Quando si parla di attacchi informatici ci si concentra sull’analisi del danno economico, cercando di capire quanti soldi abbia perso l’azienda colpita, o quanti ne siano stati sottratti da un conto in criptovalute o da uno ordinario online. Si cerca di individuare dove siano finiti i dati copiati ed esfiltrati, a quanto vengano venduti sul Dark Web, a quanto ammonti il riscatto se lo strumento d’attacco è un ransomware. Insomma, si guarda all’aspetto più immediato (e materiale) dell’azione criminosa.
Questo sguardo è certamente importante, ma non può essere l’unico. Un attacco cyber, infatti, ha conseguenze dirette sulle persone, investendo sia il profilo psicologico sia quello biologico in senso stretto: la loro vita, che in casi estremi può anche terminare.
L’impatto sulla psiche
I criminali informatici sanno che la minaccia di rendere pubbliche le informazioni sensibili delle quali vengono in possesso, quella di criptare file per renderli a lungo irrecuperabili, o di mettere fuori uso computer e altri dispositivi rappresenta un colpo micidiale per la serenità delle persone. Il meccanismo è lo stesso che scatta con il classico furto: uno scippo, una rapina o una violazione del proprio domicilio rivelano vulnerabilità latenti, che emergono di colpo lasciando le vittime in balia delle proprie paure. Nel caso di un attacco con ransomware si aggiunge la possibilità di un contatto diretto con i criminali, che esercitano pressioni psicologiche micidiali per indurre la vittima a pagare: quando fu diffuso Jigsaw, vennero utilizzati immagini e frammenti di horror per alimentare l’angoscia della vittima e spingerla a pagare.
L’impatto sul lavoro
Un attacco informatico che impedisca ai dipendenti di svolgere il proprio lavoro, o che sottragga dati, o che li distrugga non determina solo una colossale perdita di tempo o un gigantesco problema di ripristino della normalità, con il conseguente stress da difficoltà di lavoro. Nei casi più gravi, può portare alla chiusura dell’azienda e alla perdita del posto per chi ci lavora.
L’eventualità non è remota. A titolo di esempio, si può citare il caso di una società di telemarketing situata in Arkansas (Usa), colpita da un malware che ne aveva paralizzato i server prendendo in ostaggio tutti i dati. Nessuno riusciva più a fare nulla, ogni operazione era impossibile. Pur di tornare il prima possibile all’attività ordinaria, la società aveva deciso di pagare il riscatto chiesto dai criminali. Tuttavia, il ripristino della situazione precedente l’attacco non è andato a buon fine. Il lavoro si è protratto anche durante il periodo natalizio, per mesi dopo l’attacco ma senza riuscire a riportare tutto come era in precedenza. Ogni giorno la società perdeva migliaia di dollari, e in breve si è trovata costretta a lasciare a casa i dipendenti. I quali, con l’anno nuovo, si sono ritrovati nelle chat aziendali un messaggio di questo tenore: “Non vogliamo impedirti di cercare un altro lavoro. Per favore, abbi cura di te e dei tuoi cari, e buon anno." Che in quell’occasione non è certo cominciato nel migliore dei modi.
L’impatto sulla vita
Un attacco ransomware è stato capace di spingersi a causare la morte di una donna. E’ accaduto in Germania nel settembre del 2020, quando l’Ospedale Universitario di Düsseldorf è stato raggiunto dal malware, che ha bloccato i sistemi informatici della struttura. I cybercriminali avrebbero sfruttato una falla presente in un software esterno di natura commerciale. Con i dati criptati, il personale ha dovuto trasferire i pazienti dei reparti d’emergenza in altri ospedali. Una di loro, una donna, è stata quindi costretta al trasferimento in una struttura distante 32 chilometri da quella in cui era ricoverata. Durante il tragitto le sue condizioni sono peggiorate, e si è spenta in ambulanza.
Quando la polizia ha contattato gli attaccanti spiegando loro l’accaduto – in particolare, che il loro obiettivo non era l’Università bensì l’ospedale – questi hanno ritirato la richiesta di riscatto e hanno fornito la chiave per decrittare i dati. Un pentimento tardivo, per un’azione che rivela nitidamente quanto gli attacchi informatici siano crimini diretti contro la vita delle persone, e non solo contro le aziende per poter ottenere somme di denaro più o meno cospicue.
