Cybersecurity, la «trincea» italiana è a Modena: così Certego anticipa gli attacchi hacker nella guerra informatica

Se oggi gli assalti alle banche (dati) non si fanno con armi fisiche, ma attraverso algoritmi e connessioni invisibili, allora le guardie di questa nuova era sono i professionisti della cybersecurity. A Modena ce n’è un manipolo che ogni giorno affronta centinaia di minacce in costante evoluzione. Nella loro base, su un piccolo grattacielo nell’area delle ex Acciaierie Ferriere (un intreccio di vie che ricordano i fasti automobilistici modenesi: via Lamborghini, via Fratelli Maserati, il museo Enzo Ferrari…), trascorrono il loro tempo monitorando costantemente i flussi di dati tra linee di codici, linee di difesa impenetrabili e algoritmi sofisticati, mentre davanti a loro, su un grande led wall, gli attacchi informatici si susseguono al ritmo di un secondo. Con un’età media di 35 anni, una laurea in ingegneria o in informatica e come segno distintivo l’essere un po’ nerd, questi ragazzi per 24 ore al giorno, 7 giorni su 7, proteggono oltre 200 aziende italiane da decine di attacchi informatici, provenienti da ogni angolo della terra.

Certego, una realtà da 6,5 milioni di euro

La Certego, una delle realtà italiane più avanzate nella difesa digitale, è stata fondata nel 2013 proprio qui, nel cuore dell’Emilia, da Bernardino Grignaffini Gregorio. Un’azienda da 6,5 milioni di euro di fatturato, che è al tempo stesso software house, centro d’intelligence e squadra investigativa, capace di analizzare, identificare e neutralizzare minacce invisibili ma potenzialmente devastanti. In un Paese, l’Italia, dove il 98% delle imprese sono PMI e dove spesso si pensa che «basti l’antivirus», Certego ha scelto un approccio radicale: costruire tutto in casa, dalla piattaforma tecnologica ai modelli di risposta, per avere il controllo totale dei dati e garantire sicurezza «made in Italy». Il cybercrimine globale vale oltre 9.500 miliardi di dollari, secondo Cybersecurity Ventures, e da sole le 200 aziende protette da Certego ricevono oltre 200 mila segnali sospetti di tentativi. Ma «difendere non basta», spiega al Corriere Grignaffini. «Oggi bisogna sapere come attacca il nemico, riconoscere il linguaggio con cui si muove nella rete e anticiparne le mosse. Solo così possiamo davvero proteggere i nostri clienti».

Grignaffini, come le è venuta l’idea di fondare Certego?
Nel 2013 le aziende puntavano tutto sulla prevenzione: firewall, antivirus, barriere intorno ai sistemi. Ma continuavano ad essere attaccate. L’idea è nata da questo: costruire una realtà capace non solo di prevenire, ma di rilevare e rispondere agli attacchi. Abbiamo voluto specializzarci in detection e response, con un’impostazione ispirata ai CERT (Computer Emergency Response Team), da cui nasce anche il nome Certego. Siamo partiti in 4 o 5 persone, oggi siamo circa 50.

Come siete strutturati?
La metà di chi lavora a Certego è composta da sviluppatori, l’altra metà da analisti. I primi costruiscono e migliorano la nostra piattaforma; i secondi investigano ogni allarme, classificano i rischi e intervengono per neutralizzare le minacce. Siamo attivi 24 ore su 7 giorni perché il crimine non dorme mai e abbiamo anche personale all’estero, per coprire i fusi orari. Poi, collaboriamo con l’Università di Modena e Reggio Emilia, partner nella creazione della prima Cyber Academy italiana. Lavoriamo anche con l’Università di Bologna e partecipiamo a progetti internazionali come Google Summer of Code. Tra i nostri obiettivi c’è anche la formazione delle nuove generazioni di esperti.

Che tipo di competenze servono per lavorare da voi?
Servono competenze informatiche, ovviamente, ma anche intuito, sensibilità, curiosità. Siamo sempre alla ricerca di profili variegati, anche con background in criminologia, economia, diritto. Il nostro è un lavoro che richiede capacità di analisi e varietà di approccio. Per questo valorizziamo la diversità, anche di genere e culturale.

In cosa vi differenziate dalla concorrenza?
La differenza principale è che noi sviluppiamo internamente le tecnologie che utilizziamo. Mentre molte aziende si basano su software SaaS di terze parti, spesso americani o israeliani, noi abbiamo costruito una piattaforma proprietaria interamente italiana. Questo ci dà controllo totale sui dati e ci permette di offrire un servizio più personalizzato. Grazie allo sviluppo interno delle tecnologie possiamo analizzare in dettaglio le tecniche degli attaccanti e codificarle direttamente nelle nostre piattaforme. Questo ci ha portati a sviluppare e condividere anche una piattaforma open source per l’intelligence, che ormai è utilizzata anche a livello internazionale: siamo l’unica realtà italiana a farlo.

Quanto conta oggi la localizzazione dei dati?
Moltissimo. Anche se formalmente i dati possono essere ospitati in Europa, se la piattaforma è americana ci sono rischi legati a leggi extraterritoriali. Noi garantiamo che i dati restino sotto controllo italiano, gestiti da tecnologie italiane e questo fa una differenza enorme in termini di privacy e sicurezza.

Chi sono i vostri clienti?
Lavoriamo con circa 200 aziende italiane di ogni tipo: da piccole realtà con poche centinaia di dipendenti fino a grandi banche e assicurazioni con decine di migliaia di persone. Ogni cliente ha esigenze specifiche, per questo abbiamo optato per un approccio «taylor made».

Duecentomila tentativi di attacchi ogni anno a sole 200 aziende sono tanti…
In media, ogni azienda nostra cliente subisce non meno di 100 attacchi all’anno. Complessivamente, gestiamo tra i 180 e i 200.000 allarmi annuali e circa 15-20.000 di questi rappresentano attacchi potenzialmente gravi, che neutralizziamo prima che diventino dannosi.

Quali sono gli attacchi più comuni?
La stragrande maggioranza sono attacchi opportunistici, non mirati. I criminali “sparano nel mucchio” cercando le vulnerabilità più facili. Solo una piccola parte è costituita da attacchi mirati, spesso con motivazioni ideologiche o politiche. In Italia l’impatto è pesantissimo: il Clusit, l’Associazione Italiana per la Sicurezza Informatica, ha stimato un aumento del 26% degli attacchi tra il 2023 e il 2024. È un settore in crescita costante.

L’Italia è più vulnerabile rispetto ad altri Paesi europei?
Sì. L’Italia ha un tessuto produttivo fatto soprattutto di piccole e medie imprese, spesso poco preparate dal punto di vista della sicurezza informatica. Manca una figura dedicata alla cybersecurity, e ancora in troppi pensano che basti un antivirus.

È solo un problema di risorse o anche culturale?
È soprattutto culturale. I Paesi del Nord Europa, ad esempio, hanno una maggiore consapevolezza del rischio. La sicurezza informatica non deve essere considerata semplicemente come un tema tecnologico: ormai è diventata un problema di business che deve coinvolgere anche la leadership delle aziende. Serve un approccio multidisciplinare. In Italia si tende a pensare “non succederà a me”; in realtà, oggi, il punto non è più se verrai attaccato, ma quando.

È possibile fare un identikit del cybercriminale?
La maggior parte dei criminali informatici agisce per motivi economici. Non parliamo più solo del “genio informatico” da film: oggi esistono intere economie del cybercrime, dove si comprano o affittano strumenti di attacco, come il “ransomware-as-a-service”. Ci sono gruppi specializzati in tutto: dalla scrittura di malware all’ingegneria sociale, al riciclaggio di denaro.