Introduzione e obiettivi
Benvenuto al Modulo 3. Nei primi due moduli abbiamo imparato a riconoscere i dati di un cantiere, a strutturarli e ad analizzarli per prendere decisioni. Ora cambiamo prospettiva: tutti quei dati — il modello BIM dell'edificio, i computi metrici, i fogli di avanzamento lavori, le letture dei sensori, i nominativi dei lavoratori — hanno un valore, e dove c'è valore c'è qualcuno interessato a rubarlo, alterarlo o renderlo inutilizzabile per chiedere un riscatto. La cybersecurity non è un argomento "da informatici": riguarda chiunque tocchi un file di progetto, apra un'email o colleghi un sensore in cantiere.
Ti racconto subito perché ci tengo. Un'impresa edile di medie dimensioni che conosco ha perso, in una notte, l'accesso a tutti i modelli BIM e ai computi di tre commesse aperte: un ransomware aveva cifrato il server di rete. Il danno non è stato solo tecnico. Hanno dovuto fermare due cantieri per dieci giorni, rifare lavoro già fatto e gestire clienti furiosi. La causa? Un geometra aveva cliccato su un allegato che sembrava una fattura di un fornitore abituale. Una mail. Un clic. Questa lezione serve esattamente a evitare quel clic, e a sapere cosa fare se accade lo stesso.
In questa lezione esploreremo i mattoni fondamentali della sicurezza informatica, sempre calati sul nostro contesto della Green & Digital Construction:
- La triade CIA: i tre obiettivi che ogni misura di sicurezza cerca di garantire (Confidenzialità, Integrità, Disponibilità)
- Il vocabolario del rischio: la differenza tra minaccia, vulnerabilità, rischio e superficie d'attacco
- Le minacce più comuni: phishing, ransomware, furto di credenziali, perdita di dispositivi, errore umano
- Casi reali di imprese e studi tecnici, per capire che non succede solo "alle grandi aziende"
- L'igiene digitale: le abitudini quotidiane (password manager, passphrase, autenticazione a più fattori, aggiornamenti) che bloccano la maggior parte degli attacchi
Obiettivi della lezione
Al termine di questa lezione saprai spiegare la triade CIA con esempi del tuo cantiere, distinguere tra minaccia, vulnerabilità e rischio, riconoscere le minacce informatiche più diffuse e i segnali di un'email di phishing, e adottare le regole base di igiene digitale (password robuste gestite da un password manager, passphrase, autenticazione a più fattori, aggiornamenti) per proteggere i tuoi dati e quelli del progetto. Non diventerai un esperto di sicurezza, ma diventerai l'anello forte della catena invece dell'anello debole.
Un'idea da tenere a mente per tutta la lezione: in sicurezza l'anello più debole è quasi sempre la persona, non la tecnologia. Le statistiche di settore parlano chiaro: oltre l'80% degli incidenti informatici ha una componente di errore umano. Questo è una cattiva notizia (siamo noi il bersaglio), ma anche un'ottima notizia: significa che con consapevolezza e poche buone abitudini puoi spostare enormemente la bilancia a tuo favore. Si impara facendo, e in sicurezza "fare" vuol dire prima di tutto cambiare alcune abitudini.
La triade CIA con esempi edili
Tutta la cybersecurity, dalle password al backup fino alla ISO 19650, ruota attorno a tre obiettivi. In inglese si chiamano CIA triad (niente a che vedere con l'agenzia di intelligence): Confidentiality, Integrity, Availability. In italiano: Confidenzialità (o Riservatezza), Integrità, Disponibilità. Ogni volta che ti chiedi "questa misura a cosa serve?", la risposta è sempre una di queste tre. Vediamole una a una, ognuna calata su un dato che maneggi davvero in cantiere.
Confidenzialità (Riservatezza): solo chi deve, può vedere
La confidenzialità garantisce che un'informazione sia accessibile solo alle persone autorizzate. Detto in cantiere: il progetto esecutivo riservato del committente, il computo metrico con i prezzi unitari e i ricarichi dell'impresa, l'offerta economica con cui partecipi a una gara, i dati personali dei lavoratori (codice fiscale, idoneità sanitaria, formazione) non devono finire sotto gli occhi di chi non ha titolo per vederli.
Esempio concreto. Stai partecipando a una gara d'appalto. Il tuo file offerta_economica_v3.xlsx contiene i prezzi con cui pensi di vincere. Se quel file finisse, anche per sbaglio, nelle mani di un concorrente — perché l'hai allegato alla mail sbagliata, o perché lo hai salvato in una cartella condivisa con i permessi aperti a tutti — hai perso la gara prima ancora che inizi. Questa è una violazione di confidenzialità. Le misure tipiche per proteggerla: cifratura dei file e dei dischi, controllo degli accessi (permessi sulle cartelle del CDE), password robuste.
Integrità: il dato non viene alterato di nascosto
L'integrità garantisce che un dato non venga modificato o cancellato da chi non è autorizzato, e che le modifiche legittime siano tracciate. Nel nostro mondo questo è cruciale, perché lavoriamo su un modello BIM che è la fonte di verità condivisa da progettisti, impresa, direzione lavori e committente.
Esempio concreto. Immagina che nel modello BIM di un edificio qualcuno modifichi, per errore o dolo, la classe di resistenza del calcestruzzo di alcuni pilastri da C32/40 a C25/30, oppure abbassi lo spessore di un isolante da 12 cm a 8 cm in un computo da cui dipende la classe energetica dichiarata. Se quella modifica non viene rilevata, finisce nei calcoli, nei capitolati, nelle quantità ordinate. Il rischio non è solo economico: in edilizia un dato strutturale manomesso è un rischio per la sicurezza delle persone. Le misure per l'integrità: controllo delle versioni (versioning), tracciabilità di "chi ha modificato cosa e quando", checksum e firme digitali, e — nel CDE — gli stati dei documenti (work in progress, condiviso, pubblicato) della ISO 19650 che vedremo nella prossima lezione.
Un esempio numerico aiuta a capire perché l'integrità si verifica. Una tecnica semplice per accorgersi che un file è stato alterato è confrontarne l'impronta (hash). Se calcolo l'hash di un file e poi lo ricalcolo più tardi, basta che cambi un solo bit perché l'impronta sia completamente diversa:
File: computo_strutture.ifc (versione ufficiale condivisa)
SHA-256: 7a3f...e91c ← impronta calcolata alla pubblicazione
Lo stesso file dopo una modifica (anche di un solo carattere):
SHA-256: 0b88...4d2a ← impronta completamente diversa!
Conclusione: se l'hash non coincide, il file NON e' integro.
Qualcuno o qualcosa lo ha modificato dopo la pubblicazione.
Disponibilità: il dato c'è quando serve
La disponibilità garantisce che i dati e i sistemi siano accessibili quando servono, a chi ne ha diritto. È l'obiettivo più sottovalutato finché non viene a mancare. In edilizia il tempo è denaro letterale: ogni ora di cantiere fermo costa.
Esempio concreto. Il Common Data Environment (CDE) è il luogo dove vivono i modelli, i documenti e le revisioni del progetto. Se il lunedì mattina, con le squadre già in cantiere e i fornitori in attesa di disegni aggiornati, il CDE è irraggiungibile — perché un ransomware ha cifrato i file, perché il server è andato in crash senza backup, o perché è scaduto un abbonamento — tutto si ferma. La direzione lavori non può approvare, le maestranze non hanno i disegni di dettaglio, gli ordini ai fornitori slittano. Le misure per la disponibilità: backup regolari (regola 3-2-1 che vedremo), ridondanza, piani di continuità, protezione dai ransomware e dagli attacchi di tipo denial of service.
Tip: usa la CIA come griglia mentale
Davanti a qualunque misura di sicurezza, chiediti: "quale lettera della triade sta proteggendo?". Una password protegge la Confidenzialità. Il versioning del modello BIM protegge l'Integrità. Il backup protegge la Disponibilità (la A di Availability). A volte una stessa misura ne protegge più di una: la cifratura di un disco protegge la confidenzialità (se ti rubano il PC) ma non l'integrità. Allenarti a classificare ti aiuta a capire perché fai una cosa, non solo a farla.
Attenzione a un punto: i tre obiettivi a volte entrano in tensione tra loro. Se per massimizzare la confidenzialità chiudo tutti gli accessi e cifro tutto con password che nessuno ricorda, riduco la disponibilità (nessuno riesce più a lavorare). Se per massimizzare la disponibilità apro tutto a tutti, distruggo confidenzialità e integrità. La sicurezza è sempre un equilibrio ragionato tra le tre, calibrato sul valore del dato e sul rischio. Un disegno di un dettaglio costruttivo standard non richiede le stesse protezioni di un'offerta di gara o del modello strutturale.
Minacce, vulnerabilità, rischio e superficie d'attacco
Nel linguaggio comune usiamo "rischio", "minaccia" e "pericolo" come sinonimi. In sicurezza, invece, sono concetti distinti, e capirne la differenza ti permette di ragionare come un professionista. Te li definisco con un'analogia edile, che è il modo più rapido per fissarli.
| Termine | Definizione | Esempio digitale | Analogia edile |
|---|---|---|---|
| Asset (bene) | Ciò che ha valore e vuoi proteggere | Il modello BIM, i computi, i dati dei lavoratori | I materiali e le attrezzature in cantiere |
| Minaccia | L'evento o l'attore che può causare un danno | Un attacco ransomware, un hacker, un dipendente distratto | Un ladro che gira di notte attorno al cantiere |
| Vulnerabilità | La debolezza che la minaccia può sfruttare | Software non aggiornato, password debole, nessun backup | Il cancello del cantiere lasciato aperto, senza recinzione |
| Rischio | La probabilità che la minaccia sfrutti la vulnerabilità × l'impatto del danno | Probabilità di subire un ransomware × costo del fermo lavori | Quanto è probabile il furto × quanto vale ciò che rubano |
La formula concettuale che useremo anche nella Lezione 11 per il registro dei rischi è semplice:
RISCHIO = PROBABILITA' (che accada) x IMPATTO (del danno)
Esempio applicato a uno studio tecnico:
- Minaccia: ransomware via email di phishing
- Vulnerabilita': nessun backup + dipendenti non formati
- Probabilita': ALTA (3 su 3) -> capita spesso, basta un clic
- Impatto: ALTO (3 su 3) -> perdo i progetti, fermo l'attivita'
- Rischio: 3 x 3 = 9 -> CRITICO, da trattare subito
Stesso studio, dopo le contromisure:
- Vulnerabilita': backup 3-2-1 automatico + team formato + MFA
- Probabilita': BASSA (1 su 3)
- Impatto: MEDIO (2 su 3) -> ripristino dal backup in poche ore
- Rischio: 1 x 2 = 2 -> ACCETTABILE
Nota una cosa fondamentale: sulla minaccia non possiamo agire (i criminali informatici esistono e continueranno a esistere), ma sulla vulnerabilità sì. Ridurre le vulnerabilità (aggiornare, fare backup, formare le persone, usare l'MFA) è esattamente il lavoro che abbassa il rischio. È come nel cantiere: non puoi impedire che i ladri esistano, ma puoi recintare, illuminare, mettere un allarme.
La superficie d'attacco di uno studio o di un'impresa
La superficie d'attacco è l'insieme di tutti i punti attraverso cui un attaccante potrebbe entrare. Più "porte e finestre" hai, più grande è la superficie, più sei esposto. Uno studio tecnico moderno o una piccola impresa edile ha una superficie d'attacco più ampia di quanto immagini. Proviamo a mapparla:
- Le caselle email di tutti i collaboratori (il punto di ingresso n.1 in assoluto)
- I PC e i laptop dei progettisti, spesso usati anche in mobilità e a casa
- Gli smartphone e i tablet usati in cantiere per foto, app di rilievo, accesso al CDE
- Il server di rete (NAS) dello studio dove vivono progetti e modelli BIM
- I servizi cloud e il CDE (Autodesk Docs, usBIM, Google Drive, OneDrive, Dropbox)
- La rete Wi-Fi dello studio e quella, spesso improvvisata e poco protetta, del cantiere
- I sensori IoT e i dispositivi smart in cantiere e nell'edificio (telecamere, centraline, contatori — ne parliamo in Lezione 11)
- I software e i plugin BIM di terze parti e i fornitori esterni (consulenti, commercialista, IT esterno)
- Le chiavette USB e i dischi esterni che girano tra ufficio, cantiere e casa
Ogni voce di questo elenco è una potenziale via di ingresso. L'obiettivo di un buon "atteggiamento sicuro" è ridurre la superficie (eliminare ciò che non serve: account dismessi, software inutilizzati, permessi eccessivi) e presidiare ciò che resta. Tieni a mente questa mappa: nella Lezione 11 la userai per costruire un registro dei rischi vero e proprio.
Attenzione: il rischio zero non esiste
Nessun sistema è sicuro al 100%, esattamente come nessun cantiere ha rischio zero di infortunio. L'obiettivo della sicurezza non è "essere invulnerabili" (impossibile e antieconomico), ma portare il rischio a un livello accettabile con misure proporzionate al valore di ciò che proteggi. Spendere 10.000 euro per proteggere un dato che vale 50 euro è uno spreco; lasciare senza backup il modello BIM di una commessa da 2 milioni è una follia. Questo ragionamento di proporzionalità è lo stesso del documento di valutazione dei rischi (DVR) che già conosci dalla sicurezza sul lavoro.
Le minacce più comuni
Vediamo ora i cinque tipi di attacco che, statisticamente, colpiscono di più chi lavora con i dati. Non serve conoscerli tutti nel dettaglio tecnico: serve riconoscerli per non caderci.
1. Phishing: l'inganno via email (e non solo)
Il phishing è il tentativo di ingannarti per farti rivelare dati (password, codici, dati bancari) o per farti compiere un'azione (cliccare un link, aprire un allegato, fare un bonifico). Il nome richiama il "fishing", la pesca: l'attaccante getta un'esca e aspetta che qualcuno abbocchi. È di gran lunga la minaccia più diffusa, perché è economica per l'attaccante e sfrutta la nostra fretta e la nostra fiducia.
Esistono varianti più mirate e pericolose:
- Spear phishing: l'email è personalizzata su di te (cita il tuo nome, il tuo cantiere, un fornitore reale). Molto più credibile.
- BEC (Business Email Compromise): l'attaccante si finge un dirigente o un fornitore e chiede un pagamento urgente. In edilizia il caso classico è la "truffa del cambio IBAN": ricevi una mail apparentemente dal tuo subappaltatore che dice "abbiamo cambiato banca, ecco il nuovo IBAN per la fattura". Paghi, e i soldi finiscono al criminale.
- Smishing (via SMS) e vishing (via telefono): la finta SMS del corriere o della banca, la finta telefonata dell'"assistenza tecnica".
2. Ransomware: i tuoi dati presi in ostaggio
Il ransomware è un software malevolo che cifra i tuoi file rendendoli illeggibili, e poi chiede un riscatto (ransom) per la chiave di decifratura. È l'incubo numero uno per imprese e studi, perché colpisce direttamente la Disponibilità: da un momento all'altro non puoi più aprire nessun progetto. Spesso arriva proprio tramite un allegato di phishing. Le richieste di riscatto vanno da qualche migliaio a centinaia di migliaia di euro, e pagare non garantisce di riavere i dati. La difesa più efficace, come vedremo, è il backup: se ho una copia pulita e isolata, il ransomware diventa un fastidio invece che una catastrofe.
3. Furto di credenziali
Le tue password sono le chiavi di casa. Gli attaccanti se le procurano in vari modi: indovinandole (se sono deboli), rubandole con il phishing, o comprandole nel "mercato nero" dopo una violazione di un servizio online. Qui entra in gioco un'abitudine pericolosissima: riusare la stessa password su più servizi. Se usi la stessa password per la posta dello studio, per il CDE e per il sito di e-commerce dove compri viti e bulloni, e quel sito viene violato, l'attaccante prova quella password ovunque (si chiama credential stuffing). Una password rubata può aprire tutte le porte. Vedremo l'antidoto: password uniche + password manager + autenticazione a più fattori.
4. Perdita o furto di dispositivi
Non tutte le minacce sono sofisticate. Un laptop dimenticato sul treno di ritorno da un sopralluogo, uno smartphone rubato in cantiere, una chiavetta USB persa con sopra i disegni di una commessa: sono tra le cause più banali e frequenti di perdita di dati. Se quel dispositivo non è cifrato e non ha una password, chiunque lo trovi accede a tutto. La difesa è semplice e gratuita: cifratura del disco (BitLocker su Windows, FileVault su Mac), PIN/biometria sui telefoni, e la possibilità di cancellare il dispositivo da remoto.
5. Errore umano
L'abbiamo già detto: è la causa più comune di tutte. Non sempre è un clic su un link malevolo. È anche l'email con l'allegato sbagliato mandata al destinatario sbagliato, la cartella condivisa "con tutti" per fretta, il backup mai verificato che il giorno del bisogno è vuoto, la password scritta su un post-it attaccato al monitor. Non è una colpa morale: è una conseguenza naturale di lavorare di fretta e senza procedure. Ecco perché la formazione (questa lezione!) e le buone abitudini sono considerate, a ragione, la misura di sicurezza con il miglior rapporto costo/beneficio.
Tip: la "regola dei tre secondi" prima di cliccare
Prima di cliccare un link o aprire un allegato in un'email, fermati tre secondi e fatti tre domande: 1) Me l'aspettavo? 2) Il mittente è davvero chi dice di essere (guarda l'indirizzo completo, non solo il nome visualizzato)? 3) Mi sta mettendo fretta o paura ("urgente", "il tuo account sarà bloccato", "ultimo avviso")? La fretta e la paura sono le leve preferite degli attaccanti. Tre secondi di pausa bloccano la maggior parte del phishing.
Casi reali su imprese e studi tecnici
La cybersecurity sembra un problema "delle grandi multinazionali". In realtà le piccole e medie imprese e gli studi professionali sono bersagli ideali: hanno dati di valore (progetti, denaro, dati personali) ma raramente hanno le difese delle grandi aziende. Per i criminali sono il classico "frutto a bassa altezza". Ecco alcuni casi rappresentativi del nostro settore (anonimizzati ma realistici).
Caso 1 — Lo studio di ingegneria e il ransomware
Uno studio di 8 persone riceve una mail con oggetto "Fattura insoluta — sollecito". Un collaboratore apre l'allegato (un finto PDF che è in realtà un eseguibile). Nel giro di una notte il ransomware cifra il NAS dove sono archiviati tutti i progetti: anni di lavoro, modelli BIM, relazioni di calcolo. Richiesta di riscatto: 40.000 euro in criptovaluta. Lo studio non aveva un backup separato dalla rete (il backup era su una cartella dello stesso NAS, anch'essa cifrata). Lezione: il backup deve essere isolato dalla rete; un solo clic ha messo in ginocchio un'attività intera. Con un backup 3-2-1 il danno sarebbe stato di qualche ora.
Caso 2 — L'impresa edile e la truffa del cambio IBAN (BEC)
L'ufficio amministrazione di un'impresa edile riceve una mail, apparentemente dal direttore tecnico in trasferta, che chiede di saldare con urgenza la fattura di un subappaltatore su un "nuovo conto". La mail è curata, cita il cantiere giusto e l'importo plausibile (circa 28.000 euro). L'amministrazione paga. Solo giorni dopo si scopre che il direttore non aveva scritto nulla: l'indirizzo del mittente differiva per una sola lettera da quello vero. Lezione: ogni cambio di coordinate bancarie va verificato con un secondo canale (una telefonata al numero noto, non a quello in firma nella mail). Mai fidarsi solo dell'email per i pagamenti.
Caso 3 — Il geometra e il laptop rubato
Durante un sopralluogo, dall'auto di un geometra viene rubato lo zaino con il laptop. Sul disco, non cifrato, c'erano i rilievi, i dati catastali e i dati personali di diversi clienti. Oltre alla perdita dei dati, scatta un problema GDPR: i dati personali dei clienti sono stati esposti, e questo configura un potenziale data breach da valutare e, se del caso, notificare al Garante entro 72 ore (lo approfondiremo nella Lezione 12). Lezione: cifrare il disco è gratuito e avrebbe reso il furto un danno solo materiale (il valore del PC), non un disastro di dati e di compliance.
Caso 4 — Il cantiere "smart" e la telecamera con password di default
Un cantiere installa telecamere IP per la sorveglianza e una centralina per monitorare i consumi. Nessuno cambia le password di fabbrica ("admin/admin"). Un attaccante, scansionando internet alla ricerca di dispositivi esposti, accede alle telecamere e alla rete del cantiere. Lezione: ogni dispositivo connesso è una porta; le password di default sono come lasciare la chiave nella serratura. Questo caso ci traghetta verso la Lezione 11 su IoT e sicurezza dell'infrastruttura.
Il filo rosso dei quattro casi
Hai notato? In tutti e quattro i casi la causa scatenante è semplice e umana (un clic, una fiducia mal riposta, un dispositivo non cifrato, una password non cambiata), e in tutti e quattro la contromisura era economica o gratuita (backup isolato, verifica con secondo canale, cifratura del disco, cambiare la password di default). La cybersecurity di base non è una questione di budget: è una questione di abitudini. Ed è esattamente ciò su cui lavoriamo nella prossima sezione.
Igiene digitale: password, passphrase, MFA
"Igiene digitale" è l'insieme delle abitudini quotidiane che tengono al sicuro te e i tuoi dati, esattamente come lavarsi le mani tiene lontane le infezioni. Sono poche, semplici, e bloccano la stragrande maggioranza degli attacchi. Vediamole.
Password: lunghe meglio che complicate
Per anni ci hanno insegnato a creare password "complesse" tipo P@ssw0rd!: difficili da ricordare per noi, ma facili da indovinare per un computer. Le linee guida moderne (NIST) hanno ribaltato la regola: ciò che conta di più è la lunghezza. Un attacco "a forza bruta" prova miliardi di combinazioni al secondo; ogni carattere in più moltiplica enormemente il tempo necessario. Ecco un ordine di grandezza indicativo del tempo per indovinare una password con un attacco offline:
| Password | Tipo | Tempo stimato per craccarla |
|---|---|---|
cantiere | 8 lettere minuscole, parola di dizionario | istantaneo |
Cant2024! | 9 caratteri "complessi" ma prevedibili | ore / giorni |
Tr4ttore | 8 caratteri misti | poche ore |
gru-blu-pioggia-cemento-42 | passphrase di 26 caratteri | secoli |
Il messaggio è chiaro: una frase lunga batte una parola complicata. Inoltre, ricorda le due regole d'oro: password diversa per ogni servizio (così una violazione non si propaga) e mai riusare la stessa password tra posta, CDE, banca e siti vari.
La passphrase: la password che ricordi davvero
Una passphrase è una password fatta di più parole, magari casuali, separate da trattini o spazi. È lunga (quindi robusta) ma facile da ricordare per un umano. Come costruirne una buona:
METODO: 4-5 parole casuali e scollegate tra loro + un numero
Esempi (NON usare questi, sono pubblici!):
betoniera-luna-quaderno-arancia-7
ponteggio sabbia violino 19 nuvola
CapraDroneFiumeMartello!
Regole:
- almeno 4 parole non collegate logicamente (NO "rosso-mela-frutto")
- lunghezza totale 20+ caratteri
- aggiungi un numero o un simbolo per i siti che lo pretendono
- una passphrase DIVERSA almeno per gli account piu' importanti
Cosa EVITARE:
- dati personali (data di nascita, nome dei figli, targa)
- sostituzioni ovvie (a->@, e->3, o->0): i software le conoscono
- sequenze di tastiera (qwerty, 123456, asdf)
Il password manager: la cassaforte delle chiavi
Obiezione legittima: "se devo avere una password diversa e lunga per ogni servizio, come faccio a ricordarle tutte?". Risposta: non le ricordi tu, le ricorda un password manager. È un'applicazione (Bitwarden, 1Password, KeePass, o quelli integrati nel browser/sistema) che fa tre cose: 1) genera password lunghe e casuali al posto tuo, 2) le memorizza cifrate in una cassaforte, 3) le compila automaticamente quando ti servono. Tu devi ricordare una sola password robusta: quella "master" che apre la cassaforte. È il singolo cambio di abitudine con il maggior impatto sulla tua sicurezza. Bitwarden, per esempio, è gratuito e open source per l'uso personale.
L'autenticazione a più fattori (MFA / 2FA): la seconda serratura
Anche la password più robusta può essere rubata con il phishing. Per questo esiste l'autenticazione a più fattori (MFA, o 2FA quando i fattori sono due). L'idea: per entrare non basta "qualcosa che sai" (la password), serve anche un secondo fattore. I tre tipi di fattore sono:
- Qualcosa che sai: la password o il PIN
- Qualcosa che hai: il tuo smartphone con un'app authenticator (Google/Microsoft Authenticator, Authy) che genera un codice a 6 cifre ogni 30 secondi, oppure una chiavetta fisica (token)
- Qualcosa che sei: l'impronta digitale, il volto (biometria)
Con l'MFA attivo, anche se un attaccante ti ruba la password con il phishing, non riesce comunque a entrare perché non ha il tuo secondo fattore. Secondo i dati di Microsoft, l'MFA blocca oltre il 99% degli attacchi automatizzati agli account. È la singola misura più efficace in assoluto. Attivalo subito almeno su: email, CDE/cloud di progetto, banca, account amministrativi. Un consiglio pratico: preferisci le app authenticator ai codici via SMS, perché l'SMS è meno sicuro (può essere intercettato o dirottato con la tecnica del SIM swap).
Aggiornamenti: tappare le falle prima degli altri
Quando un software ha una vulnerabilità, il produttore rilascia un aggiornamento (patch) che la corregge. Gli attaccanti, però, conoscono le vulnerabilità appena diventano pubbliche e vanno a caccia di chi non ha aggiornato. Rimandare gli aggiornamenti di sistema operativo, browser, antivirus, firmware dei dispositivi e plugin BIM significa lasciare aperta una falla nota. Regola: attiva gli aggiornamenti automatici dove possibile e non rimandare quelli di sicurezza. Lo stesso vale, in Lezione 11, per il firmware dei sensori e dei dispositivi IoT.
Le 6 abitudini di igiene digitale (da portare a casa)
- 1. Passphrase lunghe e uniche per ogni servizio
- 2. Un password manager che le generi e le custodisca al posto tuo
- 3. MFA attivo almeno su email, cloud/CDE, banca
- 4. Aggiornamenti automatici di sistema, app e dispositivi
- 5. Backup regolari e isolati (regola 3-2-1: 3 copie, 2 supporti diversi, 1 fuori sede)
- 6. Diffidenza sana: la "regola dei tre secondi" prima di cliccare, e verifica con un secondo canale ogni richiesta di soldi o cambio IBAN
Laboratorio: riconoscere il phishing
Adesso si fa pratica. Questo laboratorio ha due parti: prima alleni l'occhio a smascherare le email di phishing, poi compili la tua checklist di igiene digitale personale — che è anche la consegna di questa lezione.
Parte 1 — Anatomia di un'email di phishing
Ecco un'email realistica come quelle che girano negli studi tecnici. Leggila, poi prova a individuare i segnali sospetti prima di guardare la soluzione.
Da: Autodesk Account <no-reply@autodesk-billing-secure.com>
A: ufficio@tuostudio.it
Oggetto: [URGENTE] Il tuo abbonamento BIM scade tra 24 ore - azione richiesta
Gentile Cliente,
abbiamo rilevato un problema con il pagamento del tuo abbonamento
Autodesk. Se non aggiorni i dati ENTRO 24 ORE il tuo account e tutti
i progetti sul cloud verranno DEFINITIVAMENTE eliminati.
Clicca qui per verificare subito il tuo account:
https://autodesk-billing-secure.com/login?id=8842
Ci scusiamo per il disagio.
Il Team Autodesk
Mostra i segnali di phishing di questa email
- Dominio del mittente falso.
autodesk-billing-secure.comNON è un dominio ufficiale Autodesk (sarebbeautodesk.com). Gli attaccanti creano domini "simili" per ingannarti. Guarda sempre cosa c'è dopo l'ultima @ e prima del primo /. - Urgenza e paura. "ENTRO 24 ORE", "DEFINITIVAMENTE eliminati", "[URGENTE]": la leva emotiva serve a farti agire senza pensare. I fornitori seri non minacciano la cancellazione immediata dei tuoi progetti.
- Saluto generico. "Gentile Cliente" invece del tuo nome o ragione sociale: l'attaccante non sa chi sei davvero.
- Link che non coincide. Il link punta allo stesso dominio sospetto. Mai cliccare: vai sul sito ufficiale digitando l'indirizzo a mano, o passa il mouse sopra il link (senza cliccare) per vedere dove porta davvero.
- Richiesta di "verificare/aggiornare i dati". È il pretesto classico per farti inserire le credenziali su una pagina-clone che le ruba.
- Cosa fare: non cliccare, non rispondere; se hai un dubbio reale sull'abbonamento, apri il browser e vai sul sito ufficiale del fornitore o chiama l'assistenza dal numero noto. Segnala l'email all'IT e cestinala.
Ora un secondo esempio, più subdolo perché mirato (spear phishing / BEC):
Da: Geom. Marco Belli <m.belli@impresarossi-srl.com>
A: amministrazione@tuaimpresa.it
Oggetto: Aggiornamento coordinate bancarie - fattura cantiere Via Verdi
Ciao,
come anticipato a voce, abbiamo cambiato banca.
Ti giro il nuovo IBAN per la fattura n.142 del cantiere di Via Verdi:
IT60 X054 2811 1010 0000 0123 456
Ti chiedo di aggiornarlo e procedere col bonifico oggi cosi'
chiudiamo prima della fine mese. Grazie!
Marco
Mostra i segnali di phishing di questa email
- Dominio quasi giusto. Il fornitore vero è
impresa-rossi.it; qui il dominio èimpresarossi-srl.com. Una lettera, un trattino o un'estensione diversi: è la firma del BEC. - Cambio di coordinate bancarie + urgenza. La combinazione "nuovo IBAN" + "fai il bonifico oggi" è il segnale d'allarme numero uno della truffa BEC.
- "Come anticipato a voce". Pretende una conversazione che non c'è mai stata, per disarmare il tuo sospetto.
- Cosa fare: verifica con un secondo canale. Chiama Marco al numero che hai già in rubrica (NON al numero eventualmente scritto nella mail) e conferma il cambio IBAN a voce prima di pagare qualunque cifra. Questa singola abitudine avrebbe evitato il Caso 2 visto prima.
Parte 2 — Consegna: la tua checklist di igiene digitale personale
Compito. Compila la seguente checklist riferita ai tuoi account reali (quelli che useresti come tecnico: email, cloud/CDE, banca, smartphone). Per ogni voce indica lo stato attuale e, se non è a posto, l'azione e la scadenza che ti dai. Consegna la checklist compilata.
| Voce di igiene digitale | Stato (Sì / No / Da fare) | Azione e quando |
|---|---|---|
| Uso un password manager | ||
| Le mie password sono diverse per ogni servizio | ||
| Uso passphrase lunghe (20+ caratteri) sugli account critici | ||
| MFA attivo sull'email principale | ||
| MFA attivo su cloud / CDE di progetto | ||
| MFA attivo sull'home banking | ||
| Aggiornamenti automatici attivi su PC e smartphone | ||
| Disco cifrato (BitLocker/FileVault) su laptop | ||
| PIN/biometria e blocco automatico sullo smartphone | ||
| Backup dei dati importanti, isolato dal PC | ||
| So riconoscere un'email di phishing (Parte 1) | ||
| Verifico i cambi IBAN con un secondo canale |
Sfida extra (facoltativa). Scegli un servizio dove non hai ancora l'MFA (preferibilmente non critico, per fare pratica), attivalo davvero usando un'app authenticator, e fai uno screenshot del momento in cui ti chiede il secondo fattore. Porta lo screenshot come prova in classe: l'hai fatto davvero, non solo "letto".
Criterio di valutazione del laboratorio
La consegna è valutata su: completezza della checklist (tutte le voci compilate con stato e azione realistici), correttezza nell'individuare i segnali di phishing nei due esempi, e consapevolezza delle priorità (aver capito che MFA su email e backup isolato sono le prime due cose da sistemare). Non conta avere già tutto "Sì": conta aver fatto un'analisi onesta e definito azioni concrete con una scadenza.
Mini-test di autoverifica
Istruzioni
Rispondi alle seguenti domande per verificare la tua comprensione. Prova a rispondere senza guardare le note, poi controlla le risposte alla fine. La Sezione A vale 8 punti (1 per risposta), la Sezione B vale 2 punti (1 per risposta) per un totale di 10 punti. Soglia di superamento: 6/10 (60%).
Sezione A: domande a risposta multipla (8 punti, 1 punto ciascuna)
- Cosa indica la "C" della triade CIA?
a) Cifratura b) Confidenzialità c) Controllo d) Continuità - Un ransomware che cifra i modelli BIM dello studio compromette soprattutto:
a) la Confidenzialità b) l'Integrità c) la Disponibilità d) la velocità della rete - Nel linguaggio della sicurezza, la "vulnerabilità" è:
a) l'attore che attacca b) la debolezza che l'attacco può sfruttare c) il danno economico d) il valore dell'asset - La formula del rischio è:
a) minaccia + vulnerabilità b) probabilità × impatto c) asset − difese d) costo del backup - La "truffa del cambio IBAN" via email è un esempio di:
a) ransomware b) BEC / phishing mirato c) furto di dispositivo d) errore di backup - Quale rende una password più robusta in pratica?
a) sostituire a con @ b) la maggiore lunghezza (passphrase) c) usarla su più siti d) scriverla su un post-it - A cosa serve l'autenticazione a più fattori (MFA)?
a) a velocizzare il login b) a proteggere l'account anche se la password viene rubata c) a cifrare il disco d) a fare il backup - Qual è un segnale tipico di un'email di phishing?
a) un saluto col tuo nome corretto b) urgenza/minaccia e un dominio mittente "quasi giusto" c) l'assenza di link d) un mittente in rubrica da anni
Sezione B: domande a risposta aperta (2 punti)
- (1 punto) Spiega con parole tue la triade CIA facendo un esempio per ciascuna lettera tratto da un cantiere o da un modello BIM.
- (1 punto) Elenca le tre misure di igiene digitale che attiveresti per prime in uno studio tecnico e motiva perché proprio quelle.
Mostra risposte corrette
Sezione A, risposte corrette
- b - Confidenzialità (Riservatezza)
- c - la Disponibilità (i file non sono più accessibili)
- b - la debolezza che l'attacco può sfruttare
- b - probabilità × impatto
- b - BEC / phishing mirato
- b - la maggiore lunghezza (passphrase)
- b - a proteggere l'account anche se la password viene rubata
- b - urgenza/minaccia e un dominio mittente "quasi giusto"
Sezione B, risposte suggerite
9. Triade CIA con esempi (1 punto). Risposta modello: la triade CIA descrive i tre obiettivi della sicurezza. Confidenzialità: solo chi è autorizzato vede il dato — es. l'offerta economica di gara non deve finire ai concorrenti. Integrità: il dato non viene alterato di nascosto — es. nessuno cambia la classe di calcestruzzo dei pilastri nel modello BIM senza tracciamento. Disponibilità: il dato c'è quando serve — es. il CDE è raggiungibile il lunedì mattina con le squadre in cantiere. Risposta valida se cita le tre lettere corrette con almeno un esempio edile sensato per ciascuna.
10. Tre misure prioritarie (1 punto). Risposta modello: (1) MFA su email e cloud/CDE, perché blocca oltre il 99% degli attacchi automatizzati agli account anche quando la password è stata rubata; (2) backup isolato 3-2-1, perché è la difesa decisiva contro il ransomware e la perdita di dati, trasformando una catastrofe in un disagio di poche ore; (3) password manager + passphrase uniche, perché elimina il riuso delle password e quindi il rischio che una sola violazione apra tutte le porte. È accettabile anche citare la formazione anti-phishing del team, vista l'incidenza dell'errore umano. Risposta valida se indica tre misure pertinenti con una motivazione coerente.
Valutazione
- 9-10 punti: eccellente, hai i fondamenti ben saldi
- 7-8 punti: bene, ripassa solo i punti sbagliati
- 6 punti: sufficiente, soglia superata: rivedi le sezioni più incerte
- < 6 punti: rileggi la lezione (in particolare CIA e igiene digitale) e riprova il test
Hai superato il test?
Se hai raggiunto almeno 6/10 hai i fondamenti di cybersecurity necessari per affrontare il resto del Modulo 3. Nella prossima lezione caleremo questi concetti nel Common Data Environment e nella ISO 19650: permessi, versioning, backup 3-2-1 e protezione dei modelli BIM.
Riepilogo della lezione
Ottimo lavoro! Hai completato la prima lezione del Modulo 3 e hai messo le basi della sicurezza informatica applicata ai dati e ai progetti dell'edilizia digitale. Ecco cosa porti a casa:
Cosa hai imparato
- La triade CIA: Confidenzialità (solo chi deve, vede), Integrità (il dato non è alterato di nascosto), Disponibilità (c'è quando serve), con esempi su offerte di gara, modello BIM e CDE
- Il vocabolario del rischio: asset, minaccia, vulnerabilità, rischio (= probabilità × impatto) e superficie d'attacco di uno studio/impresa
- Le minacce più comuni: phishing (e le varianti spear phishing/BEC), ransomware, furto di credenziali, perdita di dispositivi, errore umano
- Casi reali che dimostrano che le PMI e gli studi sono bersagli, e che la contromisura era quasi sempre semplice e gratuita
- L'igiene digitale: passphrase lunghe e uniche, password manager, MFA (la misura più efficace), aggiornamenti, backup 3-2-1 e la "regola dei tre secondi" contro il phishing
Prossimi passi
Nella Lezione 10 porteremo la sicurezza dentro il cuore del lavoro BIM: il Common Data Environment (CDE) e la ISO 19650. Vedremo come gestire accessi e permessi (RBAC), gli stati e il versioning dei documenti, l'integrità dei modelli e la regola del backup 3-2-1. Costruirai la matrice dei permessi di un team BIM: il passo successivo, concreto, di tutto ciò che hai imparato oggi.
Vuoi questo modulo nel tuo ITS, ente o azienda?
Progetto e tengo percorsi su dati, analisi e cybersecurity applicati all'edilizia digitale e al BIM, su misura per scuole, enti di formazione e imprese.