. A riguardo si rileva infatti che, con un fatturato di oltre 11 miliardi di euro, le attività del
Gruppo generano significativi e positivi impatti sul Paese in termini di Prodotto Interno Lordo,
forniscono un notevole contributo in termini di sostegno e promozione dell’occupazione e del reddito
delle famiglie, nonché producono un notevole beneficio per la pubblica amministrazione, sotto forma
di gettito fiscale.
Tale ruolo di impulso e sostegno allo sviluppo del Paese trova conferma nella stessa “mission
“aziendale, meglio descritta come “nuova missione al servizio del paese “1
. Ed invero, a partire dal
2014, si è portata avanti una nuova politica di profonda trasformazione di Poste Italiane allo scopo di
renderla una infrastruttura strategica al servizio della modernizzazione e della digitalizzazione del
1
Caio, ing. F., 2014. “La Missione E La Valorizzazione Di Poste Italiane Al Servizio Del Paese”, (
https://www.senato.it/application/xmanager/projects/leg17/attachments/documento_evento_procedura_commissio
ne/files/000/002/051/2014_11_05_-_Posteitaliane.pdf )

7
Paese. La stessa mission aziendale è quella non solo di diventare un’azienda di servizi ad alto valore
aggiunto che soddisfi le specifiche necessità della clientela con una ampia ed integrata offerta di
servizi2
, ma anche quella di accompagnare i cittadini, le imprese e la PA nel passaggio verso
l’economia digitale, con servizi trasparenti, affidabili, facili da usare che migliorano la qualità della
vita dei cittadini e la competitività delle imprese e distribuiti attraverso piattaforme fisiche e digitali.
Poste Italiane infatti mira ad assumere il ruolo di motore di sviluppo dell’intero sistema nazionale,
con l’obiettivo di consentire al suo ampio target di accedere e partecipare ai processi della nuova
economia, fornendo un contributo fondamentale in termini di modernizzazione e digitalizzazione del
Paese3
.
L’azienda inoltre, allo stato attuale, riveste il già citato ruolo di leader nei suoi settori di business e
mira ad assolvere quello di motore propulsivo del paese alla luce del fatto che presenta una
molteplicità di elementi che differenziano, agli occhi dei clienti, la propria offerta rispetto a quella
delle imprese concorrenti e che, per l’effetto, permettono alla stessa di collocarsi in una vera e propria
posizione di forza. Tali elementi permettono a Poste italiane di avere un evidente “vantaggio
competitivo “sulla concorrenza. Essi possono essere individuati:
a) nella fiducia e nella reputazione di cui gode il marchio Poste Italiane, come confermato dal primo
posto, conquistato dall’azienda, nella graduatoria mondiale per reputazione del marchio stilata da
Brand Finance per il settore assicurativo4
.
b) nell’utilizzo della più grande rete distributiva e infrastruttura di prossimità italiana, al di sopra di
qualsiasi rete bancaria e network di compagnia assicurativa.
c) nell’avvalersi di infrastrutture sia fisiche che digitali, tenuto conto che l’azienda ha sviluppato,
negli ultimi anni, un approccio alla clientela ʺmulti-channelʺ, affiancando alla rete degli uffici postali
una forte presenza sui canali digitali5
.
d) nella presenza e nella competitività in diversi settori strategici, che permette al cliente di accedere
a molteplici servizi e prodotti di alta qualità e di diversa natura.
e) nella solidità economica e finanziaria che contraddistingue la società6
.
Il gruppo Poste Italiane peraltro, consapevole del forte impatto sociale che hanno le sue attività,
persegue, nello svolgimento delle stesse e con la propria politica aziendale, tutta una serie di “values”,
ossia di principi fondamentali che, per l’appunto, ispirano la cultura, i comportamenti e le modalità
2
Poste Italiane, 2012, Audizione X Commissione Senato –
(http://www.senato.it/documenti/repository/commissioni/comm10/documenti_acquisiti/IC%20competitivita/2012_0
1_29%20-%20Poste%20Italiane.pdf)
3
4
Maggio 2020, “Poste Italiane prima nella top 100 mondiale dei brand assicurativi”, Il Mattino (online), Consultato
4/06/2020, da
https://www.ilmattino.it/economia/poste_italiane_prima_nella_top_100_mondiale_dei_brand_assicurativi-
5221457.html
5
Del Fante, dott.M., 2018. “Attività e prospettive del Gruppo Poste Italiane”,(
https://www.camera.it/application/xmanager/projects/leg18/attachments/upload_file_doc_acquisiti/pdfs/000/000/0
15/18_sett_2018_audizione_AD_IX_comm_Camera__DEF.PDF
6

8
di fare impresa di Poste. In tale contesto occorre evidenziare l’importanza che riveste il Codice Etico,
adottato dall’azienda, che, per l’appunto, individua i valori predetti e ne sottolinea l’importanza e
l’imprescindibilità ai fini dell’efficienza, dell’affidabilità e della reputazione dell’azienda medesima.
Sul punto ci preme far notare che per Poste Italiane non è importante soltanto “fare business”, ma ha
una palese preminenza la necessita che il business sia portato avanti nel modo giusto. Ed invero,
nell’espletamento della sua attività professionale, l’Azienda vuole che il tutto avvenga nel pieno
rispetto delle leggi (principio di legalità), non ammettendo, in nessun modo, comportamenti in
violazione alle normative vigenti e impegnandosi, in maniera proattiva, nel contrastare qualsiasi
condotta penalmente rilevante (corruzione, riciclaggio ecc.). Opera, peraltro, nel rispetto dei supremi
principi costituzionali di uguaglianza e non discriminazione, che osserva in tutti le relazioni con i suoi
interlocutori.7
La stessa inoltre intrattiene rapporti e rivolge la dovuta attenzione a tutti i suoi “stakeholders”. Nel
dettaglio infatti, consapevole dell’importanza del contributo di ciascun dipendente ai fini del
raggiungimento dei risultati previsti, promuove politiche volte allo sviluppo professionale e alla tutela
della salute e della sicurezza dei lavoratori. Parallelamente si impegna nel tutelare i suoi investitori,
fornendo loro informazioni chiare e complete. Nel contempo l’azienda contribuisce, nel rapporto con
i clienti, a soddisfarne le aspettative e consolidarne la fiducia e ad appagare le necessità del contesto
socio-economico in cui opera e della collettività di riferimento non solo attraverso le attività tipiche
di business, ma peraltro con azioni di prossimità non direttamente finalizzate alla creazione di valore
economico per l’Impresa, ma indirizzate al soddisfacimento di specifici e documentati bisogni della
collettività8
.
Infine, ma non meno importante, si impegna a promuovere la tutela dell’ambiente - riducendo gli
impatti ambientali generati direttamente attraverso le proprie attività operative -, il rispetto dei diritti
umani per tutte le persone che lavorano nella sua catena del valore e ad assicurare la necessaria
riservatezza nella gestione delle informazioni di cui dispone, astenendosi dal comunicare dati
riservati.
2. SETTORI DI BUSINESS
Come già anticipato, oltre alla storica attività di business, condotta nel settore della corrispondenza e
della logistica, l’Azienda opera ormai in numerosi settori operativi quali i servizi finanziari e
assicurativi nonché ha inoltre creato una nuova area di business, dedicata ai Pagamenti, al Mobile e
al Digitale. Ciascuno di tali settori merita, seppur succintamente, un’analisi.
2.1 IL SETTORE POSTALE
È ’il settore che rappresenta da sempre l’identità e la missione di Poste Italiane e che fornisce anche
il Servizio Universale. Le attività comprendono servizi postali, di logistica, pacchi e corriere espresso.
Nel corso degli ultimi anni, tale mercato ha visto un evidente declino della posta tradizionale in favore
dell’uso, sempre più massivo e penetrante, della comunicazione digitale. Allo stesso tempo,
7
Poste Italiane, 2018, “ Codice etico gruppo Poste Italiane” , https://www.posteitaliane.it/it/codice-etico.html
8
Poste Italiane, 2018, “Codice etico gruppo Poste Italiane” , https://www.posteitaliane.it/it/codice-etico.html

9
l’esplosione del commercio elettronico, ha determinato un consistente aumento del mercato dei
pacchi e dei servizi di corriere.
Scendendo nei dettagli, il settore in oggetto si contraddistingue per un continuo declino dell’attività
e del mercato della corrispondenza - nel quale tuttavia Poste Italiane continua a mantenere una quota
di mercato pari circa all’89% -, con conseguente riduzione dei ricavi e un risultato operativo (EBIT)
in perdita. Tale declino è da addebitare a molteplici fattori, tra cui ad esempio:
a) L’Italia è, storicamente, uno dei Paesi con il più basso livello di consumi postali
b) Ulteriore contrazione legata, come già anticipato, al crescente utilizzo della comunicazione digitale
( PEC, servizi digitali via web)
c) Liberalizzazione del mercato, con un maggior numero di operatori postali alternativi che agiscono,
al ribasso, sui costi del lavoro.
d) Notevoli costi fissi derivanti dagli obblighi di Servizio Universale che non vengono
sufficientemente compensati dalle sovvenzioni statali9
.
Tale calo strutturale della corrispondenza è stato tuttavia compensato da una forte crescita di
competitività e di ricavi nel segmento dei pacchi, con conseguente risultato operativo che, nonostante
continui ad essere negativo, risulta in miglioramento. Il trend è in continua crescita e le prospettive
sono molte interessanti, specialmente alla luce dell’esplosione del commercio elettronico e di una
radicale trasformazione delle abitudini di consumo delle persone10
.
Poste Italiane sta pertanto progressivamente incrementando la sua presenza sul segmento di mercato
dei pacchi, colmando il gap che l’ha storicamente separata dai principali operatori postali europei. I
risultati raggiunti e il continuo sviluppo nel segmento in oggetto, vanno sicuramente ricollegati, oltre
che alla già citata continua crescita dell’e-commerce, a una forte politica di investimenti portata avanti
dall’azienda. I predetti investimenti non solo hanno inciso in maniera significativa e positiva sul
mercato in oggetto ma lasciano altresì presagire buone prospettive di miglioramento dei risultati
economici anche per gli anni a venire11
.
2.2 IL SETTORE FINANZIARIO, DEL RISPARMIO POSTALE E
ASSICURATIVO.
Poste Italiane vanta in Italia la più ampia rete di distribuzione di prodotti finanziari: risparmio
amministrato, risparmio gestito, prodotti assicurativi.
Partendo dall’assunto che il sistema Bancario e Assicurativo italiano sta riducendo la propria presenza
fisica attraverso il processo di chiusura di filiali bancarie ed è caratterizzato da un eccessivo numero
9
Poste Italiane, 2019, “ Contratto di programma 2020-2024, Audizione presso la IX Commissione trasporti, poste, e
telecomunicazioni, Camera dei deputati “
(https://www.camera.it/application/xmanager/projects/leg18/attachments/upload_file_doc_acquisiti/pdfs/000/002/
518/Poste_30Ott2019.pdf)
10
Poste Italiane, 2019, “ Contratto di programma 2020-2024, Audizione presso la IX Commissione trasporti, poste, e
telecomunicazioni, Camera dei deputati,
https://www.camera.it/application/xmanager/projects/leg18/attachments/upload_file_doc_acquisiti/pdfs/000/002/5
18/Poste_30Ott2019.pdf).
11
Poste Italiane, 2020, “Poste Italiane 2017-2019, Tre anni di obiettivi, progetti e risultati raggiunti “,
https://www.posteitaliane.it/files/1476518846351/poste-italiane-2017-2019.pdf

10
di operatori attivi che rende poco opportuna la concorrenza diretta da parte di Poste Italiane, l’azienda
ha definito una strategia di cooperazione con le principali Banche e Assicurazioni (es. Intesa san
Paolo e Unicredit) prevedendo la collocazione, tramite gli uffici postali, di prodotti finanziari
materialmente erogati da altri gruppi bancari.
Al segmento strettamente finanziario si collega quello della gestione del risparmio che, da sempre
contraddistingue, l’attività dell’azienda. Il Risparmio Postale rappresenta la parte più importante
delle masse gestite e amministrate in Poste Italiane, con un ammontare, al 31 dicembre 2019, pari a
circa il 60% della ricchezza affidata all’Azienda. Attraverso la raccolta del risparmio postale, Poste
Italiane contribuisce in modo significativo a indirizzare il risparmio degli italiani verso investimenti
produttivi, determinanti per la crescita del Paese12
.
Poste Italiane è inoltre colonna portante nell’offerta assicurativa per la tutela e la protezione dei
clienti. I servizi assicurativi vengono offerti dal gruppo Poste Vita, leader nell’assicurazione Vita in
Italia e ora anche presente nel ramo Danni. Poste Vita è al terzo posto come gruppo assicurativo sul
mercato totale (Vita e Danni) in Italia.
2.3 PAGAMENTI, MOBILE E DIGITALE.
Poste Italiane è inoltre leader nei servizi di pagamento. Gode infatti di un posizionamento molto forte
nel segmento delle operazioni, sia quelle tradizionali (presso gli sportelli) che quelle digitali.
L’azienda però continua ad investire notevolmente nel settore in oggetto, al fine di consolidare la
propria leadership, volendo promuovere il passaggio dai metodi più tradizionali (come i bollettini
postali) a opzioni digitali sempre più evolute.
In tale contesto non possiamo non fare riferimento, ad esempio, alla prepagata Postepay che
rappresenta il caso di successo più rilevante (con 24,8 milioni di carte emesse). La Carta Postepay
Multi-branded è una carta di pagamento prepagata e ricaricabile, è stata lanciata nel 2003 e alla fine
del 2017 aveva già 17,7 milioni di utenti, diventando oggi la carta prepagata scelta dagli italiani.
È uno degli strumenti maggiormente utilizzati dagli utenti di Poste Italiane, ma presenta numerosi
rischi legati al suo utilizzo. In primis, quello legato allo smarrimento o al furto della Carta, il quale
consentirebbe l’uso improprio e fraudolento della stessa.
Alla tradizionale carta postepay si sono tuttavia affiancate, nel corso del tempo, soluzioni sempre più
innovative nel sistema dei pagamenti, quali ad esempio gli e-wallet o l’attivazione della piattaforma
p2p.
Tali soluzioni evidenziano la politica di digitalizzazione portata avanti dall’azienda. Poste Italiane
presidia infatti il mercato digitale e, a tal fine, offre numerosi servizi digitali in ambito postale (ad
esempio il ritiro digitale delle raccomandate), servizi digitali trasversali (App Postepay) e offre infine
soluzioni orientate alla gestione ed allo scambio di informazioni e documenti tra persone fisiche e
giuridiche e la Pubblica Amministrazione , attraverso un sistema SPID, rilasciando il 90% delle
identità digitali.
12
Poste Italiane, 2020, “Poste Italiane 2017-2019, Tre anni di obiettivi, progetti e risultati raggiunti “,
https://www.posteitaliane.it/files/1476518846351/poste-italiane-2017-2019.pdf

11
Capitolo II
POSTE ITALIANE VS CYBERCRIME: MINACCE E PREVENZIONE
1. IL CASO GIUDIZIARIO
Fermo restando quanto già ampiamente esposto nei paragrafi precedenti, occorre adesso soffermarsi
sull’ aspetto centrale del nostro lavoro che, per l’appunto, riguarda il tema della responsabilità
dell’azienda Poste Italiane per i danni subiti dai propri clienti, vittime di diverse truffe online messe
in atto con la tecnica del cosiddetto “phishing”. Si parla, nello specifico, di phishing quando il titolare
di un conto corrente o di carte di pagamento (es. Postepay) riceve una e-mail che, nell’ imitare
perfettamente la grafica (per esempio dei siti web) di istituti di credito e postali, invita i clienti a
fornire le credenziali di accesso ai propri sistemi di pagamento. La richiesta, tuttavia, proviene da
ignoti che, operando on line, una volta carpite le predette credenziali, le utilizzano fraudolentemente
al solo scopo di sottrarre, al malcapitato correntista, il denaro di cui lo stesso dispone.
Nel caso giudiziario di specie che, comunque, richiama le recenti ragioni fatte ormai proprie dall’
assodata giurisprudenza di legittimità e di merito, l’Autorità Giudiziaria ha condannato l’azienda
Poste Italiane a risarcire integralmente un consumatore, vittima di phishing, ai cui erano state sottratte
illegalmente, da ignoti, le somme depositate sulla propria carta prepagata Postepay.
Scendendo nel dettaglio della vicenda, il cliente aveva convenuto in giudizio l’azienda per ottenerne
la condanna al risarcimento della somma a lui sottratta fraudolentemente da ignoti. Rilevava infatti
che tali ignoti, tramite l’utilizzo della tecnica phishing, avevano carpito le credenziali personali per
l’utilizzo della sua carta postepay, e ne avevano fatto un uso fraudolento disponendo, on line,
operazioni di trasferimento di denaro che lo avevano privato di tutto il capitale ivi
depositato. Eccepiva, per l’effetto, che detta fraudolenta sottrazione di denaro comportava la
responsabilità della convenuta Poste Italiane, su cui gravava l'onere di garantire la sicurezza dei
depositi della clientela, evitando furti o frodi informatiche, con conseguente obbligo di restituire
l'importo illecitamente sottratto. Nel costituirsi in giudizio Poste Italiane contestava e chiedeva il
rigetto delle domande ed eccezioni proposte da parte attrice, rilevando che nessuna responsabilità
poteva essere alla stessa ricondotta. Ed invero l’azienda evidenziava non solo di essersi munita di un
adeguato sistema di sicurezza tale da impedire l'accesso ai dati personali del correntista da parte di
terzi, ma affermava altresì che il fatto lesivo subito dal cliente era riconducibile ad una condotta
decisamente imprudente e negligente dello stesso che aveva utilizzato in modo irregolare, imprudente

12
e non adeguato i codici personali, in dispregio delle disposizioni contrattuali e delle più elementari
regole di prudenza esposte, a chiare lettere, in tutti gli uffici postali, con appositi manifesti
informativi”, le quali prevedono di non fornire a nessuno le credenziali personali di accesso ai conti.
Per l’effetto, Poste riteneva che l’utilizzo negligente delle credenziali da parte del cliente implicava
che gravasse su di lui il rischio di un uso illecito.
In primo grado il giudice di pace aveva statuito non sussistere alcuna responsabilità a carico
dell’azienda. Ed invero aveva rilevato che l'episodio rientrava nell'ambito della frode informatica
senza, quindi, alcuna responsabilità di Poste Italiane, in quella sede ritenuta pacificamente estranea
alla frode. Il Giudice di Pace, nel dare torto al correntista, aveva dato rilievo al riconducibilità del
fatto pregiudizievole subito dal cliente alla sua condotta incauta e negligente, nonostante la notorietà
del fenomeno di phishing e l’ulteriore avvertimento, contenuto sia nelle clausole contrattuali che nei
manifesti affissi all’interno dei vari degli uffici postali, di non fornire in alcun modo le proprie
credenziali personali13
.
Nel giudizio di appello invece il Tribunale, tenuto conto delle nuove ragioni emerse sul tema tanto
nella giurisprudenza di legittimità (vedi sul punto Corte di Cassazione - Sezione Prima Civile,
Sentenza 3 febbraio 2017, n. 2950 e Cass. Civ. Ordinanza n. 9158/2018). che in quella di merito, ha
accolto le argomentazioni sviluppate dal cliente per il tramite dei suoi difensori, dichiarando Poste
Italiane responsabile di inadempimento all’obbligo di garantire la sicurezza delle operazioni on-line
e perciò l’ha condannata a rifondere il titolare della carta Postepay di tutte le somme che gli erano
state trafugate mediante phishing, oltre interessi e spese legali di entrambi i gradi del giudizio.
A riguardo occorre infatti rilevare che l’ autorità giudiziaria ha specificato come l’eventuale uso
abusivo dei codici di accesso ai vari sistemi elettronici di pagamento ( home banking, postepay ecc),
da parte dei terzi, rientra nel rischio professionale ( e pertanto nelle obbligazioni) che il prestatore
dei servizi di pagamento è tenuto a sopportare, sia perché si tratta di un rischio afferente la sicurezza
del sistema che l’istituto di credito stesso è tenuto ed obbligato a garantire con la diligenza
particolarmente qualificata dell’accorto banchiere, sia perché è un rischio che l’operatore è
normalmente in grado di fronteggiare in anticipo, rientrando nella sua sfera di controllo, prevedendolo
ed evitandolo attraverso l’adozione di appropriate misure destinate a verificare la riconducibilità delle
operazioni alla volontà del cliente medesimo14
. In altre parole è lo stesso prestatore dei servizi di
pagamento che, nel fornire tali strumenti ove vi è il coinvolgimento di dati personali, è tenuto a
sopportare il rischio della loro illecita captazione, posto che ha la capacità di adottare tutti gli
accorgimenti adeguati e necessari a prevenire tale captazione di dati e a scongiurarne un loro impiego
illecito per il tramite di operazioni di cui, prima di autorizzarne il compimento, dovrà e potrà
verificare la riconducibilità all’effettiva volontà del correntista. Nell’eventualità in cui ciò non
avvenga e le misure dovessero risultare inadeguate, l’operatore ne risponderà ai sensi dell’art.2050
c.c. (esercizio di attività pericolose). Sarà invece esente da responsabilità ove riesca a dimostrare
l’efficiente adozione di misure idonee a prevenire un’illecita captazione di dati, onde evitare accessi
non autorizzati, e ove riesca a fornire la prova positiva di una causa non imputabile alla propria
13
Lo Strillone “ L’informazione ad alta voce “ , Poste italiane condannate per un caso di “phishing”: dovranno risarcire
per intero un correntista, http://www.lostrillonenews.it/2019/10/16/poste-italiane-condannate-per-un-caso-di-
phishing-dovranno-risarcire-per-intero-un-correntista/
14
Il Messaggero, Phishing, tutti i risparmi rubati dalla Postepay: giudice condanna Poste a risarcire il cliente,
https://www.ilmessaggero.it/italia/phishing_rubati_risparmi_postepay_poste_condannate_lecce_oggi_ultime_notizie
-4803511.html

13
condotta. Ed invero dovrà dimostrare che il fattore terzo che ha causato il danno (tale utilizzo dei dati
personali altrui) costituisca un fatto imprevedibile e inevitabile, che sfugge alla sfera di controllo
dell’esercente l’attività finanziaria, sia altresì cagionato e/o facilitato dalla condotta colposa del
danneggiato e sia peraltro tale da interrompere il nesso causale tra l’attività pericolosa e l’evento di
danno stesso
Nel caso di specie l’Autorità Giudiziaria ha condannato l’azienda alla refusione delle somme
illecitamente sottratte al cliente, per il tramite di operazioni online compiute da terzi, proprio a causa
della mancata adozione di appropriate misure tecniche, volte a verificare la riferibilità delle
operazioni suddette alla effettiva volontà del correntista e che, ove adottate, sarebbero sicuramente
valse ad evitare il danno subito dal cliente. Era infatti onere dell’azienda (onere che tuttavia non è
stato assolto) fornire la prova della reale riconducibilità di ogni singola operazione al cliente, titolare
del conto o della carta di credito, posto che non è sufficiente, per eseguire l’operazione bancaria, che
vengano inserite le credenziali di accesso. Tale inserimento non garantisce infatti la volontarietà
dell’azione ma è necessario un quid pluris che consenta al prestatore del servizio di pagamento di
acclarare l’effettiva volontà del cliente di dar luogo alla disposizione patrimoniale. alla frode.
Concludendo, nonostante il titolare del conto, di una carta o di altro metodo di pagamento ha l’obbligo
di custodire con diligenza i propri codici segreti, contribuendo così al mantenimento di un sistema di
transazioni di denaro più sicuro, il prestatore del servizio di pagamento deve sempre adottare, al fine
di andare esente da qualsiasi responsabilità, misure che siano in grado di acclarare la riconducibilità
alla volontà del cliente delle operazioni compiute.
Ci preme chiarire tuttavia che il caso in oggetto non rileva in un’ottica strettamente processuale ma,
al contrario, va visto da una prospettiva diversa. Ed invero esso costituisce una palese manifestazione
di una minaccia, crescente in questa era della digitalizzazione, ormai in grado di colpire praticamente
tutte le aziende a prescindere dalle dimensioni; si tratta della minaccia rappresentata dal cybercrime
(crimine informatico) e, nel caso di specie, dalla particolare figura del phishing. Per l’effetto il nostro
project work mira ad andare oltre un’analisi strettamente processuale, volendo invece focalizzare
l’attenzione sulle citate figure criminose, sul modello organizzativo adottato da Poste Italiane per la
gestione della propria sicurezza informatica e vuole fornire ulteriori indicazioni sulle strategie che
avrebbero dovuto e dovrebbe essere adottate al fine di proteggere la realtà aziendale dai cyber crime,
limitare il successo di tali attacchi informatici ed evitare situazioni problematiche come quella ben
rappresentata dal caso in esame.
2. I CYBER CRIME
Il cyber crime o crimine informatico si identifica e caratterizza nella commissione di un fatto
criminoso attraverso l’utilizzo e abuso di strumenti informatici e tecnologici. Negli ultimi decenni la
casistica si è ampliata, potendo così identificare e suddividere le tipologie di cyber crime:
Spam e Malware (che utilizzano la tecnologia per compiere l’abuso) Cyberstalking , Frode,
Information warfare, Phishing (Che invece utilizzano la tecnologia per commettere materialmente il
crimine).
Con l’avanzare della tecnologia anche l’area dei cyber crime è un’area in crescita a livello mondiale,
e segnala anche come questi attacchi informatici siano mirati soprattutto ad aziende e privati, e che
quindi coinvolgono interessi economici. Se da un lato lo sviluppo tecnologico ha dato vita a nuove
opportunità di progresso sia sul piano sociale che economico, dall’altro ha posto le basi per tutti quei
nuovi comportamenti che al giorno d’oggi sono altamente pericolosi e penalmente rilevanti. Tutto

14
questo perché l’utilizzo di internet incrementa quelle che sono le possibilità di attaccare beni ed
interessi nuovi, quali la protezione dei dati personali, o l’integrità e la riservatezza informatica, che
sono comunque meritevoli di tutela ma che fino ad oggi non erano stati ancora contemplati come
tali15
.
Nonostante la particolare e delicata situazione, i crimini informatici non rappresentano una categoria
giuridicamente definita, concettualmente si fanno rientrare in tutti i crimini commessi attraverso la
rete virtuale.
L’Italia, recependo la “Raccomandazione del Consiglio 13 settembre 1989, n. 9 sulla repressione
della criminalità informatica”, ha introdotto la fattispecie in oggetto integrando il Codice penale con
la Legge 23 dicembre 1993, n. 547 (G.U. 30.12.1993, n. 305), che individua le fattispecie di reato
informatico e infligge sanzioni detentive e pecuniarie. A questa si aggiunge le modifiche apportate
dalla legge 48/2008 sulla Ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla
criminalità informatica, fatta a Budapest il 23 novembre 2001. Da allora non sono state emanate
nuove leggi che modifichino in modo sostanziale l’ordinamento giuridico dei reati informatici.
Il Cybercrime, purtroppo, è un fenomeno in continua espansione: gli attacchi informatici dal 2015
sono aumentati del 300% e l’80% delle imprese europee ha subito almeno un incidente cibernetico
duranteil 201616
.
Anche dopo l’entrata in vigore della L. n. 547/1993, purtroppo, non vi è stata l’attenzione alla
prevenzione e repressione dei reati informatici da parte delle imprese, quella prevenzione a cui
auspicava il Legislatore. Tutto ciò è riconducibile essenzialmente a due motivi:
1. le imprese (specie le Banche) preferivano subire in silenzio l’attacco informatico che veder
diffusa la debolezza della propria protezione;
2. l’azione giudiziaria presentava alte difficoltà probatorie e risultati incerti anche per carenza
di precedenti giurisprudenziali.
L’enorme sviluppo e diffusione della tecnologia informatica a livello mondiale e l’incremento
massivo dei reati informatici hanno successivamente portato all’aumento del contenzioso
amministrativo e giudiziario specie in tema di trattamento illecito di dati personali e di
risarcimento.
Nonostante la diffusione del fenomeno, come indicatoci dal Dottor P …….. I….. - Cybersecurity
Director and Founder at ….. - il mondo della tecnologia presenta un ventaglio di contromisure che
risultano tuttora inadeguate a contrastare questi attacchi.
2.1 IL PHISHING
Soffermandoci su quello che è il cyber crime più diffuso, il phishing consiste in una tecnica
fraudolenta di “social engineering” o “ingegneria sociale” volto a carpire dati e informazioni sensibili
della vittima.
Il fenomeno di Phishing si manifesta sfruttando quei sistemi di invio di e-mail a catena, ad un numero
indefinito di “users” tendenzialmente sconosciuti, contenenti messaggi o informazioni tali da
influenzare il destinatario e indurlo a cliccare e collegarsi alle pagine web, decisamente non autentiche
ma apparentemente camuffate da pagine di enti istituzionali o simili17
. L’e-mail o il messaggio infatti
15
Lo Iacono C., Maggio 2019, “Impresa, criminalità informatica e tutela dei dati”, www.giurisprudenzapenale.it
16
“I cybercrime, Argomenti del Sole 24 ore”, www.ilsole24ore.it
17
Aprile 2020, “Il Phishing”, www.studiocataldi.it

15
assomiglia sia nel contenuto che nell’aspetto grafico a quelli di un ente o azienda conosciuti, ad
esempio una banca online. Il contenuto del messaggio descrive una probabile situazione in cui il
destinatario deve intervenire o rispondendo direttamente al messaggio inviando determinate
informazioni personali, oppure cliccando su un link non autentico e di un sito falso. Proprio attraverso
queste azioni l’utente si imbatterà su un sito fasullo il quale chiederà di inserire le proprie credenziali
di accesso che in questo caso verranno registrate e carpite per commettere frodi o attacchi informatici.
In seguito a questi tipi di comportamenti ciò che consiglia il Dottor P …….. I….. è quello di far
attenzione soprattutto al mittente dei messaggi e alla provenienza degli stessi.
Il phishing, purtroppo, è un reato difficilmente inquadrabile sul piano normativo penale, sia perché le
norme coinvolte sono piuttosto frammentate, sia perché i beni giuridici da tutelare sono vari e da
difficile individuazione. Per questo motivo tali tipi di illeciti riconducibili al phishing vengono
ricondotte ogni volta nell’alveo delle diverse fattispecie, sia di natura civile che penale
3. MISURE ORGANIZZATIVE DI POSTE ITALIANE PER DIFENDERSI DAI
CYBERCRIME: IL MODELLO ORGANIZZATIVO D.LGS. 231/2001 E LA
POLICY SICUREZZA DI POSTEPAY
Poste Italiane, con l'introduzione dell'art. 24 bis nel d.lgs. 231/01 previsto dalla legge 18 marzo 2008,
n. 48 in ossequio a quanto previsto dalla Convenzione di Budapest del Consiglio d'Europa del 2001
in materia di sicurezza informatica, ha adottato una propria policy.
Questa politica di sicurezza informatica indica gli obiettivi e le direttive strategiche volte ad
indirizzare la gestione della sicurezza delle informazioni detenute e trattate dall’Azienda con l'ausilio
di strumenti informatici. Altresì individua le risorse ed i processi informatici necessari per la loro
elaborazione, con lo scopo di limitare il rischio di compromissioni della riservatezza, dell’integrità e
della disponibilità delle stesse sia in un’ottica di tutela del business che di contributo al contrasto degli
eventi di tipo cybercrime.
Poste Italiane, inoltre, pone particolare attenzione ai sistemi di pagamento on-line, per i quali, in
aggiunta alle direttive applicabili a tutti gli ambiti aziendali, esprime in sezione apposite della policy
specifiche indicazioni in ottemperanza alla Direttiva (UE) 2015/2366 relativa ai servizi di pagamento,
al Regolamento Delegato (UE) 2018/389 per le norme tecniche di regolamentazione per
l'autenticazione forte del cliente e gli standard aperti di comunicazione comuni e sicuri e agli
Orientamenti emanati dalla European Banking Authority (EBA) in materia.
La funzione aziendale responsabile di tale Policy, che ne assicura la redazione, la diffusione e
l’aggiornamento, è la funzione CA/TA/ Sicurezza Informatica di Poste Italiane. In particolare, la
Policy di Sicurezza viene sottoposta, su proposta dell’Amministratore Delegato e previo parere del
Comitato Controllo, rischi e sostenibilità, all’approvazione del Consiglio di Amministrazione e
comunicata a tutto il personale. La revisione della Policy di Sicurezza Informatica viene effettuata
dalla funzione responsabile della redazione che ne valuta la necessità di aggiornamento almeno
annualmente tenendo conto dell’evoluzione delle aree di Business e operative di Poste Italiane e dei
correlati processi e attività, dell’evoluzione tecnologica e dei rischi identificati.18
18
Poste Italiane, “ Policy di sicurezza informatica Poste Italiane”, https://www.uglpiemonteposte.it/wp-
content/uploads/2019/02/all_2.-Politica-di-Sicurezza-Informatica-Gruppo-Poste-Italiane1793.pdf

16
Peraltro la responsabilità di proteggere le risorse informatiche grava sul responsabile e su ciascun
utilizzatore delle stesse, dunque, sul dipendente di ogni livello, nonché sui soggetti terzi che, a
qualsiasi titolo, svolgono attività di lavoro per l’Azienda (fornitori, consulenti, partner).
3.1 POLICY SICUREZZA DI POSTEPAY: MODELLO ORGANIZZATIVO
D.LGS. 231/2001 E I SUOI PROTOCOLLI
Poste Italiane, come detto nella parte introduttiva, ha prestato particolare attenzione a quelli che sono
i servizi e strumenti di pagamento online. Nel caso de quo ci siamo occupati dello strumento di
pagamento POSTEPAY a cui il gruppo Poste Italiane dedica una parte speciale del proprio modello
organizzativo denominata Parte speciale B. .
La "Parte Speciale B” si riferisce alle tipologie di reati sussumibili nell'alveo di operatività dell'art.
24-bis d.lgs. 231/01 che possano far sorgere una responsabilità in capo all'azienda. Alle stesso tempo
identifica quali sono le attività sensibili da attenzionare per non incorrere nei predetti reati. Illustra
altresì le regole comportamentali, i principi di controllo e i presidi organizzativo-procedurali specifici,
che tutti i destinatari del modello devono adottare ed applicare al fine di prevenire il verificarsi dei
reati informatici indicati nella prima parte del documento.
Sotto l'aspetto della cybersecurity preventiva, il documento individua tutta una serie di attività
sensibili il cui non attento compimento potrebbe far sorgere una responsabilità in capo all'azienda, in
seguito al verificarsi di attacchi informatici.
In particolare il modello prevede che l'attenzione debba essere necessariamente posta su attività come:
lo sviluppo, l'esercizio e la gestione della sicurezza dei sistemi informatici e delle reti aziendali, con
un focus al controllo accessi ai sistemi informatici e alla rete dati, la crittografia dei dati e/o del canale
di comunicazione utilizzato, lo sviluppo e l'attuazione di sistemi di monitoraggio e revisione per la
prevenzione e individuazione di attività non autorizzate/illecite sulla rete, sistemi e banche dati
aziendali, attività di amministrazione applicativa/sistemistica di applicazioni a supporto dei processi
di business. Più in generale si fa riferimento all'utilizzo di tutti gli strumenti elettronici con cui viene
eseguito il trattamento dei dati di cui Poste entra in possesso e che eventualmente trasmette a soggetti
terzi. Molta rilevanza assumono inoltre tutte quelle attività informatiche che potrebbero comportare
la diffusione di software malevoli o l'esecuzione di attacchi informatici che potrebbero essere
condotte attraverso i device o altri elementi aziendali come ad esempio l’utilizzo, da parte del
personale, della rete aziendale, della posta elettronica e di internet quale possibile veicolo per la
commissione di un delitto informatico. Infine si ritiene necessario citare l'attività di gestione e
controllo delle varie sedi in cui operano i dipendenti di Poste Italiane e in cui sono custoditi tutti i dati
e le informazioni trattate da Poste Italiane.
Sempre in ambito di cybersecurity preventiva si inseriscono perfettamente le regole comportamentali
che Poste Italiane indica nella policy di sicurezza informatica. I destinatari del documento dovranno
necessariamente attenersi alle disposizioni per non incorrere in conseguenze di natura giuridica ed
economica previste dal modello 231. Viene fatto divieto, ad esempio, di: modificare in qualsiasi modo
la configurazione delle postazioni di lavoro fisse o mobili assegnate dalla Società, installare o
utilizzare strumenti software e/o hardware che potrebbero essere adoperati per valutare o

17
compromettere la sicurezza di sistemi informatici o telematici, ottenere credenziali di accesso a
sistemi informatici o telematici aziendali, o di terzi con metodi o procedure differenti da quelle a tale
scopo autorizzate dalla Società19
. L'elenco è minuzioso e le attività vietate molteplici ed in continuo
aggiornamento. Come brevemente anticipato il modello 231 predisposto da Poste prevede tutta una
serie di sanzioni a cui i destinatari del modello possono essere assoggettati, ove non rispettino le
predette regole. Il procedimento sanzionatorio è gestito dalla funzione e/o dagli organi societari
competenti che riferiscono al riguardo all’OdV. In particolare per quanto concerne i dipendenti le
sanzioni possono andare, a seconda della gravità e da quanto previsto dal CCNL che regola i vari
rapporti di lavoro, dal rimprovero verbale al licenziamento senza preavviso.
Si ritiene necessario fare una chiosa finale sul cosiddetto "whistleblowing". Ai sensi del quadro
normativo e regolatorio vigente e in linea con le best practice, Poste Italiane ha istituito un sistema
di segnalazione delle violazioni cui possono accedere dipendenti e membri degli organi sociali della
Società nonché tutti i soggetti terzi aventi rapporti e relazioni d’affari con Poste Italiane (ad esempio
clienti, fornitori, consulenti, ecc.).
Il personale dipendente ha la possibilità di trasmettere segnalazioni circostanziate di condotte illecite
e fondate su elementi di fatto precisi e concordanti, o di violazioni del Modello 231, di cui sia venuto
a conoscenza in ragione delle funzioni svolte, attraverso i canali di comunicazione istituiti
appositamente dalla Società in conformità alle disposizioni di cui alla L. n. 179 del 30 novembre 2017
recante “Disposizioni per la tutela degli autori di segnalazioni di reati".
Nelle attività di gestione delle segnalazioni è garantita l’assoluta riservatezza dell’identità del
segnalante, con protocolli sicuri. In ogni caso, qualora l’OdV ritenga opportuno procedere ad un
ulteriore accertamento dei fatti, può avvalersi del supporto delle funzioni aziendali di controllo.20
La Società una volta indicati tutti gli aspetti sopra citati ha individuato specifiche modalità di
controllo, effettuate da organismi interni al fine di verificare che tutto venga compiuto nel rispetto del
modello organizzativo predisposto.
A titolo meramente esplicativo alcune delle modalità con cui questo controllo viene esercitato sono:
la redazione di documenti di processo nell’ambito del Business Process Model aziendale riferiti ai
processi di Security Management e di Service Assurance la programmazione di attività di audit e di
verifica del miglioramento delle misure di sicurezza previste dalla normativa applicabile rivolte sia
al proprio interno che nei confronti dei propri fornitori, con riferimento ai processi gestiti dalla
Funzione Sistemi Informativi; sistema di monitoraggio della sicurezza delle informazioni e delle reti
che prevede la tempestiva rilevazione, analisi e conseguente gestione di possibili attività illecite. Tutto
il sistema di analisi e controllo è strutturato su più livelli, al fine di garantire i necessari requisiti di
escalation e di separazione dei ruoli nella gestione delle diverse casistiche.
Poste Italiane pone molta attenzione sulla attività di formazione e sensibilizzazione dei dipendenti,
nonché di informazione e sensibilizzazione del personale esterno compiendo, in tal modo, una
importante attività di compliance aziendale concernente la sicurezza informatica tenendo conto degli
19
Postepay, “Modello organizzativo 231/01 Poste Italiane, parte speciale B”, “Responsabilità amministrativa della
Società”, https://www.poste.it/files/1476500750108/PostePay-Modello-Organizzativo-231-26-06-19.pdf
20
Poste Italiane, 2020 , “Modello di organizzazione, gestione e controllo”,
https://www.posteitaliane.it/files/1476464464505/Modello-231-Parte-Generale-Allegato.pdf

18
standard ISO 27001 e 27002.21
PostePay, attraverso le proprie strutture, ha avviato un programma di monitoraggio continuo dello
stato di sicurezza dei Sistemi Informativi con l’obiettivo di intraprendere un processo strutturato e
continuativo di analisi e pianificare le attività prioritarie di prevenzione da svolgere, mediante
specifiche iniziative progettuali, in una prospettiva sia di breve che di lungo termine attraverso il
necessario raccordo con la funzione Sistemi Informativi della Capogruppo. Poste Italiane, inoltre, si
assume l'onere di proteggere tutte le risorse informatiche di cui dispone dai rischi di accesso non
autorizzato, sottrazione, manomissioni e danneggiamento derivanti da minacce di tipo fisico ed
ambientale. La Società ha anche implementato specifici presidi organizzativo-procedurali,
nell’ambito del proprio sistema normativo disciplinato da apposite linee guida di riferimento. In
particolare, l’Azienda si è dotata di strumenti normativi nei seguenti ambiti: modello di Information
Security Governance; tassonomia degli illeciti informatici; gestione delle credenziali e dei diritti di
accesso alle risorse informatiche aziendali; processo di Incident Management; accesso abusivo e
relativo trattamento illecito dei dati personali nella titolarità della Società; misure di sicurezza
informatica. Al fine di assicurare un maggiore presidio alle attività sensibili identificate nella presente
Parte Speciale, la Capogruppo Poste Italiane ha istituito degli organi nel cui perimetro di controllo è
inclusa anche la Società e trattasi del Comitato Guida per la Sicurezza delle Informazioni e del
Comitato Operativo per la Sicurezza delle Informazioni.
3.2 GESTIONE DEI RISCHI RELATIVI ALLA CYBERSECURITY
Nell'ambito della cybersecurity proattiva devono essere definite e implementate attività periodiche
di assessment sui sistemi al fine di identificare le minacce informatiche e le relative vulnerabilità
degli stessi con una conseguente elaborazione di piani di remediation.
Questi processi di gestione e individuazione dei rischi informatici devono essere comprensivi
quantomeno delle seguenti iniziative:
• Vulnerability Assessment: Consiste in un'attività di analisi delle caratteristiche tecniche
delle configurazioni e dei servizi attivi sui singoli host volta al rilevamento sistematico di
eventuali criticità presenti negli ambienti di test e collaudo, certificazione e pre-produzione.
• Penetration Test: Comprende una serie di attività fondate sulla simulazione controllata di
strategie e di tecniche di attacco informatico idonee a sfruttare le vulnerabilità esistenti sui
sistemi in esercizio, poste in essere da ipotetici criminali informatici, per individuare
eventuali vulnerabilità presenti nei sistemi in pre- produzione per violarne la sicurezza,
riscontrabili soltanto attraverso tecniche di inferenza umana.
• Security Code Review: Trattasi di un'analisi statica e/o dinamica del codice sorgente degli
applicativi software, eseguita con tecniche e strumenti specifici per coprire sia le
applicazioni informatiche tradizionali sia le applicazioni di tipo Mobile.
21
Postepay, “Modello organizzativo 231/01 Poste Italiane, parte speciale B”, “Responsabilità amministrativa della
Società”, https://www.poste.it/files/1476500750108/PostePay-Modello-Organizzativo-231-26-06-19.pdf

19
In aggiunta ai procedimenti sopracitati è stato definito un modello di valutazione del Cyber Risk
che tiene quindi conto sia delle verifiche tecniche di sicurezza svolte come attività di prevenzione
per identificare eventuali punti deboli dei sistemi, sia degli adattamenti tecnici implementati come
attività correttive a protezione dei sistemi (patching e hardening).
Il processo di valutazione del Cyber Risk coinvolge tre diversi ambiti: Application Risk per le
Applicazioni; Mobile App Risk Per le Mobile App; Web Risk Cyber Risk dei Front End Web
esposti su Internet.22
3.3 IN CONCLUSIONE: PERCHÈ È IMPORTANTE ADOTTARE UN
MODELLO ORGANIZZATIVO EFFICACE ED EFFICIENTE?
Appare evidente, quindi, come Poste Italiane, attraverso la previsione all'interno della propria
organizzazione aziendale di una apposita funzione di sicurezza informatica e la predisposizione di un
modello organizzativo ampio e dettagliato, tenti di contrastare le costanti minacce portate dal
cybercrime. L'organizzazione attuale, tuttavia, è resa necessaria per garantire al gruppo Poste Italiane
una continuità aziendale che, in caso di sanzioni per mancata osservanza del d.lgs. 231/01 potrebbe
non essere garantita. Le pene previste dalla normativa richiamata, infatti, sono molto gravose, non
tanto per quanto concerne l'aspetto sanzionatorio pecuniario, quanto per quello interdittivo che può
portare alla chiusura di un ramo o dell'azienda tutta, alla revoca di autorizzazioni e licenze di operare
e all'esclusione da agevolazioni o eventuale revoca delle stesse. L'aspetto strettamente normativo non
è sufficiente a giustificare l'adozione di un modello organizzativo e le relative policy. Di pari
importanza, infatti, è l'aspetto reputazionale strettamente collegato a quello della continuità aziendale
richiamato in precedenza. La continuità aziendale può essere messa a rischio in molteplici modi ed
illuminante in questo senso è stato l'intervento che ha fornito al nostro gruppo di lavoro l'Avv. Fabio
Cangiano, capo degli affari legali di Babcock & Wilcox. L'avvocato nell'intervista che abbiamo
realizzato ha asserito quanto segue: "Una truffa informatica ben congeniata mette in ginocchio
l’azienda nei confronti degli stakeholder, fornitori e clienti. L’impatto è significativo per me anche
per un altro motivo. Tutti questi dati vanno a finire in quello che è il dark web e rimuoverle da questo
è impossibile. Un evento del genere oltre che a provocare un danno reputazionale comporta anche
perdita di know how. Una divulgazione di questi dati può essere utilizzata anche da eventuali
competitotor. Quindi al danno reputazionale si affianca anche il danno d’immagine, la perdita di
chance e l’impatto economico è elevato".
Pertanto una continua attività di "gap analysis" da parte degli organismi di vigilanza e della funzione
aziendale preposta ed un conseguente aggiornamento del modello organizzativo sono attività
ineludibili per garantire una continua operatività aziendale23
.
22
Poste Italiane, “ Policy di sicurezza informatica Poste Italiane”, https://www.uglpiemonteposte.it/wp-
content/uploads/2019/02/all_2.-Politica-di-Sicurezza-Informatica-Gruppo-Poste-Italiane1793.pdf
23
Amato M. e altri, Fabio Cangiano , “Intervista a Fabio Cangiano, Head of Legal Affairs presso Babcock & Wilcox
SPIG”, 2020, vedi Appendice B

20

21
Capitolo III
COME PROTEGGERE LA REALTÀ AZIENDALE DAI CYBERCRIME?
QUALI I RISCHI POST COVID?
1.RIFLESSIONI SUGLI STRUMENTI DA ADOTTARE A TUTELA
DELL’AZIENDA.
È adesso opportuno soffermarsi sugli strumenti, misure e azioni necessari che l’azienda Poste Italiane
deve, a nostro avviso, adottare al fine di mantenere elevati livelli di sicurezza e limitare il successo
dei predetti attacchi informatici. È evidente che l’implementazione di strumenti di prevenzione e la
definizione di strategie di contrasto ai citati attacchi sono azioni che l’azienda non può più rinviare o
postergare, tenuto conto, in particolare, che i cybercrime presentano ormai un impatto significativo
sulla continuità aziendale e in termini di costi che la stessa azienda è tenuta a sostenere in seguito al
verificarsi di tali frodi. A riguardo si rileva infatti che tali frodi hanno, per l’Azienda, sia degli impatti
diretti (quali ad esempio la perdita economica dovuta alla frode stessa, i costi di gestione e
investigazione della frode, eventuali sanzioni inflitte dalle autorità, i possibili contenziosi ), ma anche
dei forti impatti indiretti, quali specialmente il deterioramento della relazioni con clienti, partners ecc.
e il danno reputazionale che può avere ricadute immediate sulla fiducia dei mercati e sulla continuità
del business24
. Tali considerazioni valgono, a maggior ragione, per l’azienda Poste Italiane per cui,
tenuto conto della sua natura di istituto di credito e della trasformazione digitale in corso, la sicurezza
rappresenta un elemento vitale di fondamentale importanza per la continuità del suo business. A
conferma di quanto esposto, il dott. Nicola Sotira ( Information Security Manager presso Poste
Italiane s.p.a.) ha puntualizzato che “ dall’efficacia delle misure di sicurezza adottate dall’azienda
dipendono la reputazione e la continuità della stessa posto che il cittadino, al giorno d’oggi, nel
scegliere una banca, tiene conto principalmente di due assi fondamentali: l’app e la sicurezza”. Per
l’effetto, quanto detto conferma l’importanza per l’azienda di rivolgere la dovuta attenzione alla
propria sicurezza informatica, adottando tutte le misure necessarie, strumentali non solo a contrastare
gli attacchi informatici ma ad evitare che la reputazione e la continuità operativa dell’azienda stessa
possano essere minate.
Per prima cosa occorre evidenziare che tali misure devono necessariamente tenere conto delle diverse
modalità con cui i citati attacchi vengono commessi. Ed invero nel compimento dei loro crimini
informatici, gli hacker non sfruttano soltanto eventuali falle dei sistemi informativi, ma anche la
vulnerabilità e l’ingenuità dei dipendenti dell’azienda nonché la disattenzione e le negligenze
comportamentali della clientela (come avvenuto nel caso giudiziario esaminato). Le debolezze degli
individui sono un facile bersaglio per i criminali e rappresentano delle vere e proprie vulnerabilità da
24
PWC, 2018, “Global Economic Crime and Fraud Survey 2018 Summary Italia”,
https://www.pwc.com/it/it/publications/docs/pwc-global-economic-crime-fraud-survey-2018.pdf

22
sfruttare per carpire preziose informazioni (si parla a riguardo di “cybercrime legato al fattore
umano”).25
Tenuto conto pertanto che la vulnerabilità della sicurezza informatica dell’azienda è da
ricollegarsi non solo all’eventuale inadeguatezza dell’infrastruttura tecnologica ma principalmente
alla fallibilità umana, abbiamo individuato (grazie al prezioso contributo dell’ Avv. Fabio Cangiano
e del dott. Nicola Sotira)26
tre aspetti fondamentali che la governance aziendale deve tenere in
particolare considerazione al fine di rafforzare i propri livelli di sicurezza e ridurre i profili di rischio
per sé e per i propri clienti.
Il primo, che mira ad evitare che i criminali possano sfruttare, nel compimento delle frodi, errori
banali ma fatali da parte dei dipendenti, è dato dalla strutturazione di policy adeguate e dalla necessità
di formazione del personale, al fine di rendere i dipendenti consapevoli dei rischi, delle insidie in cui
è possibile imbattersi, nonché di accrescere le loro competenze e capacità di prevenire e gestire tali
incidenti. Mentre il progresso tecnologico ci mette oggi a disposizione strumenti avanzati per
proteggere dati e sistemi, il fattore umano continua a costituire il punto debole della sicurezza. Le
misure tecniche più avanzate possono perdere anche completamente la loro efficacia se non si
considera attentamente la preparazione delle persone che di tali misure fanno uso27
. Per l’effetto,
un’efficace politica di contrasto ai cybercrime presuppone l’adozione di una policy aziendale che
emani disposizioni e individui misure organizzative e comportamentali che i dipendenti, i
collaboratori a qualsiasi titolo dell'Azienda devono essere chiamati ad osservare per contrastare i
rischi informatici. Tali disposizioni dovranno, nel dettaglio, regolamentare le modalità di utilizzo
della strumentazione informatica e individuare le necessarie norme comportamentali. La definizione
di tali policy è sicuramente utile ma non sufficiente. Occorre principalmente investire sulla
formazione e sensibilizzazione dei propri dipendenti. A riguardo si rileva infatti che la formazione
non può consistere nella semplice erogazione di corsi formativi una tantum: i dipendenti devono
ricevere adeguata formazione relativa alla cybersecurity in via preventiva, dunque prima di poter
accedere a risorse critiche, devono essere periodicamente aggiornati sull’evoluzione delle minacce e
ne vanno costantemente allenate prontezza, sensibilità e reattività ad attacchi phishing attraverso degli
attacchi simulati.
A nostro avviso pertanto la presenza di un numero crescente di professionisti con capacità adeguate
e altamente qualificati, istruiti e formati sui comportamenti atti a prevenire eventi dannosi, o a
intervenire tempestivamente al loro verificarsi, è uno strumento indispensabile ai fini di ridurre le
vulnerabilità del sistema di sicurezza, scongiurare il verificarsi di incidenti come quelli oggetto del
caso di specie o comunque facilitarne la gestione. Quindi riteniamo che, per contrastare il phishing,
è necessario innanzitutto avviare un significativo programma di “Cyber Security Awareness”, in
grado di raggiungere la totalità di dipendenti e collaboratori.
Il secondo aspetto fondamentale riguarda l’opportunità di implementare la struttura tecnologica
aziendale e investire su misure tecniche volte prevenire e limitare il Phishing Attack. A tal proposito,
in fase di sviluppo software, devono essere adottate e messe in atto tutte le azioni necessarie a
25
Antonielli A., 2019, “Cos'è il Cybercrime e come possono combatterlo le aziende in Italia”,
https://blog.osservatori.net/it_it/cybercrime-definizione-italia
26
Amato M. e altri, Fabio Cangiano , “Intervista a Fabio Cangiano, Head of Legal Affairs presso Babcock & Wilcox SPIG”,
2020, vedi Appendice B ; Amato M. e altri, Nicola Sotira, “ Intervista al dott. Nicola Sotira, information security
manager presso Poste Italiane”, 2020, vedi Appendice A
27
CIS Sapienza, 2016, “2016 Italian Cybersecurity Report, Controlli Essenziali di Cybersecurity”,
https://www.cybersecurityframework.it/sites/default/files/csr2016web.pdf

23
mantenere elevati i livelli di sicurezza. Alcune azioni chiave posso sicuramente ravvisarsi
nell’opportunità di:
- investire in eccellenti strumenti di base, come sistemi di security intelligence ( che agevolano
l’analisi dei rischi e delle minacce e la gestione delle vulnerabilità
- eseguire pressure test estremi che identifichino, più di quanto non possa fare l’hacker più
motivato, i punti deboli delle aziende
- investire in tecnologie all’avanguardia ( es. intelligenza artificiale)28
Oltre a tali interventi e, più nello specifico nella lotta al phishing, esistono diverse soluzioni che
possono essere utilizzate per ridurre i rischi. Basti pensare ad esempio all’adozione di codici
suppletivi oltre al normale username e password per le operazioni dispositive (sfruttare
l’autenticazione biometrica oltre ai classici codici a bruciatura, a più cifre o i token), alla previsione
di un efficiente sistema antispamming a protezione della casella di posta elettronica eventualmente
identificata come canale di comunicazione tra l’istituto di credito e la clientela, al controllo preventivo
sugli indirizzi ip che, ove blacklistato, viene bloccato impedendo l’autenticazione. A queste si
aggiungono strumenti innovativi di ultima generazione ( e su cui, come ricavato dalle testimonianze
raccolte, Poste italiane sta lavorando)29
che consentono di intercettare la creazione di siti clone nel
momento in cui vengono registrati e di chiudere tali siti prima che gli stessi vengano attivati.
Si ritiene pertanto che la tutela della sicurezza non possa prescindere da una struttura tecnologica
adeguata su cui l’azienda deve continuare ad investire.
Il terzo aspetto di fondamentale importanza, specie con riguardo alle frodi realizzate con la tecnica
del phishing, consiste nella necessità di definire strategie di comunicazione e di sensibilizzazione
rivolte alla clientela, allo scopo di trasformare gli utenti finali in una solida linea difensiva contro gli
attacchi informatici. Come già ampiamente anticipato gli attacchi phishing ottengono successo
principalmente grazie alle tecniche di “social engineering”, finalizzate ad ingannare gli utenti allo
scopo di carpire i loro codici personali. Per tanto per prevenire il fenomeno e ridurre i rischi è di
fondamentale importanza che la governance aziendale adotti un’adeguata strategia di informazione e
sensibilizzazione della clientela stessa30
. A tal fine sono diverse le azioni da intraprendere:
- Rapporti con la clientela: Vanno individuati i casi e i mezzi con cui l’Azienda contatta la
clientela, rendendo edotto il cliente su quali sono i soli canali ufficiali attraverso cui questi
viene contattato (privilegiando a tal fine l’utilizzo delle app), le informazioni che possono
essere scambiate e ribadendo che l’istituto non chiede né mai chiederà che il cliente fornisca
le proprie credenziali personali.
- Documenti informativi : Vanno redatti, pubblicati online e consegnati fisicamente appositi
documenti informativi che descrivano la fenomenologia della truffa, e definiscano le corrette
modalità di comportamento, fornendo istruzioni e consigli.
28
Accenture, 2017, “Accenture: Il cyber crime costa 11,7 milioni di dollari …, https://www.accenture.com/it-
it/company-news-release-cost-cyber-crime
29
Amato M. e altri, Nicola Sotira, “ Intervista al dott. Nicola Sotira, information security manager presso Poste
Italiane”, 2020, vedi Appendice A
30
Cajani F. e altri, 2008, “Phishing e furto d'identità digitale. Indagini informatiche e sicurezza bancaria”, Giuffrè, pag
223-226,

24
- Campagne di awareness: Vanno inoltre necessariamente realizzate campagne di awareness
e sensibilizzazione della clientela sui rischi del cybercrime, utilizzando non solo i canali
tradizionali del sito internet o le informative contrattuali o presso le filiali, ma sfruttando anche
canali di comunicazione più potenti quali ad esempio la tv, i social (facebook, youtube,
instagram) e svolgendo campagne di formazione presso le scuole, allo scopo di sviluppare ed
accrescere nei più giovani la cultura della sicurezza.
Siamo convinti del fatto che al fine di evitare problematiche come quelle rappresentate dal caso di
specie, per l’Azienda sia imprescindibile l’apporto e la collaborazione dei suoi clienti. È necessario,
per la stessa, avere non solo dipendenti preparati ma anche clienti più consapevoli.
Riteniamo pertanto che le soluzioni citate siano quelle più appropriate da adottare e implementare al
fine di garantire la sicurezza dell’Azienda oltre a quella dei propri clienti. Tuttavia crediamo che, allo
stesso tempo, al fine di porre in essere un’efficace attività di contrasto, l’Azienda dovrebbe cercare
di coinvolgere nei suoi meccanismi anche altri soggetti. Ad esempio il coinvolgimento e la
collaborazione con le associazioni dei consumatori permetterebbe sicuramente una più proficua
attività di sensibilizzazione rivolta ai clienti, cosi come – ci suggerisce il dott. Sotira 31
– l’efficacia di
misure come il sistema di autenticazione, basato sull’utilizzo del proprio telefono cellulare, potrebbe
essere resa a vana a fronte di condotte negligenti degli operatori telefonici che favoriscono la
clonazione della sim. In definitiva suggeriremmo all’ azienda di rafforzare la propria collaborazione
con le “terze parti”.
Pensiamo infine che occorre intervenire, ai fini della lotta al cybercrime, anche sulla struttura
organizzativa, creando una specifica unità di Cyber security a stretto contatto con e a diretto riporto
del top management. Questo potrebbe agevolare, rendendo più snello e flessibile il percorso
decisionale, in un contesto dove la velocità di risposta appare di vitale importanza.
Le strategie individuate ci sembrano necessarie per poter proteggere la realtà aziendale dai
cybercrime, nonostante la consapevolezza che tale attività di contrasto presenta, per Poste Italiane,
una complessità maggiore rispetto a quella di qualsiasi altra realtà aziendale non solo alla luce del
fatto che spesso, dietro questi attacchi informatici si cela la criminalità organizzata, ma
principalmente alla luce del fatto che la base clienti che ha l’Azienda, il numero di carte emesse, il
patrimonio gestito, la rendono bersaglio più di qualsiasi altro istituto bancario.
2. LA MINACCIA DEI CYBERCRIME NEL PERIODO POST-COVID
La pandemia globale del Covid-19 non è stata un’emergenza solo dal punto di vista sanitario,
economico e sociale. Uno degli ambiti particolarmente influenzato dai recenti accadimenti è quello
lavorativo, posto che le aziende, al fine di garantire un adeguato livello di Business Continuity, sono
state costrette ad adottare modalità di lavoro da remoto, c.d. “smart working”.
Di conseguenza le aziende hanno dovuto fronteggiare un inasprimento del cyber crime che di fatto
ha approfittato di tale situazione di cambiamento.
31
Amato M. e altri, Nicola Sotira, “ Intervista al dott. Nicola Sotira, information security manager presso Poste
Italiane”, 2020, vedi Appendice A

25
Questo cambiamento ha costretto le aziende ad adottare nuove soluzioni per garantire ai dipendenti,
che lavoravano da casa e fuori dal perimetro aziendale, di poter accedere alle risorse aziendali
attraverso l’adozione di VPN e Remote Desktop Protocol con l’utilizzo dei propri Pc che sono molto
spesso interconnessi con i tanti e diversi dispositivi domestici (Smart TV, Wi-Fi, router).
Questo nuovo scenario ha permesso ai criminal hacker di poter intensificare la loro attività attraverso
diverse tipologie di attacco quali : sfruttamento delle vulnerabilità dei vari sistemi tecnologici;
campagne di phishing; account take over (furto delle credenziali); credential stuffing; malware di
ogni genere e tipo.
Il continuo utilizzo dei computer personali ha minato l’integrità e confidenzialità dei dati gestiti.
Peraltro l’utilizzo di antivirus e browser con standard di sicurezza inferiori rispetto a quelli definiti a
livello aziendale e l’autonoma navigazione sul web di ogni singolo dipendente ha incrementato il
rischio che li stessi potessero scaricare e installare inconsapevolmente malware e virus sul proprio
device.
A tal proposito le aziende sono state costrette non solo a rivedere il loro modello di tutela delle
infrastrutture, ma allo stesso tempo hanno dovuto contrastare in una situazione di emergenza un
incremento considerevole degli attacchi informatici.
Il ritorno alla normalità ha presentato, dal punto di vista della cyber security, una serie di sfide e rischi
che ancora oggi vede le aziende particolarmente coinvolte.
2.1 QUALI SONO I POSSIBILI RISCHI ?
Questo nuovo scenario è paragonabile al celeberrimo “cavallo di Troia”32
, definendo come tali i
numerosi dispositivi e asset digitali che fino ad oggi sono stati utilizzati personalmente dai dipendenti.
Tali device, esposti direttamente e indirettamente a continui attacchi, nel momento del rientro in
azienda, potranno essere utilizzati come strumento per poter inserirsi all’interno dei vari circuiti
aziendali.
Ove tali dispositivi fossero riconnessi alla rete aziendale si potrebbe permettere allo stesso malware,
presente all’interno degli stessi, di trovare nuovi asset da infettare fino a compromettere in maniera
significativa la sicurezza aziendale.
A tal proposito ci preme individuare le criticità più comuni:
• chiavette USB e repository in Cloud. Due problematiche che di fatto espongono
direttamente l’azienda ad infezione. L’ipotesi riguarda il computer personale
potenzialmente infetto che potrebbe trasferire il malware direttamente tramite la
stessa chiavetta USB o attraverso un file trasferito nel repository in cloud, privato o
aziendale.
• credenziali di accesso. L’utilizzo di credenziali su vari siti e piattaforme hanno
incrementato il rischio che i dati siano stati trafugati o oggetto di Data Breach.
2.2 COME GESTIRE I RISCHI ?
32
Lima E.,2020, “Cybersecurity, le aziende italiane impreparate allo scenario Covid-19”, www.corrierecomunicazioni.it

26
Considerata la grande possibilità di vere e proprie contaminazioni derivanti dal prolungato periodo di
permanenza al di fuori del normale perimetro aziendale, la fase Post-Covid dovrà necessariamente
essere gestito con un approccio strutturato attraverso 3 step:
1. sanificazione
2. bonifica
3. monitoraggio
Sanificazione
L’obiettivo è quello di effettuare e attuare azioni e misure di sanitizzazione di tutti i device rientranti
in azienda attraverso azioni di massa.
Gli interventi significativi prevedono di verificare che i sistemi antivirus siano aggiornati e allo stesso
tempo che vi sia un continuo aggiornamento dei sistemi operativi.
Per quanto riguarda i singoli dipendenti è necessario effettuare il cambio delle password di accesso e
forzare e pianificare scansioni antivirus degli asset digitali rientrati dal lockdown.
Bonifica
L’attività di bonifica ha lo scopo di verificare lo stato di integrità dell’infrastruttura e del framework
ICT aziendale attraverso attività di Network Scan della rete interna e di conseguenza attività di
Vulnerability Assessment della rete esterna.
Risulta estremamente utile un’attività di penetration test degli asset critici, il tutto coadiuvato da una
attività preventiva volta alla scoperta di eventuali Data breach, furto di credenziali o e-mail attraverso
piattaforme di Cyber Threat intelligence.
Monitoraggio
Adottare soluzioni di monitoraggio del traffico della rete interna per identificare eventuali anomalie.
A tal proposito sarà necessario pianificare attività di Formazione e Awareness dei propri dipendenti
ed inoltre attuare vere e proprie attività di Phishing attack simulation in modo da rendere il singolo
dipendente in grado di poter attuare una procedura aziendale nel caso in cui sia soggetto ad un
eventuale attacco phishing33
Nonostante le soluzioni appena individuate, il periodo critico che stiamo attraversando mette a dura
l’Azienda costringendola a non abbassare mai la guardia.
CONCLUSIONI
33
Iezzi P., 2020, “I rischi cyber della Fase 2: quali sono e come gestirli per un rientro sicuro nei luoghi di lavoro”,
https://www.cybersecurity360.it/nuove-minacce/i-rischi-cyber-della-fase-2-quali-sono-e-come-gestirli-per-un-rientro-
sicuro-nei-luoghi-di-lavoro/

27
Sembra opportuno concludere il nostro lavoro asserendo che il continuo sviluppo tecnologico ed il
conseguente maggiore utilizzo di device sempre più evoluti e interconnessi, fanno sì che la minaccia
portata dai cybercrime sia sempre più pressante. In ragione di ciò, la cybersecurity ricopre e ricoprirà
un ruolo fondamentale per la sicurezza delle aziende e su cui le stesse dovranno continuare ad
investire in quanto, come già ampiamente esposto nel nostro lavoro, la minaccia informatica può
avere delle conseguenze talmente pregiudizievoli da minare la continuità e l’operatività aziendale.
In aggiunta sarebbe auspicabile un intervento da parte del legislatore volto a fornire agli inquirenti
adeguati strumenti per l’individuazione degli autori dei reati informatici e a chiarire l’inquadramento
giuridico degli stessi. Inoltre come confermatoci anche dall’avvocato Fabio Cangiano: “La tematica
più sensibile è l’impatto transfrontaliero e cross frontaliero degli attacchi informatici, ossia ci si
chiede qual è il momento consumativo della fattispecie di reato e soprattutto il luogo in cui la
fattispecie di reato risulterebbe integrata. Generalmente questi tipi di reati vengono integrati e portati
avanti da una rete di truffatori e soggetti coinvolti a vario grado e in varie giurisdizioni. Molto spesso
è necessario chiedere una rogatoria internazionale e nella mia esperienza non siamo mai riusciti ad
ottenere una rogatoria internazionale”.
Appare evidente, dunque, la necessità di incrementare la cooperazione giudiziaria tra Stati al fine di
ridurre le difficoltà nel perseguire penalmente gli autori di questi crimini.
Fondamentale, infine, creare una vera e propria cultura di sicurezza informatica attraverso campagne
di sensibilizzazione rivolte non solo ai dipendenti delle aziende ma a tutto il contesto sociale affinchè
non si cada vittime di attacchi cibernetici.
E come ha detto il Dottor P …….. I….. :” mai abbassare la guardia!”.

28
Appendice A
INTERVISTA AL DOTT. NICOLA SOTIRA, INFORMATION SECURITY
MANAGER PRESSO POSTE ITALIANE
Ci racconta l’episodio relativo alle truffe subite dai clienti di Poste Italiane a causa di
condotte fraudolente del tipo “ phishing”, con la conseguente responsabilità addebitata
all’Azienda? Qual è il suo punto di vista in merito?
Sono il responsabile del CERT, occupandomi della sicurezza della parte online (tutto quello che si
chiama canali digitali). Sul caso in oggetto, mi preme premettere che L’Arbitrato Finanziario tende
oggi a dare al cliente una maggiore tutela sulla base del fatto che l’azienda non ha tendenzialmente
fatto abbastanza. Allora bisogna premettere che ci sono problemi tecnici notevoli su questa storia
del phishing. Occorre evidenziare che abbiamo una base clienti di 32 milioni di clienti, con circa 29
milioni di carte. Con la PSD2 (la nuova direttiva dei pagamenti) il secondo fattore di autenticazione
c’è ovunque e si sta altresì spingendo affinché i siti di ecommerce abilitino, nella funzione di
pagamento, le funzionalità 3ds (meccanismo di autenticazione a doppio fattore).
E’chiaro che siamo sottoposti ad attacchi quotidiani di pishing per motivi semplici: parlano chiari i
numeri. Se io ho quel numero di clienti, capite bene che anche l’1% di riuscita su questa base è un
numero rilevante. E’evidente che pertanto Poste Italiane ha una maggiore concentrazione di tiro
rispetto agli altri circuiti bancari.
Purtroppo queste operazioni stanno diventando sempre più difficili da contrastare; all’inizio le email
avevano della particolarità per cui si diceva all’utente di stare attento alla lingua o comunque si
cercava comunque di informare l’utente (servendosi di numerose pagine di sicurezza, su diversi
canali, alla scopo di istruire il cliente a riconoscere queste truffe). Tuttavia, dall’altra parte, chi fa
queste truffe, accede a strumenti sempre più sofisticati (le email sono più veritiere, simili, sembrano
realmente provenire dall’istituto bancario). L’unica cosa che dovrebbe allertare il cliente e che
l’istituto bancario non crede mai le credenziali al cliente. A tal fine si è già chiesto a Banca d’ Italia
di fare delle campagne pubblicitarie televisive ecc. per dare un chiaro messaggio ai clienti: l’istituto
bancario non chiede mai, ai propri clienti, le credenziali personali. Questi tentativi di pishing
terminano tutti con l’accesso alla pagine per l’inserimento delle credenziali personali o addirittura si
viene chiamati da un call-center (per questo l’operazione di contrasto diviene mastodontica). Ciò ci
porta ad immaginare che ormai, dietro queste operazioni, ci sono vere e proprie organizzazioni
criminali.
La complessità e la quotidianità di questi fenomeni ci ha portato, tra le varie misure di contrasto, a
mettere su un servizio che riesce a intercettare la creazione di siti clone (phishing) nel momento in
cui vengono registrati. Un software di intelligenza artificiale, basato su algoritmi, ci permette infatti
di identificare tutte le possibili combinazioni che qualcuno potrebbe utilizzare per creare questi siti

29
clone del sito di poste italiane (in questo modo si riesce a chiudere 10-15 di questi siti, appena nati,
al giorno). E’ consistente pertanto il numero di domini bloccati.
In definitiva quest’ attività di contrasto è un’attività che l’azienda realizza quotidianamente ma,
viste anche le organizzazioni criminali che ci sono dietro, è molto complicata.
Dal lato della sua esperienza sa dirci quali sono le difficoltà che si riscontrano nel difendersi
da attacchi di questo tipo?
Per contrastare queste operazioni è indispensabile una collaborazione tra tutti gli attori. Sicuramente
il fatto che stiamo spostando tutto sulle app può essere utile, ma sempre fino a che l’informatica e le
nuove tecnologie non permettano agli attaccanti di assaltare anche il telefonino (non è un oggetto
sicuro come si pensa). La collaborazione tra tutti gli attori risulta necessaria per garantire l’efficacia
delle soluzioni tecniche adoperate. Perché ad esempio l’efficacia dell’sms, come sistema di
autenticazione, viene meno nel momento in cui qualcuno riesce a clonare la sim del mio telefono
Innanzitutto c’è il problema che gli utenti diffondono troppi dati personali mentre dovrebbero
proteggere e tutelare il loro telefono (che usano come sistema di autenticazione). E’ necessaria la
collaborazione degli operatori telefonici (nel rilasciare la sim, nell’evitare operazioni di
disattivazione della sim e abilitazione della stessa a vantaggio del frodatore) e bancari tutti insieme
per evitare certi inconvenienti.
È poi altresì necessaria una forte sensibilizzazione degli utenti su questi temi perché, nel mondo
digitale, è molto importante la cultura. A tal fine stiamo organizzando una serie televisiva, una serie
di cartoon che spiegano i temi della sicurezza, facciamo parte di un’organizzazione che unisce tutte
le banche a livello italiano e la parte assicurativa dove si condividono il know-how su questi
attacchi e vengono messe insieme le contromisure. Si tratta di investimenti molto grossi che
l’azienda pone in essere.
2) Quali i rischi, da questi derivanti, per la competitività e la continuità aziendale?
La sicurezza oggi viene vista, specie con la trasformazione digitale in corso, come un elemento
fondamentale. Noi riportiamo, ogni trimestre, l’andamento del rischio e dello stato della sicurezza
in Consiglio di Amministrazione (che conosce le problematiche e delibera gli investimenti per
contrastare questi fenomeni). È chiaro che reputazione e sicurezza diventano oggi domini
imprescindibili. In un dominio digitale è evidente che la reputazione dipende da quanto le mie
misure di sicurezza sono efficaci. Pertanto più sono bravo a dare al mio cliente degli strumenti
adeguati (sicurezza, garanzia di poter essere risarcito in caso di problematiche) più i miei servizi
bancari vengono apprezzati. Questo diventerà un fattore competitivo, specialmente alla luce del
fatto che il cittadino, al giorno d’oggi, nel scegliere una banca, tiene conto principalmente di due
assi fondamentali: l’app e la sicurezza.
3) Quali azioni possono essere attivate al fine di prevenire e contrastare questi attacchi?
Sulla sicurezza preventiva ci si sta lavorando da molti anni e oggi abbiamo sicuramente degli
strumenti più efficaci. Facciamo un monitoraggio costante del dark web (web non indicizzato,

30
nascosto). Viene monitorato quotidianamente e vengono tirate fuori e verificate tutte le
informazioni che riguardano l’Azienda (dalle informazioni sui postamat, alla carte di credito). Nel
contrasto al pishing utilizziamo un software che prende il dominio poste italiane, genera tutte le
possibili combinazioni di siti di pishing e se viene registrato uno di questi domini vengono chiusi
prima che siano entrati in attività. Si cerca di arrivare prima che il frodatore entri in azione.
Abbiamo persino un servizio sulle app, in modo tale che, tutti i market alternativi vengono
monitorati e, se si ravvisa un app diversa da quella ufficiale viene fatta chiudere. Questa è tutta
attività preventiva.
Quali strategie possono essere definite al fine di rafforzare i livelli di sicurezza dei servizi e
ridurre i profili di rischio per la clientela ?
Tra le misure rientra anche quella di un controllo preventivo sugli indirizzi ip che, ove blacklistato,
viene bloccato impedendo l’autenticazione. Grazie alla PSD2, nell’introdurre la necessità di un
sistema di doppia autenticazione, si sono ridotte notevolmente le reali possibilità del truffatore. E’
chiaro però che quello che si sta cercando di fare è sensibilizzare ed educare il cliente, privilegiando
l’utilizzo delle app. Abbiamo peraltro cominciato un programma di formazione all’interno, rivolto
ai nostri dipendenti, che sono stati formati e ricevono quotidianamente campagne simulate di
phishing. Questa esperienza stiamo cominciando a migrarla verso i nostri clienti (servendoci ad
esempio degli stessi video usati per educare i nostri dipendenti). La conoscenza è oggi l’unica arma
per difendersi da questo tipo di attacchi.
Quali misure possono essere adottate nei rapporti coi clienti e coni dipendenti e con le terze
parti, per sensibilizzarli sul problema?
Bisogna cercare di coinvolgere in questo meccanismo altri soggetti (associazioni dei consumatori,
operatori telefonici). Infine per ogni incidente verificatosi si cerca di comprendere se necessita di
education o di nuove contromisure.

31
Appendice B
Intervista all’avv. Fabio Cangiano, Head of Legal Affairs presso
Babcock & Wilcox SPIG
In relazione a quelli che sono i modelli organizzativi 231, quali sono i requisiti che un modello
, in riferimento alla sicurezza informatica, deve avere affinchè sia efficace ed efficiente
all’interno di una grande azienda?
Noi abbiamo adottato un modello di organizzazione che prevede, una parte generale e dei protocolli.
I protocolli sono redatti sulla base della risk engine e analysis così detta, concernente le singole aree
aziendali, che vanno quindi dall’area legale, finance, all’ingegneria e operations arrivando alla supply
chain che è l’area alla quale fa capo il nostro dipartimento di informations technology. Cosa è
successo: nell’ambito di questo protocollo che si applica a questa specifica area noi abbiamo previsto
ad integrazione ovviamente delle policy standard in materia IT , alcune modalità di comunicazione
nei confronti dell’organismo di vigilanza concernenti tentativi di frode informatica che vanno dal
phishing all’ipotesi di man in the middle o altre fattispecie. Si crea cosi un accordo, a monte, quindi
come soft law ci sono le policy aziendali, gli standard e noi abbiamo in particolare, in quanto
corporate strutturata sul modello americano numerose policy e abbiamo in particolare un archivio
dedicato a tutte le policy che riguardano l’IT, Poi c’è la parte di organizzazione e vigilianza: Una
volta ricevuta una segnalazione relativa a un crimine informatico, vi è poi nell’ ambito dei cosidetti
flussi informativi ,un obbligo di comunicazione, che principalmente viene assolto da me in quanto
responsabile degli affari legali o membri del mio team o generalmente dell’ ethics and compliance
manager che al tempo stesso è anche membro stesso dell’organismo di vigilanza composto da 3
membri che osserva quel protocollo iniziale di cui le ho parlato all’inizio. L’ odv è notiziato e tiene
sotto controllo l’evento che fa sorgere l’eventuale responsabilità giuridica dell’ente. L’odv può
chiedere di avviare un’istruzione interna, un’indagine, può convocare una riunione ad hoc o chiedere
un supplemento di chiarimenti e continuare ad essere notiziato dell’andamentoo esito dell’istruzione
o delle eventuali azioni giuridiche che l’azienda decide di intraprendere. Nel 2019 abbiamo intrapreso
4 azioni penali per tentativi di frode informatica, tutti per fortuna sventati.
La tematica più sensibile è il tema dell’impatto transfrontaliero e cross frontaliero, ossia ci si chiede
qual è il momento consumativo della fattispecie di reato e soprattutto il luogo in cui la fattispecie di
reatorisulterebbe integrata. Generalmente questi tipi di reati vengono integrati e portati avanti da una
rete di truffatori e soggetti coinvolti a vario e grado e in varie giurisdizioni. E molto spesso è
necessario chiedere una rogatoria e nella mia esperienza non siamo mai riusciti ad ottenere una
rogatoria internazionale.
Quanto è importante per la reputazione dell’azienda un’attenzione particolare alla sicurezza
informatica,soprattutto al giorno d’oggi?
È fondamentale. Partiamo dal presupposto che oltre alla reputazione io affiancherai anche un altro

32
concetto ossia il brand medio ossia quando è minata la reputazione aziendale e vi è un evento che
mina appunto alla reputazione anche il valore del brand ne risente di conseguenza soprattutto in una
aziendache è quotata sui mercati regolamentati, l’impatto è significativo. Un esempio recente : nel
2018 un’azienda americana che si occupa di raccolta di dati e registri ha subito una penetrazione
informatica eun hackeraggio che ha comportato la divulgazione di 750 milioni di dati sensibili, ecco,
l’azienda è fallita.
Una truffa informatica ben congeniata mette in ginocchio l’azienda nei confronti degli stakeholders,
fornitori e clienti e ovviamente anche della popolazionme aziendale. L’impatto è significativo per me
anche per un altro motivo. Tutti questi dati vanno a finire in quello che è il dark web e rimuoverle da
questo è impossibile. Un evento del genere oltre che a provocare un danno reputazionale comporta
anche perdita di know how. Una divulgazione di questi dati può essere utilizzata anche da eventuali
competitotors. Quindi al danno reputazionale si affianca anche il danno d’immagine, la perdita di
chanche e l’impatto economico è elevato
In questo senso, andando più nello specifico e nel suo ruolo, quali possono essere gli strumenti
che unlegale anche sotto diciamo l’aspetto manageriale, deve adottare per proteggere la propria
azienda da quelli che possono essere i reati informatici?
Io vedo 3 aspetti fondamentali: Il primo è la strutturazione di policy adeguate ( per policy intendo
siaquelle a livello corporate ovvero modelli di organizzazione, codice etico e codici di condotta
aziendale, tutto il pacchetto di soft law. Seconda cosa: collaborare dal punto di vista della sensibilità
giuridica e implementare una struttura tecnologica adeguata. Il terzo punto, per me fondamentale,
partendo da questa base i infrastrutture e policy la formazione interna. Noi facciamo formazione su
base periodica almeno 12/14 volte l’anno per formare i nostri colleghi, perché la consapevolezza dei
dipendenti è fondamentale e importante( self awerness).
Quindi la collaborazione tra aree aziendali è importante?
Assolutamente, glielo confermo. La collaborazione cross aziendale per avere una visione di insieme
e per combattere questi tipi di reati.( bisogna stare a passo con i tempi per capire come si evolvono le
truffe).

33
Bibliografia
Accenture, “Accenture: Il cyber crime costa 11,7 milioni di dollari …”, 2019 in
www.accenture.com
Antonielli, A., “Cos'è il Cybercrime e come possono combatterlo le aziende in
Italia”, 2019 in www.blogosservatori.net
Argomenti del Sole 24 ore, “I cybercrime”, in www.ilsole24ore.it
Caio, F., “La Missione E La Valorizzazione Di Poste Italiane Al Servizio Del Paese”,
2014 in www.senato.it
Cajani, F. e altri, “Phishing e furto d'identità digitale. Indagini informatiche e
sicurezza bancaria”, 2008 Giuffrè, pag. 223-226.
CIS Sapienza, “2016 Italian Cybersecurity Report, Controlli Essenziali di
Cybersecurity”, 2016 in www.cybersecurityframework.it
Del Fante, M., “Attività e prospettive del Gruppo Poste Italiane”, 2018 in
www.camera.it
Iezzi, P., “I rischi cyber della Fase 2: quali sono e come gestirli per un rientro sicuro
nei luoghi di lavoro”,2020, in www.cybersecurity.it
Il Mattino, “Poste Italiane prima nella top 100 mondiale dei brand assicurativi”, Il
Mattino (online), 2020, in www.ilmattino.it
Il Messaggero, Phishing, tutti i risparmi rubati dalla Postepay: giudice condanna
Poste a risarcire il cliente, in www.ilmessaggero.it
Lima, E.,“Cybersecurity, le aziende italiane impreparate allo scenario Covid-19”,
2020 www.corrierecomunicazioni.it
Lo Iacono, C., “Impresa, criminalità informatica e tutela dei dati”, 2019 in
www.giurisprudenzapenale.it

34
Lo Strillone, L’informazione ad alta voce, “Poste italiane condannate per un caso di
“phishing”: dovranno risarcire per intero un correntista”, in www.lostrillonenews.it
Poste Italiane, Audizione X Commissione Senato – 2012, in www.senato.it
Poste Italiane, “Codice etico gruppo Poste Italiane” ,2018 in www.posteitaliane.it
Poste Italiane, “Contratto di programma 2020-2024, Audizione presso la IX
Commissione trasporti, poste, e telecomunicazioni, Camera dei deputati “2019 in
www.posteitaliane.it
Poste Italiane, “Poste Italiane 2017-2019, Tre anni di obiettivi, progetti e risultati
raggiunti “, 2020 in www.posteitaliane.it
Poste Italiane, “ Policy di sicurezza informatica Poste Italiane”, in
Poste Italiane, “Modello di organizzazione, gestione e controllo” 2020, in
Postepay, “Modello organizzativo 231/01 Poste Italiane, parte speciale B”,
“Responsabilità amministrativa della Società”, in www.posteitaliane.it
PWC, “Global Economic Crime and Fraud Survey 2018 Summary Italia”, 2018 in
www.pwc.com
Studio Cataldi, “Il Phishing”, Aprile 2020, in www.studiocataldi.it

Poste Italiane e i cybercrime: rischi, minacce e strategie per la lotta al crimine informatico

Recommended

Recommended

More Related Content

What's hot

What's hot (9)

Similar to Poste Italiane e i cybercrime: rischi, minacce e strategie per la lotta al crimine informatico

Similar to Poste Italiane e i cybercrime: rischi, minacce e strategie per la lotta al crimine informatico (20)

More from Free Your Talent

More from Free Your Talent (20)

Poste Italiane e i cybercrime: rischi, minacce e strategie per la lotta al crimine informatico