La criminalità informatica è una preoccupazione crescente a livello globale. Gli attacchi stanno diventando sempre più sofisticati con l’avanzare dei processi di trasformazione digitale e della transizione verso un futuro più connesso. Le attività commerciali su internet, dai servizi bancari online al commercio elettronico, sono in piena espansione, con conseguente aumento di episodi di violazione della sicurezza. Attacchi malware, attacchi distribuiti di negazione del servizio che disturbano il normale traffico del server preso di mira, o i tentativi di phishing utilizzati per il furto di identità possono avere conseguenze disastrose per cittadini, imprese e nazioni.

Gli utenti finali sono la prima linea di difesa

Il crescente impatto socioeconomico dei crimini informatici ha spinto organizzazioni internazionali, imprese e università a sviluppare strategie per rispondere in modo più efficace agli attacchi. Un gran numero di lavori e ricerche si è concentrato su forme tecniche, misure e conseguenze economiche della criminalità informatica. «Nonostante l’impiego di sistemi tecnici di sicurezza all’avanguardia, imprese, organizzazioni e persone continuano ad essere vittime di violazioni della sicurezza. Indipendentemente dalla qualità del livello tecnico di sicurezza e del tipo di controlli tecnici e di contromisure, la sicurezza dipende dal comportamento corretto dell’utente finale. Se da un lato molte persone riconoscono l’importanza di regole e pratiche di sicurezza su Internet, dall’altro sono in molti ad avere una mentalità debole in fatto di sicurezza informatica, pertanto non adottano adeguati comportamenti di tutela», osserva il prof. Bertrand Venard, coordinatore del progetto CYBERSECURITY che ha ricevuto finanziamenti nell’ambito del programma Marie Skłodowska-Curie.

Un’analisi comparativa trasversale

In questo contesto, CYBERSECURITY è stato istituito con l’obiettivo di analizzare i fattori che determinano il comportamento degli individui relativamente alla sicurezza informatica. Il team del progetto ha utilizzato metodi di ricerca qualitativi basati su indagini e ha effettuato un’analisi comparativa in Francia e nel Regno Unito, prendendo come target studenti provenienti da vari tipi di istituti e di ambiti accademici, e appartenenti a generi diversi. «Il risultato scientifico più importante è stato lo sviluppo di un modello teorico in grado di spiegare il comportamento relativo alla sicurezza informatica. Utilizzando differenti metodi di ricerca quali interviste, questionari di indagine e modellizzazione, abbiamo esaminato la capacità degli individui di neutralizzare le minacce, nonché l’autoefficacia dei computer. Quest’ultima riguarda il giudizio degli individui circa le proprie capacità di utilizzare i computer in varie situazioni per eseguire correttamente un compito», aggiunge Venard. Per vagliare i propri metodi, i ricercatori hanno utilizzato modelli di test strutturali, effettuando in totale 65 interviste a studenti ed esperti di tecnologia dell’informazione nel Regno Unito, e 109 in Francia. Il numero di interviste effettuato è stato quasi 3 volte superiore a quello previsto. Il lungo ed intenso processo di interviste ha consentito ai ricercatori di ottenere conoscenze approfondite sul comportamento relativo alla sicurezza informatica, in particolare sul motivo per cui alcuni studenti non si proteggono mentre navigano in rete dai loro PC o smartphone. I risultati del progetto hanno rivelato che la frequenza e la gravità delle minacce informatiche non influiscono sul comportamento degli studenti relativamente alla sicurezza informatica. «Gli studenti possono proteggersi in modo efficace, specialmente quando hanno accesso a strumenti software antivirus e anti-spyware e a firewall estremamente facili da usare, e possono ricorrere all’aiuto di tutori, i quali riferiscono alla famiglia o ai coetanei che proteggono la vittima da un attacco. L’elevato costo della risposta che deriva dall’adozione di una nuova tecnologia, ovvero l’elevato costo generale associato all’implementazione della sicurezza dei sistemi informatici, sembra indurre una minore motivazione nei confronti della sicurezza», spiega Venard. Inoltre, lo stress causato dal numero di attacchi informatici, che sono aumentati in concomitanza con la rapida diffusione della pandemia di Covid-19, non sembra avere un impatto diretto sul comportamento degli studenti relativamente alla sicurezza informatica. I risultati del progetto potrebbero rivelarsi di grande utilità per gli istituti d’istruzione superiore, per le organizzazioni e per i governi, consentendo loro di implementare misure di protezione aggiuntive per far fronte ai crescenti rischi informatici.