Il recente allarme lanciato da Bankitalia ha squarciato il velo su una realtà che molti imprenditori faticano ancora a metabolizzare: il rischio cyber non è un’eventualità remota, ma una certezza statistica. Ne abbiamo parlato con Marco Birocchi, Responsabile Sistemi Informatici & Senior System Engineer di BAIT Service, che da anni presidia la prima linea della difesa digitale.

Birocchi, l’allarme di Bankitalia sembra segnare un punto di non ritorno. Cosa è cambiato davvero nel panorama delle minacce?

Siamo di fronte a un vero cambio di paradigma. La cybersecurity non è più un capitolo di spesa per il reparto IT, ma una priorità di sopravvivenza economica. Gli attacchi non sono solo aumentati verticalmente, ma mostrano una sofisticazione inedita. Pensiamo alle recenti offensive dei gruppi nordcoreani: non usano più solo malware grezzi, ma si mimetizzano sfruttando piattaforme legittime e insospettabili, come Google o comuni portali di servizi. L’obiettivo si è spostato: non cercano solo il colosso industriale, ma puntano alla piccola impresa, spesso più vulnerabile e meno difesa.

In caso di sospetto attacco, il panico è il primo nemico. Qual è il “pronto soccorso” da attivare immediatamente?

La regola d'oro è l'isolamento. Se si percepisce un'anomalia, bisogna scollegare fisicamente i dispositivi dalla rete: via i cavi Ethernet e spegnere il Wi-Fi. È l'unico modo per impedire al virus di propagarsi lateralmente verso altri server. Poi bisogna contattare subito gli specialisti, annotando i messaggi di errore senza però tentare di interagire con i file compromessi. La calma è fondamentale per non peggiorare i danni.

Ci sono però degli errori che rischiano di essere fatali. Quali sono i “divieti assoluti” che ogni manager dovrebbe conoscere?

Ne indico due, non negoziabili. Il primo: mai pagare il riscatto in caso di ransomware. Cedere al ricatto non dà alcuna garanzia di recupero dei dati e, peggio ancora, finanzia i criminali permettendo loro di architettare attacchi ancora più complessi. Il secondo è evitare il “fai da te”. Tentare pulizie amatoriali o riavviare compulsivamente i server rischia di cancellare i cosiddetti “log”. Quei file sono le tracce digitali necessarie a noi tecnici per capire come i criminali sono entrati e, soprattutto, come chiudere la falla per evitare che tornino.

Prevenire è meglio che curare: ma come si costruisce una difesa solida oggi?

La vera partita si gioca prima dell'incidente. Una prevenzione efficace oggi poggia su tre pilastri. Innanzitutto, l'autenticazione a due fattori (MFA): deve essere attiva ovunque. Poi la formazione: il personale deve saper riconoscere una mail trappola; il fattore umano resta l'anello debole. Infine, la strategia di backup. I dati devono essere salvati su reti protette e, soprattutto, in copie immutabili. Quando tutto il resto fallisce, poter contare su dati che nessuno può alterare o cancellare è l’unica vera assicurazione sulla vita per un’azienda.