I cyber risk della Fatturazione Elettronica

Security della fatturazione elettronica: se il 2018 è stato senza dubbio l’anno del GDPR, il 2019 inizia sotto la ‘stella’ della fatturazione elettronica: il nuovo sistema digitale per l’emissione, trasmissione e conservazione delle fatture.

La fattura elettronica è una fattura digitale. Di fatto un processo digitale che è stato introdotto dalla finanziaria 2018 che riprende le disposizioni europee che invitavano ad adottare normative, processi e tecnologie per la digitalizzazione del ciclo degli acquisti. Tra gli obiettivi della fattura elettronica quello rilevante e principale è sicuramente il contrasto delle frodi e dell’evasione fiscale. La fattura elettronica introduce uno strumento dedicato a questi scopi che, al contempo, porta con sé una serie di rischi legati al tema cybersecurity che devono essere presi in considerazione a più livelli.

Stiamo infatti parlando di cyber risk che impattano non solo il ‘sistema centrale’ gestito dal Ministero dell’Economia e delle Finanze, ma anche ogni singola azienda. Un rischio concreto testimoniato dal fatto che sono già attivi diversi gruppi che stanno studiando e analizzando le possibili vulnerabilità e criticità dell’intero processo. Gruppi di esperti sul tema sicurezza che sono in continua e costante contrapposizione: da un lato i ‘criminal hacker’ e dall’altro gli ‘ethical hacker’.

Entrambi approcciano l’analisi del rischio su questo tema in modo simile ma, evidentemente, con obiettivi opposti. In questo articolo, a tal proposito, affronteremo i seguenti aspetti:

– L’analisi del flusso della fatturazione elettronica.

– Le motivazioni dei rischi di security.

– Le possibili vulnerabilità di security.

Prima di elencare i principali rischi di security della fatturazione elettronica è però opportuno fornire una breve descrizione dell’intero flusso per poter identificare i principali punti di rischio.

Fatturazione elettronica: come funziona?

Per poter determinare e identificare i possibili rischi di security della fatturazione elettronica andiamo ad analizzare e costruire il possibile flusso dei dati e determinare il funzionamento della fatturazione elettronica stessa.

Iniziamo con la definizione di fattura elettronica: “documento informatico, in formato strutturato, trasmesso per via telematica al Sistema d’Interscambio (SdI) […] e da questo recapitato al soggetto ricevente. Ciascuna trasmissione elettronica può riguardare tanto una singola fattura, quanto un lotto di fatture”.

Gli elementi chiave che devono essere analizzati in ottica security della fatturazione quindi sono: formato della fattura elettronica; flusso del processo di fatturazione elettronica; fatturazione elettronica e tool di terze parti; conservazione della fattura elettronica; punti di accesso della fatturazione elettronica.

Formato e flusso

Il formato delle fatture elettroniche è l’XML (eXtensible Markup Language), un metalinguaggio di cui il nome stesso fornisce la descrizione: markup language, ossia un marcatore: extensible, ossia estensibile poichè permette di creare tag/etichette personalizzate.

A parte questa descrizione veloce, è interessante notare che gli Owasp TOP 10 elencano proprio l’XML all’interno della lista delle principali vulnerabilità (Open Web Application Security Project, associazione nata con l’obiettivo di dare informazioni sui reali livelli di rischio di applicazioni e software in genere). Nello specifico l’A4 XML external entities (XXE), vedi anche ‘www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)’. I processori XML spesso caricano contenuti di file esterni e un terzo potrebbe sfruttare questa funzionalità. Approfondiremo questo aspetto sulla security della fatturazione elettronica di seguito.

Conoscere il flusso di processo è invece necessario per poter identificare i possibili rischi di security della fatturazione elettronica. Ai sensi dell’articolo 21 del D.P.R. nr. 633 del 1972 la fattura elettronica deve essere trasmessa al SdI, il Sistema di Interscambio, gestito dall’Agenzia delle Entrate. Questa è una piattaforma informatica che: riceve le fatture elettroniche in formato file in linea con i requisiti di legge; verifica la conformità delle fatture elettroniche; convalida la fattura e la inoltra alla PA o impresa/privato destinatario della fattura elettronica.

È necessario evidenziare che il Sistema di Interscambio (SdI) non svolge alcun ruolo amministrativo o di conservazione. Lo scopo è di validazione. Si tratta di un unico snodo in cui si effettua il controllo e la validazione della fattura. La trasmissione della fattura al Sistema di Interscambio può essere effettuata in tre modalità distinte: posta elettronica certificata (PEC); FTP e web services.

I software per la fatturazione elettronica

Non ci sono dubbi sul fatto che l’obbligo della fatturazione elettronica abbia lanciato una sfida a tutte le aziende. Stiamo parlando del processo di digitalizzazione delle imprese italiane. Se il GDPR ha dato un forte scossone e motivato le aziende a raggiungere la compliance legislativa, la fatturazione elettronica dovrebbe completare questo cambio culturale. Non possiamo nascondere il fatto che questa normativa ha creato un nuovo mercato: i software di fatturazione elettronica. La normativa, infatti, permette l’utilizzo di applicazioni esterne, sviluppate da terze parti, quindi prodotti e software di fatturazione elettronica che possono gestire e governare l’intero flusso. Questi software possono essere disponibili su licenza in modo tradizionale, o nel formato Software as a Service erogato da fornitori di servizi cloud.

In termini di security di fatturazione elettronica siamo nel perimetro della supply chain cybersecurity.

Conservazione della fattura elettronica e access point per attacchi e minacce

La conservazione è uno degli obblighi previsti dall’articolo 9 del DPCM del 3 dicembre 2013. Nello specifico, la conservazione delle fatture può usufruire del servizio gratuito disponibile presso l’Agenzia delle Entrate.

In realtà, il provvedimento del 13 giugno 2018, prot. n. 117689/2018 permette di conservare le fatture anche attraverso intermediari. Questi intermediari possono essere anche differenti da quelli presenti nell’art. 3, D.P.R. n. 322/1998. Stiamo parlando di terze parti che sono state formalmente delegate dall’azienda.

Il tempo di conservazione è di 10 anni e tra i requisiti necessari vi sono la garanzia di: integrità, immodificabilità, autenticità e leggibilità. È interessante notare come questi requisiti siano in parte ridondanti con quelli del GDPR. In termini di security della fatturazione elettronica, è ovvio che il primo pensiero è il fatto che esista un unico database in cui tutte le fatture sono storicizzate. Un database che può essere gestito direttamente dall’Agenzia delle Entrate oppure da una terza parte.

Dopo aver identificato il formato delle fatture, il flusso che descrive il processo della fatturazione elettronica, il ‘luogo’ dove sono i dati, si può facilmente stabilire quali siano i principali ‘access point’ attraverso i quali possono presentarsi minacce e attacchi all’integrità e alla riservatezza dei dati coinvolti nel processo della fatturazione elettronica: l’azienda che emette o riceve la fattura, il portale del Sistema di Interscambio, il database, i software e i servizi delle terze parti.

Le motivazioni del cyber risk

Per effettuare una corretta analisi del rischio è sempre opportuno adottare il Metodo MOM, acronimo di motivazione opportunità mezzi.

Per il primo punto, motivazione, iniziamo a chiederci: per quale ragione qualcuno dovrebbe effettuare un cyber attack contro il sistema di fatturazione elettronica di un’azienda?

Una prima motivazione è sicuramente quella legata allo spionaggio. Parliamo di spionaggio industriale e commerciale. L’accesso all’intera banca dati delle fatture, di fatto, permette a un terzo malintenzionato di venire a conoscenza di informazioni critiche come: l’elenco fornitori, l’elenco clienti, le attività commissionate o ricevute e i relativi valori economici. Queste informazioni non solo possono fornire indicazioni sui piani strategici aziendali (fatture relative alla costruzione di impianti, o progettazione di nuovi prodotti e tecnologie…) ma mettere a rischio l’intera security aziendale. Il fatto che un estraneo possa conoscere l’elenco fornitori rappresenta una minaccia concreta del know how aziendale.

Una seconda motivazione potrebbe poi essere quella del sabotaggio. La fatturazione elettronica è un obbligo di legge. Nessuna azienda può fatturare e nessuna azienda può pagare il compenso per una attività senza essere adempiente alla nuova normativa entrata in vigore nel 2019.

Quali sono i rischi se un eventuale cyber attack costringesse il SdI a non validare le fatture di una specifica azienda? Stiamo parlando di un attacco che potrebbe essere condotto direttamente verso il sistema SdI oppure verso uno dei prodotti/tool di fatturazione elettronica che viene utilizzato nella nostra azienda. L’intero processo di fatturazione dell’impresa sarebbe completamente bloccato con impatti diretti sui flussi di cassa.

Detto questo, dobbiamo però anche tener conto che nel nostro attuale contesto digitale, la guerra cibernetica ha assunto connotazioni di più ampia portata a livello geografico. Parliamo spesso di cyberwar a livello di nazioni.

Un attacco informatico che rendesse indisponibile l’intero sistema di fatturazione elettronica avrebbe un impatto devastante sull’intera economia del Paese. E quindi dobbiamo considerare l’infrastruttura a supporto dell’intero processo della fattura elettronica come ‘infrastruttura critica’ al pari delle centrali di generazione e dei sistemi di distribuzione dell’energia, del trattamento dell’acqua, degli aeroporti, degli snodi ferroviari e autostradali, dighe, impianti industriali strategici e quant’altro… L’interruzione anche temporanea di tutto il sistema causerebbe impatti rilevanti, e via via crescenti con l’allungarsi dei tempi di non funzionamento, sul sistema economico, su quello finanziario e anche sociale del Paese Italia.

Ma, infine, non bisogna tralasciare il fatto che come tutte le attività IT anche la fatturazione elettronica sarà oggetto di diversi crimini informatici che porteranno a tentativi di frode, al rilascio di false identità, ma anche a malware e a phishing. In particolare, è mia opinione, che proprio il phishing grazie alla fatturazione elettronica ha trovato e troverà sempre più con il passare del tempo un nuovo terreno fertile per le tecniche di social engineering.

I possibili attacchi al sistema

Venendo al fattore ‘opportunità’ dell’analisi MOM possiamo certamente dire che il processo di fatturazione elettronica offre due possibilità agli attaccanti: il sistema centralizzato attraverso il quale il processo è governato, il SdI; e il fatto che entrando in gioco decine di terze parti che forniscono software e/o servizi di accesso via cloud allo stesso SdI, gli attaccanti hanno a disposizione una platea piuttosto vasta di possibili ‘porte d’ingresso’ dove cercare le vulnerabilità sulle quali fare leva per implementare le loro minacce. Il rischio è sempre direttamente proporzionale al numero dei punti di accesso.

Qui di seguito vedremo brevemente solo alcuni dei possibili ‘mezzi’ che possono quindi compromettere la security della fatturazione elettronica.

DDoS. Il più che conosciuto Distribuited Denial of Service è sicuramente una delle tecniche e cyber attack più semplici da attuare. Si configura come un attacco informatico che genera traffico di ingresso verso il target da diverse fonti. L’attacco porta a far esaurire le risorse della vittima rendendo il servizio non disponibile. Ovviamente, dallo scenario che abbiamo descritto nei paragrafi precedenti i possibili target potrebbero essere sia la stessa piattaforma SdI, ma anche i software in cloud di fatturazione elettronica e i sistemi di gestione della fatturazione elettronica installati nelle nostre aziende.

Web service. Abbiamo visto che la trasmissione della fattura elettronica è anche possibile attraverso una serie di web service. In questo caso, il target potrebbe essere sia il sistema fatturapa.gov.it sia il portale del tool di fatturazione elettronica specifico di una terza parte.

I principali rischi relativi alla web security sono: SQL injection; cross site scripting; object injection; clickjacking.

Da sottolineare come questa tipologia di attacco sia già in fase di analisi da parte dei criminal hacker. Non a caso il dominio fatturapa.gov.it unitamente a parte suoi sottodomini sono stati già analizzati e le info sono pubbliche su diversi portali completamente gratuiti come lo stesso Shodan.

FTP. La trasmissione delle fattura elettronica è possibile anche tramite FTP. Il File Transfer Protocol è un protocollo per la trasmissione dati basato su TCP utilizzato nelle architetture client/server. Vediamo di seguito i due possibili attacchi che potrebbero verificarsi in relazione alla fatturazione elettronica.

Directory traversal attack. Altrimenti detto path traversal. Lo scopo ultimo di un attacco di questo tipo è quello di ottenere i privilegi di admin al file system. Il mezzo attraverso cui si raggiunge lo scopo ultimo è un attacco mirato che intende sfruttare misure di validazione insufficienti. L’hacker in questo modo, sfruttando vulnerabilità relative al sistema di validazione, ha la possibilità di accedere a informazioni critiche che se cadono nelle mani sbagliate potenzialmente possono risultare molto pericolose per l’azienda.

Dridex. Si tratta di un malware che è stato identificato nel 2014 in seguito a spiacevoli attacchi avvenuti verso banche nel Regno Unito. Nel tempo, questo malware è stato soggetto a diverse fasi di modifica ed è apparso e scomparso a intermittenza sulla scena degli attacchi globali. Tuttavia, Dridex riusciva ad attaccare gli utenti Windows attraverso allegati delle mail. Un utente che scarica un semplice allegato in formato .doc da una mail infetta può ‘contrarre’ questo virus e infettare il proprio sistema esponendo, di conseguenza, le proprie informazioni finanziarie. Nella sua ultima forma, coloro che conducono i propri attacchi attraverso Dridfex fanno uso di siti e credenziali FTP per evitare di essere intercettati dagli e-mail gateway e dalle network policy che ‘si fidano’ di FTP.

XML. L’utilizzo del formato XML espone l’intera security della fatturazione elettronica al possibile attacco XML external entity attack. Questo attacco si attua quando l’input XML contiene un codice che richiama un elemento esterno. L’elemento esterno può essere di qualsiasi genere. I cyber risk fanno riferimento alla divulgazione dei dati, denial of service, false richieste al server e altro.

Phishing. È una frode che avviene attraverso un mezzo specifico: l’e-mail. Attraverso questa tecnica per il furto di informazioni è possibile rubare di tutto, per esempio: credenziali, informazioni sensibili, dati finanziari… Il phishing, nel corso degli anni, ha affinato le sue tecniche. Diventa sempre più difficile individuare le mail infette e questo rappresenta di per sé un rischio non sottovalutabile dalle aziende. Il phishing è il macro termine di riferimento per questo tipo di truffe, tuttavia esso si può manifestare attraverso diverse modalità come il tabnabbing (sfruttando le numerose tab aperte nel browser), il malware-based phishing (infettando il computer della vittima), il search engine phishing (utilizzando i principi SEO) o il vishing (che presuppone l’interazione telefonica con un falso operatore).

Come abbiamo brevemente accennato in precedenza, con la fatturazione elettronica il phishing troverà nuova linfa e nuove tecniche di social engineering.

Attacchi al database

La conservazione dei dati (le fatture elettroniche) è un altro punto di attenzione. Un obiettivo ovvio per qualsiasi criminal hacker. Vediamo quindi qui di seguito i possibili attacchi che di solito vengono utilizzati per violare i database aziendali e che potrebbero essere utilizzati dai criminal hacker anche per sabotare o impossessarsi delle informazioni relative alle fatture elettroniche.

Guess password. In seguito all’accesso da parte di un hacker al web server aziendale, il soggetto cercherà informazioni circa il server a supporto del DB, la password e l’ID. In caso queste informazioni siano protette da crittografia l’hacker cercherà di indovinarle (in molti casi – purtroppo – ci pensano le aziende a fare il lavoro per l’hacker non cambiando le credenziale predefinite). Oppure proverà, attraverso attacchi di ‘forza bruta’, a indovinare le credenziali necessarie ad accedere al DB.

Sniffing dei pacchetti. Per riuscire a ottenere le credenziali dell’admin del root DB, gli hacker distribuiscono uno sniffer in grado di agguantare i pacchetti in entrata e in uscita dal server del DB.

Query string manipulation. In uno scenario del tutto ipotetico, un hacker sarebbe in grado di eseguire query per recuperare dati nel caso in cui il codice presentasse delle falle. Questo perché è tramite un URL web che un web server riceve le richieste dal browser e questi URL web contengono parametri stringa di query che permettono di portare la web app al database per i dati richiesti.

Privilege escalation. Gli hacker provano – attraverso l’uso di script – a intercettare le informazioni relative al livello di utenza con i maggiori privilegi. Tuttavia, pochi server di database sono stati trovati essere vittima di questi bug che alla fine sono stati risolti.

Vulnerability exploit. I server di DB possono avere dei bug che si tramutano in vulnerabilità sfruttabili. Proprio per questo motivo, gli hacker sondano il terreno andando alla ricerca di sistemi DB senza patch installate.

SQL injection. In questa fattispecie l’attaccante esterno sfrutta vulnerabilità presenti nel web e nel DB. L’attacco, infatti, viene sferrato attraverso le pagine web, più nello specifico, introducendo parti delle istruzioni di query SQL nel modulo web.

Database DoS. Come da prassi per quanto riguarda un attacco di tipo DoS, vengono inviate molteplici richieste al DB nel tentativo di mandarlo in sovraccarico. Questa attività ha lo scopo ultimo di far in modo che il DB non risponda più alle query entrando così in tilt.

La responsabilità lungo la supply chain

In conclusione, si ricorda che la gestione della security della fatturazione elettronica deve necessariamente prendere in considerazione i diversi attori terzi che partecipano attivamente come protagonisti o comparse al processo della fatturazione stessa. Stiamo parlando quindi in termini di supply chain della cybersecurity. Sono principalmente gli sviluppatori e le società che forniscono i software di gestione e/o di conservazione della fatturazione elettronica che devono garantire misure di sicurezza adeguate e la garanzia di una gestione e di una governance del sistema nel tempo.