Question 1

Qual è stato il più grande ciberattacco in Svizzera?

Accepted Answer

Qual è stato il più grande ciberattacco in Svizzera?

L’attacco ransomware alla società informatica Xplain con sede a Berna, avvenuto nel maggio 2023, è considerato uno dei ciberattacchi di più ampia portata. In quell’occasione, sono stati rubati circa 1,3 milioni di oggetti di dati, tra cui oltre 9000 dell’Amministrazione federale. Più della metà contenevano informazioni sensibili. Vittime dell’attacco sono stati, tra gli altri, l’Ufficio federale di polizia (Fedpol), l’Ufficio federale della dogana e della sicurezza dei confini (UDSC), diverse forze di polizia cantonali, le Ferrovie federali svizzere (FFS) e il Canton Argovia.

Anche le grandi aziende svizzere e le agenzie federali non sono immuni da ciberattacchi professionali.

Question 2

Cosa succede in caso di ciberattacco?

Accepted Answer

Un ciberattacco può assumere forme diverse, a seconda dell’obiettivo dei criminali. Negli attacchi ransomware, gli aggressori criptano prima i dati e i sistemi aziendali importanti e poi chiedono un riscatto per la decodificazione. Spesso i dati vengono anche rubati, minacciando di pubblicarli.

Negli attacchi di phishing, i criminali ottengono i dati di accesso tramite e-mail o siti web falsi e possono poi entrare nella rete aziendale. La truffa del CEO e la truffa della fattura prendono di mira direttamente i pagamenti inducendo i dipendenti a trasferire denaro su conti falsi. Gli attacchi di vishing utilizzano telefonate per convincere le vittime a installare un software remoto che consente ai criminali di avere pieno accesso al sistema.

Le conseguenze vanno dalla perdita di dati e interruzioni dell’attività a ingenti danni finanziari fino al danno di reputazione. Un aspetto particolarmente critico è che, inizialmente, molti attacchi passano inosservati e nel frattempo i malintenzionati analizzano sistematicamente la rete.

Question 3

Quanto dura un ciberattacco?

Accepted Answer

Quanto dura un ciberattacco?

La durata di un ciberattacco varia notevolmente. L’effettiva compromissione di un sistema può avvenire in pochi minuti o ore, ad esempio quando un dipendente clicca su un link di phishing o rivela i dati di accesso. Tuttavia, gli aggressori professionisti spesso rimangono inosservati nella rete per settimane prima di colpire. Utilizzano questa fase per ottenere i diritti di amministratore, infiltrarsi in altri sistemi e identificare dati preziosi. Nel caso degli attacchi ransomware, la crittografia avviene all’improvviso, spesso di notte o durante il fine settimana, quando nessuno può reagire.

Il ripristino dei sistemi dopo un attacco richiede in genere giorni o settimane. Il tempo di rilevamento è fondamentale in questo caso: prima si identifica l’attacco, meno danni provoca. L’UFCS raccomanda pertanto un monitoraggio continuo e meccanismi di risposta rapida.

Question 4

Chi è responsabile in caso di ciberattacco?

Accepted Answer

In Svizzera, non è l’azienda a essere responsabile per le violazioni dei dati, ma la persona fisica responsabile: si tratta di una differenza importante rispetto al GDPR dell’UE. La Legge federale sulla protezione dei dati (LPD) rivista prevede multe fino a 250 000 franchi svizzeri, che vengono comminate ai responsabili dell’organizzazione, in genere la direzione o il consiglio di amministrazione. Il presupposto è l’azione intenzionale, per cui è sufficiente anche il dolo eventuale (l’accettazione del rischio).

Un errore frequente è credere che i ciberattacchi vengano considerati automaticamente «forza maggiore». Infatti, se mancano misure di protezione di base come l’autenticazione a due fattori o i firewall, l’attacco viene spesso classificato come evitabile. Dall’aprile 2025, i gestori di infrastrutture critiche devono segnalare i ciberattacchi all’UFCS entro 24 ore. In caso di infrazione possono essere comminate multe fino a 100 000 franchi svizzeri. Oltre alla responsabilità penale, sono possibili richieste di risarcimento danni da parte dei clienti o dei partner commerciali interessati. Le aziende devono quindi implementare misure tecniche e organizzative adeguate e documentarle.

Question 5

Quali sono gli obiettivi dei ciberattacchi e chi è responsabile della loro prevenzione?

Accepted Answer

I ciberattacchi hanno due obiettivi principali: in primo luogo, il guadagno finanziario attraverso il ricatto (ransomware), la truffa (truffa del CEO, truffa della fattura) o il furto di informazioni di pagamento. In secondo luogo, il furto di dati e lo spionaggio, ad esempio di segreti aziendali, dati dei clienti o informazioni strategiche. A volte questi due obiettivi sono combinati: i dati vengono rubati e l’azienda viene ricattata.

La responsabilità della cibersicurezza è condivisa: la dirigenza ha la responsabilità strategica e deve fornire misure e budget adeguati. Il reparto IT implementa misure di sicurezza tecnica come firewall, software antivirus e controlli degli accessi. Tuttavia, la linea di difesa più importante è costituita dai dipendenti stessi: dato che oltre il 90% degli attacchi riusciti è il risultato di un errore umano (cliccare sui link di phishing, rivelare le password), è essenziale prevedere misure di sensibilizzazione e formazione continue. La cibersicurezza non è quindi solo un compito dell’IT, ma una responsabilità aziendale globale che può funzionare solo se tutte le parti coinvolte collaborano.

Question 6

Quali sono le più importanti leggi svizzere sulla cibersicurezza?

Accepted Answer

Negli ultimi anni la Svizzera ha rafforzato in modo significativo il proprio quadro giuridico in materia di cibersicurezza. Le leggi e i regolamenti più importanti sono:

La Legge federale sulla protezione dei dati (LPD), rivista e in vigore dal settembre 2023, regola la protezione dei dati personali e obbliga le aziende ad adottare misure di protezione tecniche e organizzative. In caso di violazioni di dati ad alto rischio sussiste l’obbligo di notifica.
La Legge federale sulla sicurezza delle informazioni (LSIn) del 2024 crea un quadro standardizzato per la sicurezza delle informazioni nell’Amministrazione federale e nelle infrastrutture critiche.
L’Ordinanza sulla sicurezza delle informazioni (OSIn) concretizza la LSIn e obbliga le agenzie federali a introdurre un sistema di gestione della sicurezza delle informazioni (SGSI).
L’Ordinanza sulla cibersicurezza (OCS), in vigore dall’aprile 2025, introduce l’obbligo di notifica per ciberattacchi alle infrastrutture critiche (termine di 24 ore).
L’Ordinanza sui ciber-rischi (OCiber) regola la gestione dei rischi informatici nel settore federale. Insieme, questi regolamenti formano un quadro di protezione completo che copre la prevenzione, il rilevamento e la risposta alle ciberminacce.

Question 7

Truffa del CEO: quando inaspettatamente il capo chiede del denaro

Accepted Answer

Che cos’è la truffa del CEO?

Nella truffa del CEO, i truffatori si spacciano per dirigenti d’azienda e chiedono ai dipendenti del reparto finanziario di effettuare pagamenti urgenti. Le false e-mail o telefonate sembrano autentiche e spesso contengono minacce di conseguenze per l’azienda. L’ultima variante utilizza persino video deepfake generati dall’intelligenza artificiale: i dipendenti sono invitati a riunioni online in cui appare una versione digitale del «capo», estremamente realistica, che li esorta a effettuare bonifici.

Misure di protezione

Sensibilizzate tutti i dipendenti, soprattutto quelli dei reparti finanziari, su questa truffa. Evitate di pubblicare gli indirizzi e-mail sul sito web e limitate le informazioni sul team, comprese foto e video, allo stretto necessario. Implementate regole di pagamento chiare, come il principio del doppio controllo o la firma collettiva. Queste regole devono essere sempre rispettate, anche nel caso di istruzioni apparentemente urgenti. In caso di richieste di pagamento insolite, verificate l’ordine chiamando un numero ufficiale o un numero già noto, senza mai utilizzare i recapiti forniti nell’e-mail sospetta.

Question 8

Truffa della fattura: fatture manipolate e dati di conto falsi

Accepted Answer

Che cos’è la truffa della fattura?

Nelle frodi di manipolazione delle fatture (note anche come frode BEC), i criminali si spacciano per fornitori fidati e inviano e-mail con dati del conto alterati. Il messaggio sembra autentico in quanto spesso i server di posta elettronica reali vengono violati in modo che il messaggio sembri provenire effettivamente dal fornitore. Ai dipendenti viene comunicato che il fornitore ha «nuove coordinate bancarie» e che i pagamenti futuri dovranno essere effettuati utilizzando questi dati. Di solito la frode viene scoperta solo a distanza di mesi, quando il vero fornitore si lamenta dell’importo arretrato.

Misure di protezione

Prestate particolare attenzione alle e-mail che vi informano di modifiche alle coordinate bancarie. È bene verificare sempre tali richieste contattando telefonicamente il fornitore utilizzando un numero di telefono già noto, e non quello contenuto nell’e-mail. Non rispondete mai direttamente alle e-mail sospette. Attivate l’autenticazione a due fattori per tutti gli account di posta elettronica, in particolare quelli di contabilità e finanza. Controllate regolarmente i filtri e-mail e le regole di inoltro in quanto gli aggressori spesso creano regole per ricevere una copia di tutte le e-mail che ricevete. Se vengono inviate fatture manipolate a vostro nome, cambiate immediatamente tutte le password e fate controllare il vostro sistema da esperti.

Question 9

Furto di credenziali: false pagine di login che rubano i dati di accesso

Accepted Answer

Che cos’è il furto delle credenziali?

Il furto delle credenziali, noto anche come credential phishing, mira a rubare dati di accesso come password e nomi utente. I criminali inviano e-mail o SMS apparentemente autentici a nome di aziende, banche o uffici postali noti e vi chiedono di aprire un link che porta a una pagina di login perfettamente replicata. Nel 2024, l’UFCS ha registrato oltre 12 000 segnalazioni di phishing (in tedesco). Gli attacchi di phishing in due fasi sono particolarmente pericolosi: in primo luogo, su siti web falsi vengono raccolti dati apparentemente innocui come i numeri di telefono. Dopodiché, i truffatori chiamano spacciandosi per impiegati di banca e riferiscono che sono state effettuate transazioni sospette. In questo modo ottengono i codici a due fattori. Ora i criminali utilizzano anche annunci a pagamento nei motori di ricerca che appaiono prima delle vere pagine di login.

Misure di protezione

Non inserite mai password o dati della carta di credito su siti web raggiunti tramite un link contenuto in e-mail o SMS. Digitate sempre l’URL della banca o del servizio manualmente nel browser o utilizzate i segnalibri salvati. Attivate sempre l’autenticazione a due fattori per tutti i servizi. Siate diffidenti di fronte a e-mail o chiamate che minacciano conseguenze (blocco del conto, perdita di denaro, denunce penali). La vostra banca non vi chiamerà mai senza la vostra richiesta per chiedervi i dati di accesso o i codici TAN. Se avete dubbi, riagganciate e chiamate il numero ufficiale della vostra banca.

Question 10

Vishing: chiamate fraudolente a nome di banche e autorità

Accepted Answer

Che cos’è il vishing?

Il termine vishing combina le parole «voice» e «phishing»: si riferisce a una forma di phishing telefonico in cui i truffatori chiamano spacciandosi per impiegati di banca, agenti di polizia o personale di servizi di assistenza. Sostengono che vi sia un problema con il conto, un pagamento sospetto o un aggiornamento necessario. Gli interlocutori parlano spesso un italiano impeccabile e sono di conseguenza più credibili. Una nuova variante di questa truffa sono le «callback scam»: invece di chiamare direttamente, i criminali inviano e-mail con presunte fatture o transazioni sospette e chiedono al destinatario di chiamare un numero di telefono svizzero. Componendo quel numero, però, si finisce direttamente nel call center dei truffatori, i quali invitano le vittime a installare software di manutenzione remota come TeamViewer o AnyDesk, ottenendo così pieno accesso ai computer e all’e-banking.

Misure di protezione

Non rivelate mai dati personali, password o codici TAN per telefono. Le banche e le autorità non richiedono tali informazioni per telefono. In nessun caso dovete lasciarvi mettere sotto pressione. In caso di chiamate sospette, riattaccate e chiamate il numero ufficiale dell’istituzione in questione. Cercatelo sul sito web verificato o nei vostri documenti fisici. Non utilizzate mai il numero di telefono riportato nei messaggi sospetti. Non installate alcun software su indicazione di chiamanti sconosciuti.

Sommario

I vostri obiettivi in primo piano

Misure aggiuntive per la truffa del CEO

Misure aggiuntive per la truffa della fattura (invoice fraud)

Misure aggiuntive per il furto delle credenziali (credential phishing)

Misure aggiuntive per il vishing (voice phishing)

Newsletter Impulse: conoscenze imprenditoriali di prima mano

Disclaimer

Aiuto

Prodotti

Settori

A proposito di noi