Servizi e-mail criptati: red flag o scelta di sicurezza?
La parola ad Antonio Rossi e Lucrezia Tunesi a margine di una ricerca scientifica
mercoledì 3 gennaio 2024
17.46
iReport
Grande interesse per l'articolo scientifico a firma di Antonio Rossi e Lucrezia Tunesi, divulgato il 1° gennaio 2024, dalla prestigiosa rivista internazionale "Fraud Magazine", a carattere bimestrale di settore, dell'Association of Certified Fraud Examiner (ACFE). Con la ricerca condotta da Antonio Rossi e Lucrezia Tunesi, hanno rilevato come l'adozione da parte di una organizzazione di un indirizzo e-mail criptato - quale indirizzo e-mail principale – possa rappresentare un elemento di criticità e pertanto un "red-flag" da andare a considerare nell'ambito delle attività di verifica delle terze parti (c.d. "Third Party Due Diligence (TPDD)". Generalmente, ogni azienda, pur disponendo di molteplici indirizzi e-mail mediante i quali, la stessa interagisce con i vari stakeholder, dichiara solitamente presso i pubblici registri e/o sul proprio sito internet un solo indirizzo e-mail c.d. "principale", ossia un indirizzo e-mail al quale possono pervenire tutte le tipologie di richieste/informazioni. Trattandosi dunque di un indirizzo utilizzato per richieste generiche e non destinato alla condivisione di informazioni critiche o sensibili, è insolito che sia criptato, tanto da divenire sinonimo di scarsa trasparenza dell'azienda.
Le risultanze emerse, in accordo con gli Autori, hanno confermato l'importanza di introdurre gli indirizzi e-mail "principali" delle organizzazioni tra i key risk indicator da considerare nell'ambito delle attività di TPDD, naturalmente da valutare e leggere organicamente e congiuntamente con ulteriori key risk indicator. La ricerca – condotta tra giugno e luglio 2023 - si é focalizzata su un campione di n.559 organizzazioni identificate su scala mondiale, le quali adottano come indirizzo "principale" un indirizzo e-mail criptato. La ricerca ha evidenziato che ben oltre la metà delle aziende che adottano questo comportamento sono aziende che presentano altri fattori di rischio. Trattasi infatti per il 69% di organizzazioni di recente costituzione, operanti in settori tipicamente affetti da fenomeni di infiltrazione criminale, con strutture organizzative molto ridotte e un fatturato annuo esiguo.
In merito, Antonio Rossi ha spiegato :"la tecnologia, se impiegata in modo illecito, rappresenta una potente arma nelle mani di criminali e terroristi. Pertanto, risulta di fondamentale importanza mantenere alta l'attenzione sulle novitá tecnologiche e introdurre elementi innovativi nell'ambito di processi volti alla mitigazione dei rischi, come le due diligence su terze parti. Gli E-mail Encrypted Services, rappresentano un ottimo strumento per la protezione dei dati, grazie ai loro elevati standard di sicurezza e anonimato ma, al contempo, se utilizzati da organizzazioni criminali o terroristiche rappresentano un ottimo strumento volto a rendere non tracciabili le comunicazioni e pertanto a rendere maggiormente complesse le attivitá d'indagine".
Mentre, Lucrezia Tunesi ha sottolineato: "Gli E-mail Encrypted Service sono un buon esempio di ambivalenza tecnologica, qualsiasi tecnologia porta infatti con sé vantaggi e svantaggi. In quest'ottica, effettuare una revisione costante degli indicatori da valutare in fase di on-boarding può aiutare l'azienda ad affrontare correttamente i nuovi rischi determinati dall'evoluzione tecnologica e fino a quel momento considerati trascurabili o irrilevanti."
Il dottor Antonio Rossi, Certified Fraud Examiner, è un professionista con una pluriennale esperienza in fraud investigation e Corporate Intelligence. Co‐Fondatore e membro del Consiglio Direttivo dell'Associazione di Promozione Sociale OsintItalia.
La dottoressa Lucrezia Tunesi è esperta di threat intelligence con competenze verticali nel settore energetico. È Professionista della Security (UNI10459) e Open Source Intelligence Practitioner certificata, membro dell'Associazione Italiana delle Professioni della Sicurezza Aziendale (AIPSA) e dell'Associazione di Promozione Sociale OsintItali.
Le risultanze emerse, in accordo con gli Autori, hanno confermato l'importanza di introdurre gli indirizzi e-mail "principali" delle organizzazioni tra i key risk indicator da considerare nell'ambito delle attività di TPDD, naturalmente da valutare e leggere organicamente e congiuntamente con ulteriori key risk indicator. La ricerca – condotta tra giugno e luglio 2023 - si é focalizzata su un campione di n.559 organizzazioni identificate su scala mondiale, le quali adottano come indirizzo "principale" un indirizzo e-mail criptato. La ricerca ha evidenziato che ben oltre la metà delle aziende che adottano questo comportamento sono aziende che presentano altri fattori di rischio. Trattasi infatti per il 69% di organizzazioni di recente costituzione, operanti in settori tipicamente affetti da fenomeni di infiltrazione criminale, con strutture organizzative molto ridotte e un fatturato annuo esiguo.
In merito, Antonio Rossi ha spiegato :"la tecnologia, se impiegata in modo illecito, rappresenta una potente arma nelle mani di criminali e terroristi. Pertanto, risulta di fondamentale importanza mantenere alta l'attenzione sulle novitá tecnologiche e introdurre elementi innovativi nell'ambito di processi volti alla mitigazione dei rischi, come le due diligence su terze parti. Gli E-mail Encrypted Services, rappresentano un ottimo strumento per la protezione dei dati, grazie ai loro elevati standard di sicurezza e anonimato ma, al contempo, se utilizzati da organizzazioni criminali o terroristiche rappresentano un ottimo strumento volto a rendere non tracciabili le comunicazioni e pertanto a rendere maggiormente complesse le attivitá d'indagine".
Mentre, Lucrezia Tunesi ha sottolineato: "Gli E-mail Encrypted Service sono un buon esempio di ambivalenza tecnologica, qualsiasi tecnologia porta infatti con sé vantaggi e svantaggi. In quest'ottica, effettuare una revisione costante degli indicatori da valutare in fase di on-boarding può aiutare l'azienda ad affrontare correttamente i nuovi rischi determinati dall'evoluzione tecnologica e fino a quel momento considerati trascurabili o irrilevanti."
Il dottor Antonio Rossi, Certified Fraud Examiner, è un professionista con una pluriennale esperienza in fraud investigation e Corporate Intelligence. Co‐Fondatore e membro del Consiglio Direttivo dell'Associazione di Promozione Sociale OsintItalia.
La dottoressa Lucrezia Tunesi è esperta di threat intelligence con competenze verticali nel settore energetico. È Professionista della Security (UNI10459) e Open Source Intelligence Practitioner certificata, membro dell'Associazione Italiana delle Professioni della Sicurezza Aziendale (AIPSA) e dell'Associazione di Promozione Sociale OsintItali.