Parole nuove

Ingegneria sociale: l’arte dell’inganno

  • Lucia Francalanci
SOTTOPOSTO A PEER REVIEW

Licenza CC BY-NC-ND

Copyright: © 2024 Accademia della Crusca


L’arte dell’inganno: così Kevin Mitnick, uno degli hacker più famosi al mondo – certamente quello più ricercato negli Stati Uniti negli anni Novanta per crimini informatici – sceglie di intitolare il suo libro dedicato all’ingegneria sociale. In apertura del volume, Mitnick ne fornisce una sua personale definizione: “ingegneria sociale significa l’uso del proprio ascendente e delle capacità di persuasione per ingannare gli altri, convincendoli che l’ingegnere sociale sia quello che non è oppure manovrandoli. Di conseguenza l’ingegnere sociale può usare la gente per strapparle informazioni con o senza l’ausilio di strumenti tecnologici” (Mitnick 2003, p. 9).

Nell’ambito della sicurezza informatica, l’ingegneria sociale consiste nel complesso di strategie e metodi di manipolazione psicologica e di persuasione volti a indurre un utente a rivelare informazioni riservate (dati personali, credenziali di accesso, numeri di carte di credito, di conti bancari, di previdenza sociale, e così via). Si basa sulla capacità di manipolare e influenzare le persone e si fonda sullo studio delle abitudini e della personalità delle vittime; più che le vulnerabilità tecnologiche e dei sistemi informatici, l’ingegnere sociale sfrutta proprio l’errore o la vulnerabilità delle persone, approfittando della propensione umana a fidarsi del prossimo.

Mi limito a segnalare alcune delle molte tecniche usate (le definizioni tra apici sono tratte dal Devoto-Oli online): phishing (da fishing ‘pesca’, con sostituzione di f con ph originatasi nell’ambiente della pirateria informatica, ‘tentativo di carpire, soprattutto attraverso messaggi di posta elettronica, dati e informazioni personali (codici di sicurezza, numero di carta di credito, ecc.) da usare in truffe telematiche’), smishing (parola macedonia formata da SM(S) e (ph)ishing) ‘truffa informatica effettuata inviando al telefono cellulare del destinatario un messaggio che invita a condividere dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.) mediante SMS o servizi di messaggistica istantanea’. Se la truffa è effettuata invece che per messaggio tramite chiamata telefonica si parla di vishing (da voice ‘voce’ e phishing) o quid pro quo (viene proposto un bene o un servizio in cambio di informazioni: ne sono esempi le false vincite di premi o concorsi).

La locuzione ingegneria sociale, calco dell’inglese social engineering, non nasce in ambito informatico, ma viene dalla politica e dalla sociologia. Si tratta di un concetto che nelle scienze politiche è stato ampiamente discusso, soprattutto nel secolo scorso, e di cui non è semplice dare una definizione, considerata la variabilità delle interpretazioni del fenomeno che sono andate affermandosi e, conseguentemente, delle diverse caratteristiche e connotazioni che gli sono state attribuite. Prendendo a riferimento l’OED, l’ingegneria sociale può essere definita come ‘l’uso di una pianificazione centralizzata nel tentativo di gestire il cambiamento sociale e regolare lo sviluppo e il comportamento futuro di una società’ (trad. mia).

L’espressione inglese social engineering, affiancata dalla voce tedesca Sozialtechnik, inizia a fare la sua comparsa nel dibattito sulla gestione della questione sociale negli ultimi anni del XIX secolo (l’OED la data 1899). A partire dalla fine degli anni Settanta del secolo scorso, «il social engineering è caduto sotto gli strali della critica intellettuale e politica genericamente definita neoliberale, che lo considerava un elemento di pericolosa convergenza tra i regimi di stampo socialista e quelli democratici ma orientati verso un interventismo dai forti caratteri di universalità e pervasività. Più di recente, l’espressione ha acquisito una connotazione prevalentemente negativa poiché associata alla manipolazione inconsapevole della psiche umana da parte dei nuovi media e della "rete"» (Bernardini 2016, pp. 316-317). Del resto, la stessa parola engineering ha come accezione secondaria ‘l’azione di lavorare astutamente per realizzare qualcosa; escamotage, macchinazione’ (OED, trad, mia).

Dalla valenza negativa di social engineering, ovvero dall’idea che l’ingegneria sociale rappresenti il tentativo di manipolare e influenzare gli atteggiamenti e i comportamenti sociali, deriva evidentemente l’accezione informatica.

I principali dizionari inglesi registrano entrambe le accezioni: il significato politico della locuzione risulta attestato dal 1899, come abbiamo visto, mentre quello legato alla sicurezza informatica risale agli anni Novanta del secolo scorso. In particolare, la prima occorrenza riportata dall’OED è del 1990: si tratta di un commento scritto da un utente (di cui si conoscono soltanto il nickname e la provenienza, la University of Illinois College of Veterinary Medicine) in un gruppo di discussione Usenet (comp.org.eff.talk), a cui si accede tramite Google Gruppi:

Hackers… are quite adept at ‘social engineering’ to obtain information useful to their purpose. (A Super(cilious)Nova, comp.org.eff.talk, 5/10/1990)

Il secondo esempio presentato dal dizionario storico inglese proviene invece dal già citato volume di Kevin Mitnick, Art of Deception, del 2002 (come detto all’inizio, l’edizione italiana, pubblicata con il titolo L’arte dell’inganno, è del 2003):

Social engineering attacks can succeed when people are stupid or, more commonly, simply ignorant about good security practices. (Kevin Mitnick, Art of Deception, New York, John Wiley & Sons, 2002, p. 17)

I dizionari inglesi segnalano anche la voce social engineer ‘ingegnere sociale’ (soltanto l’OED e il Cambridge Dictionary ne fanno un’entrata distinta da social engineering), ma il Cambridge Dictionary è l’unico a registrare anche l’accezione informatica: ‘qualcuno che tenta di indurre con l’inganno le persone a fornire informazioni segrete o personali, soprattutto su Internet, e le usa per scopi dannosi’ (trad. mia).

La lessicografia italiana trascura del tutto l’accezione politico-sociologica di ingegneria sociale e riserva quasi la stessa sorte a quella informatica: al 23 giugno 2024, il Devoto-Oli (nella sola versione online) risulta l’unico tra i dizionari italiani a mettere a lemma la locuzione social engineering e a registrare ingegneria sociale sotto la voce sociale. Le forme non sono censite neanche dai dizionari specialistici informatici, con l’eccezione del Dizionario di informatica: inglese/italiano di Angelo Gallippi (Milano, Tecniche nuove), a partire dalla 6a edizione del 2006.

Quanto a social engineering, è datato 2007 dal Devoto-Oli online, ma l’espressione risulta attestata in italiano già dal 1990, quindi contemporaneamente all’assunzione del nuovo significato nella lingua inglese. Non è un caso: si tratta certamente di un anno significativo per tutto il mondo informatico. Il 1990 è infatti l’anno dell’Hacker crackdown, la grande operazione di polizia condotta negli USA contro gli hacker. “Fu il più esteso, meglio organizzato, più deliberato e risoluto di ogni altro precedente sforzo compiuto nel nuovo mondo del crimine elettronico” racconta Bruce Sterling, il fondatore della corrente letteraria cyberpunk:. “Il Servizio segreto degli Stati Uniti, le organizzazioni private di sicurezza delle compagnie telefoniche, le polizie locali e nazionali di tutto il paese misero insieme le forze in un deciso tentativo di spezzare la schiena all’underground elettronico americano […]. Il giro di vite, notevole di per sé stesso, ha poi provocato un fitto dibattito sulla criminalità elettronica, sulle punizioni, sulla libertà di stampa e sulla legittimità dei mandati di perquisizione e sequestro: la politica è entrata nel ciberspazio” (Sterling 1993, p. 13).

La prima occorrenza rintracciata è nel volume di Marco Saporiti XProblema?, dedicato ai problemi del sistema operativo Windows XP (citato in Mercuri 2020 per la prima attestazione italiana di antispyware):

In alcuni punti abbiamo parlato di tecniche di inganno, di social engineering, di psicologia della comunicazione in altri di teoria della computabilità. Abbiamo visto ed esaminato casi reali di problemi di sicurezza del computer, analisi di malware reali e di truffe veicolate dalla posta elettronica. (Marco Saporiti, XProblema? I problemi, i difetti del sistema operativo più usato, Milano, Cerebro, 1990, p. 199)

Il calco ingegneria sociale sembra quindi essere coevo all’espressione inglese. Il primo esempio che sono riuscita a reperire è del 1993, nel già citato libro di Bruce Sterling, Giro di vite contro gli hacker (p. 90), tradotto da Mirko Tavosanis, che spiega in nota il significato della locuzione:

Imbaldanzito dal successo Fry Guy passò all’abuso di carte di credito, visto che aveva una particolare abilità di parola e un talento innato per l’“ingegneria sociale” [l’ingegneria sociale è una tecnica di hacking e phreaking [‘hackeraggio telefonico’] che consiste, spacciandosi per altre persone, nell’ottenere informazioni riservate come password o specifiche tecniche su linee telefoniche o altro, N.d.R.].

Le attestazioni successive sono del 1996: la prima, ancora virgolettata, compare in una conversazione all’interno del newsgroup soc.culture.italian (accessibile tramite Google Gruppi), in cui si discute di un account violato, di hacker e, appunto, di ingegneria sociale.

Oppure, per crackare un account, si può anche usare qualche tecnica di "ingegneria sociale", per esempio rapire l’agenda dell’utente, intrufolarsi nel suo ufficio o accedere al suo terminale mentre lui si è allontanato un momento ... basta poco. (Walter A. Aprile, in risposta a Paolo Pizzi, Il mio account è stato violato, soc.culture.italian, 23/2/1996)

La seconda si trova invece sulla “Stampa”, in un’intervista che il giornalista Gabriele Beccaria fa a Fulvio Berghella, l’allora vicedirettore dell’Istinform, società che si occupava di sicurezza informatica in ambito bancario:

Nel ’95 il Pentagono ha denunciato 160 mila incursioni. I sistemi sono così fragili? «Dipende dall’abilità con cui gli hackers individuano le debolezze organizzative dell’azienda da colpire. L’obiettivo – si sa – sono le parole d’accesso. Alcuni le cercano con le tecniche dell’ingegneria sociale e quindi fanno una serie di telefonate mirate, simulando di essere dirigenti della società nel mirino, altri lanciano programmi di calcolo che elaborano migliaia di combinazioni l’ora, altri ancora studiano vita e abitudini delle “vittime” per indovinarne le passwords […]». (Gabriele Beccaria, «Questi i segreti dei pirati», “La Stampa”, 4/6/1996, p. 13)

Anche se non se ne trovano occorrenze, è probabile che la locuzione italiana circolasse già tra il 1993 e il 1996. La sua presenza senza virgolette su un quotidiano nazionale, seppure in un articolo specialistico, mostra che l’espressione non è più soltanto esclusiva dell’uso informatico, che ne rimane comunque il contesto prevalente; il fatto che il giornalista non senta l’esigenza di spiegarne il significato presuppone una certa familiarità della parola.

C’è poi da considerare un evento verificatosi nel 1994, con conseguenze evidenti anche negli anni successivi, che potrebbe aver influito sull’acclimatamento del termine: l’Italian crackdown.

Scattata l’11 maggio 1994, Hardware 1, poi ricordata come Italian crackdown o Fidobust, è stata una delle più vaste operazioni italiane di polizia intraprese contro crimini informatici, sia per forze impiegate sia per reati ipotizzati (duplicazione di software, frode informatica, contrabbando, associazione a delinquere, ecc.). Vide la perquisizione e il sequestro di circa 200 BBS (Bulletin Board System, letteralmente ‘sistema bacheca’), “un sistema oggi disusato che permette agli utenti di elaboratori, collegando il proprio computer alla rete telefonica tramite un modem, di scambiare messaggi e file, oppure di accedere a banche di dati; tramite alcune BBS è possibile collegarsi a Internet” (Vocabolario Treccani online). L’operazione ebbe una vasta eco mediatica, soprattutto alla luce del fatto che le indagini successive dimostrarono l’estraneità di molte BBS sequestrate ai reati ascritti.

Sembra quindi ragionevole pensare che nella stampa italiana di quel periodo si sia parlato molto del fenomeno, anche se forse non ancora in termini di ingegneria sociale.

Anche di ingegnere sociale non si trovano occorrenze almeno fino al 2003. La prima è nella traduzione italiana del più volte citato volume L’arte dell’inganno di Kevin Mitnick; il traduttore usa l’espressione sia in apertura (già citata all’inizio) sia nella prefazione:

Colui che usa l’inganno, il fumo negli occhi e la persuasione contro le imprese, di solito a scapito delle loro informazioni riservate, appartiene all’altro sottogruppo, quello degli ingegneri sociali. (Prefazione, p. 16)

Molte altre occorrenze si hanno poi nel testo vero e proprio, a partire da p. 24, in cui troviamo il passo citato dall’OED. Se però, nella versione inglese, si parla di social engineering, in quella italiana si opta per una scelta diversa, traducendo non ingegneria sociale, ma ingegnere sociale:

Andando all’osso, gli attacchi degli ingegneri sociali possono aver successo se le persone sono stupide o, più spesso, ignare delle buone pratiche di sicurezza.

È invece aderente alla versione originale l’esempio successivo, qualche paragrafo più avanti:

Qual è la più grave minaccia alla sicurezza dei vostri beni aziendali? È facile: l’ingegnere sociale, quel mago poco scrupoloso che vi induce a tenere d’occhio la sinistra mentre con la destra vi sgraffigna i segreti. (p. 24)

Ancora del 2003 un’ulteriore attestazione della locuzione in una conversazione all’interno di un newsgroup dedicato alla sicurezza informatica (it.comp.sicurezza.varie), in cui si parla proprio di Mitnick:

Ho una curiosità da appagaree [sic]: ma Kevin Mitnick, a parte la grande capacità di ingegnere sociale, a livello puramente tecnico era davvero bravo, il migliore? (songohan, Kevin Mitnick: quale giudizio tecnico?, it.comp.sicurezza.varie, 12/2/2003)

Infine, qualche dato relativo alla frequenza attuale delle locuzioni, sintetizzato per praticità nella tabella seguente. Le ricerche sono state condotte (il 24/6/2024) nelle pagine in italiano di Google, di Google libri e negli archivi di alcuni quotidiani nazionali; i risultati sono comprensivi sia delle forme al singolare sia di quelle al plurale.

 

Social engineering

Ingegneria sociale

Ingegnere sociale

Google

98.000

80.527

8.610

Google libri

3.140

10.493

3.120

Archivio “la Repubblica”

79

163

18

Archivio “Corriere della Sera”

14

136

22

Archivio “La Stampa” (fino al 2006)

/

70

23

Tenuto conto del fatto che i dati si riferiscono alle forme in tutti i loro significati (non è infatti possibile isolare soltanto i risultati relativi all’accezione informatica), il numero di occorrenze in rete testimonia una presenza abbastanza consolidata sia della forma inglese sia del calco italiano. Una sostanziale impennata nel numero di attestazioni si ha soprattutto a partire dal 2020, ma la frequenza dei termini risulta in continuo aumento.

Le locuzioni sono usate anche in contesti istituzionali, come quello della Polizia Postale, deputata proprio a combattere i reati informatici: se ne trova traccia, ad esempio, in alcuni documenti (tra cui un glossario) presenti nel sito del Commissariato di P.S. online, inserito all’interno del Servizio Polizia Postale e delle Comunicazioni e dedicato alla sicurezza sul web.

Prevedibilmente, le attestazioni sui quotidiani sono più sporadiche e principalmente legate all’ambito delle scienze politiche; si nota, inoltre, che sia nei libri sia nella stampa sembra essere più consolidata la forma italiana.

Concludiamo con una piccola nota sul genere della locuzione social engineering. Comunemente il genere di un prestito viene assegnato in base al genere del nome che viene individuato o percepito come traducente (sul genere dei forestierismi si veda la scheda a cura di Raffaella Setti). Spesso ai termini inglesi (il cui sistema non prevede distinzioni di genere) viene assegnato il maschile, inteso in italiano come genere non marcato; ciò avviene in particolare quando non viene applicata nessun’altra regola di assegnazione (fonologica o semantica).

Essendo ingegneria sociale la traduzione italiana della voce inglese, per il prestito integrale ci si aspetterebbe il genere femminile. Il Devoto-Oli registra invece la locuzione come maschile invariabile e anche in rete il maschile risulta il genere prevalente (il social engineering). A determinare l’attribuzione del genere maschile è il fatto che in italiano engineering, che costituisce la testa della locuzione, è considerato (e così registrato dai dizionari) un sostantivo maschile: nonostante la sua traduzione letterale sia ‘ingegneria’, il significato di engeneering è infatti quello di ‘insieme delle attività volte alla realizzazione di macchinari e impianti industriali’ (GRADIT).

Del resto, anche l’espressione italiana ingegneria sociale risulta poco trasparente. Se infatti il significato delle altre locuzioni formate con ingegneria è piuttosto intuitivo (si pensi ad esempio a tutti i vari corsi di laurea, come ingegneria ambientale, ingegneria informatica, ingegneria meccanica, ecc.), il senso di ingegneria sociale non è desumibile dalla somma dei costituenti.

Nota bibliografica:

  • Bernardini 2016: Giovanni Bernardini, Il «social engineering» come chiave di lettura del XX secolo: una proposta interpretativa, in Christoph Cornelissen, Paolo Pombeni (a cura di), Spazi politici, società e individuo: le tensioni del moderno, Bologna, Il Mulino, 2016, pp. 315-334.
  • Mercuri 2020: Federica Mercuri, Neologismi datati dal 2000 in poi in DO–2020 (lettere A–D), “AVSI Archivio per il vocabolario storico italiano”, III, 2020, pp. 96-190.
  • Mitnick 2003: Kevin Mitnick, L’arte dell’inganno, trad. it. a cura di Giancarlo Carlotti, Milano, Feltrinelli, 2003 (ed. or. Art of Deception, New York, John Wiley & Sons, 2002).
  • Sterling 1993: Bruce Sterling, Giro di vite contro gli hacker, trad. it. a cura di Mirko Tavosanis, Milano, Shake, 1993 (ed. or.) The Hacker crackdown, New York, Bantam, 1992).