«Breaking TCAS»: vulnerabilità e attacchi nella sicurezza aerea

Alla 14ª edizione della Cyber Crime Conference, ospitata a Roma il 6 e 7 maggio 2026 nell’Auditorium della Tecnica, il Prof. Alessio Merlo, Direttore del Centro Alti Studi per la Difesa (CASD, Scuola Superiore Universitaria), ha presentato i risultati di una ricerca condotta dal CASD insieme all’Università di Genova sulle vulnerabilità del Traffic Collision Avoidance System (TCAS), il sistema anticollisione obbligatorio sugli aerei di linea.

L’intervento, intitolato «Breaking TCAS: vulnerabilità e attacchi nella sicurezza aerea», si è mosso su due piani: da un lato l’illustrazione di due distinte vulnerabilità del protocollo TCAS, dall’altro la formulazione di un’ipotesi tecnicamente motivata per spiegare l’incidente avvenuto il 1° marzo 2025 lungo la traiettoria di avvicinamento all’Aeroporto Ronald Reagan di Washington (DCA).

Cyber Crime Conference, Alessio Merlo «Breaking TCAS» vulnerabilità e attacchi nella sicurezza aerea
Alessio Merlo alla Cyber Crime Conference 2026

Il contesto: ATC, radar secondario e TCAS

Il controllo del traffico aereo poggia sulla torre di controllo (Air Traffic Control, ATC), che gestisce gli atterraggi tramite il radar primario. Quando un aereo si trova lontano dall’aeroporto, entra in gioco un secondo livello di sorveglianza: il radar secondario, basato sullo scambio di segnali radio in radiofrequenza fra aeromobili. Misurando il tempo di risposta in funzione della velocità della luce, ogni velivolo stima la distanza e la posizione degli altri aerei nelle vicinanze.

Al di sopra del radar secondario opera il TCAS, introdotto circa quarant’anni fa e considerato l’ultima barriera per la prevenzione delle collisioni. Funziona in modo autonomo e genera due tipologie di allerta:

  • Traffic Advisory (TA): avviso visivo al pilota della presenza di un altro aereo, con l’indicazione della posizione e dell’altitudine.
  • Resolution Advisory (RA): manovra evasiva automatica e coordinata fra due velivoli in rotta di collisione (uno sale, l’altro scende).

Come ha sottolineato Merlo, il protocollo TCAS è stato progettato in un’epoca in cui la cybersecurity non era una priorità di design: non prevede autenticazione, né controllo di integrità, né cifratura.

Iniettare aerei falsi: la prima vulnerabilità

Nel 2023 il gruppo di ricerca del CASD e dell’Università di Genova ha cominciato a studiare la possibilità di iniettare contatti aerei falsi sul radar di un velivolo bersaglio, fino a indurlo a generare TA e RA reali.

L’unica protezione fisica del protocollo era il ritardo fisso di 128 microsecondi previsto dalla modalità Modo S: per far comparire un aeromobile a una distanza più prossima all’aereo sotto attacco rispetto alla posizione reale dell’attaccante, quest’ultimo avrebbe dovuto rispondere a un’interrogazione in tempi più brevi di tale ritardo, anticipando di fatto la risposta legittima. Storicamente, questa barriera temporale aveva reso l’attacco irrealizzabile con hardware comune.

I ricercatori hanno dimostrato che l’evoluzione dell’hardware Software Defined Radio (SDR) ha riscritto lo scenario: oggi l’attacco è realizzabile con apparati dal costo di circa 10.000 euro e funziona fino a 5 chilometri di distanza dall’aereo bersaglio, una portata particolarmente critica nelle fasi di atterraggio.

Disabilitare le RA: l’exploit del Sensitivity Level

La seconda vulnerabilità individuata riguarda il Sensitivity Level (SL), il parametro che regola la soglia di attivazione delle Resolution Advisory. Lo standard prevede che il valore di SL possa essere modificato dalle stazioni di terra in scenari operativi complessi, come gli avvicinamenti in aree congestionate.

Un attaccante può falsificare il comando di terra e impostare SL=0, disabilitando completamente la generazione di RA: il TCAS continua a emettere TA, ma non produce più la manovra evasiva automatica. Il ripristino richiede il riavvio del sistema, un’operazione tutt’altro che banale in volo.

La timeline della responsible disclosure

La scoperta delle vulnerabilità ha innescato un articolato iter di responsible disclosure, che ha coinvolto le United Nations (UN), l’European Union Aviation Safety Agency (EASA), la Federal Aviation Administration (FAA), l’Ente Nazionale per l’Aviazione Civile (ENAC), l’Agenzia per la Cybersicurezza Nazionale (ACN) e il Comando per le Operazioni in Rete (COR).

Le tappe principali:

  • Giugno 2023: scoperta delle vulnerabilità.
  • Febbraio 2024: sottomissione dell’articolo scientifico.
  • Maggio 2024: accettazione del paper.
  • Agosto 2024: presentazione a USENIX Security 2024 (Longo, Strohmeier, Russo, Merlo, Lenders, «On a Collision Course: Unveiling Wireless Attacks to the Aircraft Traffic Collision Avoidance System»).
  • Gennaio 2025: pubblicazione dell’ICS Advisory CISA, con assegnazione di due CVE.
  • Aprile 2025: comunicato stampa e diffusione mediatica, con oltre 60 apparizioni su testate nazionali, regionali e locali.

L’advisory CISA e la valutazione del rischio

Il bollettino ICS della CISA, pubblicato a gennaio 2025, ha ufficializzato le due vulnerabilità:

  • CVE-2024-11166 (Sensitivity Level): mitigabile aggiornando gli apparati alla versione ACAS X o il transponder allo standard RTCA DO-181F.
  • CVE-2024-9310 (protocollo TCAS): nessuna mitigazione disponibile.

Il documento accompagnava la pubblicazione con una valutazione del rischio improntata alla prudenza: «These vulnerabilities in the TCAS II standard are exploitable in a lab environment. However, they require very specific conditions to be met and are unlikely to be exploited outside of a lab setting». La storia, come si vedrà, ha messo in discussione questa rassicurazione nel giro di poche settimane.

1° marzo 2025: l’incidente di Washington DCA

Il 1° marzo 2025, in una mattinata di buona visibilità, lungo la traiettoria di avvicinamento alla pista 19 dell’Aeroporto Ronald Reagan di Washington sono state registrate numerose segnalazioni di TCAS TA e RA. Gli eventi si sono susseguiti per circa tre ore, dalle 11:10 alle 14:10 UTC.

A oggi la Federal Aviation Administration non ha fornito alcuna spiegazione ufficiale. Le uniche risposte istituzionali sono arrivate da due deputati USA, Rick Larsen e Bennie G. Thompson, Ranking Members delle Commissioni Trasporti e Sicurezza Interna: in una lettera al Congresso del 14 aprile 2025, i due hanno attribuito il «disturbo» a sistemi anti-drone (C-UAS) del Secret Service. L’ipotesi presenta tuttavia un’incongruenza tecnica evidente: i droni non sono dotati di TCAS, e un sistema anti-drone non dovrebbe pertanto interferire con il protocollo TCAS degli aerei di linea.

L’analisi da fonti aperte

Incrociando annunci di posizione, annunci RA e comunicazioni radio reperibili in fonti aperte, il team di Merlo ha ricostruito gli elementi quantitativi dell’evento:

  • 10 aerei coinvolti, di cui 8 con RA e 3 con go-around (atterraggio abortito).
  • 5 km di visibilità orizzontale.
  • Singolo intruso a quota fissa di circa 700 metri, non rilevato né dall’ATC né visivamente dai piloti.
  • Trasmissione in Modo C (tecnologia legacy rispetto al Modo S), che riporta solo la quota e non la posizione.
  • Distanza media indicata dagli annunci RA: circa 400 metri.
  • Direzione: tra 315° e 345°, corrispondente a «ore 11» rispetto ai velivoli coinvolti.

L’analisi geometrica delle distanze restituisce un esito controintuitivo: ogni aereo sembra avere il proprio intruso che si muove insieme a esso. Un oggetto in volo con tali caratteristiche sarebbe stato impossibile da non rilevare, sia strumentalmente sia visivamente. L’ipotesi più plausibile resta quindi quella di un trasmettitore fisso a terra che inietta contatti falsi tramite il Modo C.

Replicare l’attacco sul Modo C

Per verificare la fattibilità tecnica dell’ipotesi, i ricercatori hanno replicato l’attacco di iniezione sul Modo C, dove il ritardo fisso di riferimento scende a soli 3 microsecondi, contro i 128 del Modo S. Il modello SDR da 10.000 euro a quel punto non è più sufficiente: serve un’implementazione su RFSoC (FPGA, front end RF e CPU ARM/Linux), con un costo dell’ordine di 80.000-90.000 euro.

L’attacco è stato validato fino a una distanza massima di circa 2 chilometri e certificato con il test set avionico Aeroflex IFR6000, utilizzato in ambito industriale per la verifica dei TCAS reali.

Geolocalizzare il trasmettitore: il metodo Sequential Monte Carlo

Dimostrata la fattibilità tecnica, restava da capire se i dati pubblici dell’incidente DCA fossero compatibili con un trasmettitore fisso a terra e, in tal caso, dove fosse collocato.

I ricercatori hanno sviluppato un metodo probabilistico basato su Sequential Monte Carlo per stimare la posizione di un trasmettitore fisso a partire dalle osservazioni registrate. Il metodo è stato validato preventivamente su 300.000 scenari sintetici comparabili o superiori al caso DCA, con i seguenti risultati:

  • Identificazione corretta della sorgente fissa nel 95% dei casi.
  • Errore medio di circa 855 metri.
  • Tempo di esecuzione medio di circa 8 secondi.
  • Comportamento differenziale: se il trasmettitore è mobile, la distribuzione di probabilità non converge.

Il risultato sul caso DCA

Applicato ai dati reali dell’incidente del 1° marzo 2025, il metodo ha prodotto una distribuzione di probabilità stabile e coerente con l’ipotesi di una sorgente fissa a terra:

  • Stima della sorgente a circa 890 metri dal centro dell’area ristretta P-56B.
  • Probabilità del 94% che il trasmettitore si trovi all’interno dell’area ristretta.
  • In 40 minuti, dopo due incontri, l’algoritmo avrebbe ristretto la sorgente a un’area di circa 4 km².

L’area P-56B coincide con lo U.S. Naval Observatory, residenza ufficiale del Vicepresidente degli Stati Uniti. Il risultato è pubblicato in Longo, Ratto, Merlo, Russo, «Unknown Target: Uncovering and Detecting Novel In-Flight Attacks to Collision Avoidance (TCAS)», nei proceedings del Network and Distributed System Security (NDSS) Symposium 2026.

Su questo punto Merlo è stato esplicito: «il rilevamento non equivale all’attestazione». I numeri pubblici indicano la compatibilità tecnica di un’origine fissa in una zona precisa, ma non costituiscono, di per sé, un’attribuzione formale dell’identità degli attaccanti.

Takeaway

L’intervento si è chiuso con alcune considerazioni di carattere sistemico sulla sicurezza dei sistemi cyber-fisici:

  • L’isolamento dei sistemi critici, pur necessario, non è sufficiente a preservarli dagli attacchi cyber, soprattutto quando l’hardware d’attacco diventa accessibile a budget contenuti.
  • La debolezza intrinseca di molti sistemi avionici e industriali deriva da norme e standard storicamente progettati senza integrare la cybersecurity.
  • I cyber range e l’approccio multidisciplinare alla ricerca sono ormai imprescindibili per il cybersecurity testing di sistemi cyber-fisici, in cui la sperimentazione su asset reali è eticamente e operativamente impraticabile.
  • Le implicazioni geopolitiche della detection vanno affrontate con cautela metodologica.
  • Esiste un nodo irrisolto fra security e safety: a differenza di un attacco a un server, un attacco a un aereo in volo introduce un rischio diretto per le vite umane.
  • I sistemi cyber-fisici poggiano su protocolli legacy: la protezione fisica non basta più, rendere «smart» un sistema spesso lo rende meno sicuro, e riprogettare tutto da zero non è un’opzione realistica.

Al di là del suo valore tecnico, il caso TCAS è un richiamo alla necessità di integrare la cybersecurity nei processi di standardizzazione internazionale, di investire in cyber range avionici e di formare giovani ricercatori capaci di operare alla frontiera fra security, safety e implicazioni geopolitiche. Come ha ricordato Merlo, la distanza fra un attacco a un server e un attacco a un aereo in volo non si misura più in termini di disponibilità di un servizio, ma in vite umane. Una soglia che impone a ricerca, industria e regolatori di muoversi insieme, e in fretta.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/breaking-tcas-sicurezza-aerea/




OSINT Offensivo: l’arma invisibile che precede ogni attacco

Nella cybersecurity esiste una contraddizione che viene sistematicamente sottovalutata: quanto più un’organizzazione comunica, si promuove e si digitalizza, tanto più amplia involontariamente la propria superficie di attacco. Non attraverso falle nel codice o configurazioni errate, ma attraverso qualcosa di molto più ordinario: le informazioni pubblicamente disponibili su se stessa.

OSINT offensivo: la ricognizione invisibile che precede ogni attacco

L’Open Source Intelligence offensiva, nota come offensive OSINT, è la pratica con cui attori malevoli raccolgono, correlano e trasformano in arma questi dati pubblici, tutto senza mai toccare un sistema target, senza inviare un pacchetto sospetto, senza lasciare traccia nei log. Come documenta ShadowDragon nel suo riferimento 2026 sull’argomento, la ricognizione passiva non interagisce con la presenza online del bersaglio e rimane non rilevabile, non lasciando alcuna traccia dell’attività di raccolta informazioni. È invisibile per definizione.

Questa invisibilità è la prima ragione per cui l’offensive OSINT è tanto pericolosa quanto sottostimata.

La guerra inizia prima dell’attacco: la fase di ricognizione

La ricognizione precede ogni intrusione. Nel framework MITRE ATT&CK, la tattica TA0043 cataloga formalmente le tecniche con cui gli avversari raccolgono informazioni utili a pianificare operazioni future, distinguendo tra raccolta attiva e passiva. La distinzione non è accademica: determina il profilo di rischio dell’attaccante e la tracciabilità dell’operazione.

La ricognizione passiva si alimenta di tutto ciò che è già pubblico: record DNS, certificati digitali, metadati nei documenti, profili LinkedIn, offerte di lavoro, repository GitHub, comunicati stampa. Nulla di illegale, nulla di tecnico nel senso tradizionale del termine. Eppure questi dati, correlati con metodo, costruiscono un profilo operativo estremamente preciso di qualsiasi organizzazione.

La ricognizione attiva, invece, prevede un’interazione diretta con i sistemi del bersaglio, come la scansione delle porte o l’enumerazione dei servizi, e per questa ragione genera tracce rilevabili. Gli attaccanti sofisticati tendono a restare nella fase passiva il più a lungo possibile, spostandosi all’attivo solo quando hanno già un quadro sufficientemente dettagliato per operare in modo chirurgico.

Come osserva Vectra AI nel suo approfondimento del marzo 2026 sulla ricognizione, la profilazione OSINT include la mappatura dei ruoli dei dipendenti, dei fornitori e delle tecnologie a partire da fonti pubbliche come LinkedIn, le offerte di lavoro e i repository di codice. Queste attività non generano telemetria difensiva: compaiono nel log solo dopo, come precisione inaspettata nelle fasi successive dell’attacco.

Che cosa cercano davvero gli attaccanti: non vulnerabilità ma contesto

L’errore più comune nel ragionare sull’offensive OSINT è pensare che gli attaccanti cerchino vulnerabilità tecniche. In realtà, nella fase di ricognizione cercano soprattutto contesto: chi prende le decisioni, quali fornitori si utilizzano, quale stack tecnologico è in produzione, quale ufficio gestisce i bonifici, chi ha appena cambiato ruolo, chi è in trasferta.

Questi dati, individualmente irrilevanti, diventano letali una volta aggregati. SecurityScorecard evidenzia nel suo aggiornamento del 2026 che la raccolta passiva permette ai threat actor di costruire profili completi delle organizzazioni target prima ancora di passare a metodi di raccolta attiva come la scansione delle porte o le verifiche sulle applicazioni web. Questa ricognizione rivela spesso vettori d’attacco che i team di sicurezza trascurano.

Le fonti preferite degli attaccanti includono: offerte di lavoro (che rivelano stack tecnologici e strumenti di sicurezza adottati); profili sui social network professionali (che espongono organigrammi, riporti diretti e responsabilità operative); repository pubblici di codice (dove credenziali hardcoded e configurazioni sensibili compaiono con frequenza sorprendente); certificate transparency log (che rivelano sottodomini e infrastruttura interna); e breach database pubblicamente accessibili (che contengono credenziali riutilizzate o pattern di password aziendali).

Il ruolo abilitante dell’intelligenza artificiale

Se la reconnaissance manuale richiedeva tempo e competenze, l’integrazione dell’intelligenza artificiale nei flussi di lavoro offensivi ha abbattuto entrambe le barriere. Il Google Threat Intelligence Group documenta nel suo report del febbraio 2026 che gli APT actor hanno usato strumenti di AI a supporto di diverse fasi del ciclo di vita dell’attacco, con un focus specifico sulla ricognizione e sullo sviluppo dei target per facilitare il compromesso iniziale.

I casi documentati dal GTIG sono precisi e verificati. APT42, il gruppo iraniano noto anche come Charming Kitten o Mint Sandstorm, ha impiegato modelli AI per cercare indirizzi email ufficiali di specifiche entità, condurre ricognizioni su potenziali partner commerciali e costruire persona credibili a partire dalla biografia dei target. UNC2970, il gruppo nordcoreano collegato a Lazarus Group, ha sintetizzato intelligence open source per profilare figure di alto valore nel settore della difesa e della cybersecurity, mappando ruoli tecnici specifici e informazioni salariali per affinare le campagne di spear phishing.

La portata di questa accelerazione diventa concreta guardando i dati operativi. Il Palo Alto Networks Unit 42 Global Incident Response Report 2026, basato su oltre 750 indagini in più di 50 paesi, certifica che nel 2025 gli attacchi più veloci hanno raggiunto l’esfiltrazione dei dati in soli 72 minuti dall’accesso iniziale, rispetto ai 285 minuti dell’anno precedente: una riduzione quadrupla del tempo che i difensori hanno a disposizione per rilevare e contenere una minaccia.

Questo è il paradosso che l’AI introduce nell’equazione: mentre velocizza e personalizza la ricognizione sul lato offensivo, comprime drammaticamente la finestra di risposta disponibile sul lato difensivo.

La supply chain come bersaglio strategico: l’anello debole è il tuo fornitore

L’offensive OSINT non si limita al perimetro diretto dell’organizzazione target. Uno dei suoi utilizzi più efficaci è la mappatura della catena di fornitura: identificare i fornitori critici, le loro integrazioni tecniche, i contratti pubblici, le partnership dichiarate. Una volta individuato l’anello più debole dell’ecosistema, l’attaccante non ha bisogno di affrontare le difese del bersaglio principale.

I dati del Unit 42 Report 2026 certificano che nel 2025 le applicazioni SaaS di terze parti sono state rilevanti nel 23% dei casi analizzati. In un’indagine documentata nel report, gli attaccanti hanno sfruttato token OAuth validi di una piattaforma commerciale compromessa per accedere agli ambienti Salesforce dell’organizzazione target. La revisione post-incidente ha rivelato quasi 100 integrazioni di terze parti collegate all’istanza, molte delle quali inattive, non monitorate o associate a ex dipendenti.

Per un threat actor che ha condotto una ricognizione OSINT accurata, l’identificazione di questa rete di trust è tutt’altro che casuale: è il risultato di settimane di analisi pubblica delle relazioni tra fornitori, dei contratti pubblicati, degli annunci di partnership. Informazioni che esistono nel dominio pubblico e che nessuno, nel frattempo, stava aggregando e interpretando con intento offensivo.

Il tema è strettamente collegato alle pratiche di threat intelligence e gestione del rischio di terze parti, su cui ICT Security Magazine ha già pubblicato approfondimenti specifici nel contesto della conformità NIS2.

La velocità come elemento sistemico

Un dato del Unit 42 Report 2026 richiede una riflessione separata: gli attaccanti cominciano a scansionare nuove vulnerabilità entro 15 minuti dall’annuncio pubblico di un CVE. In molti casi, i tentativi di exploit iniziano prima che i team di sicurezza abbiano terminato di leggere l’advisory.

Questo dato ridefinisce il problema. L’OSINT offensiva non è soltanto uno strumento per la fase preparatoria degli attacchi mirati: è anche un meccanismo di monitoraggio continuo che consente agli attaccanti di identificare opportunità in tempo reale. La stessa logica con cui un analista difensivo monitora le fonti pubbliche per anticipare le mosse degli avversari viene applicata specularmente da chi vuole sfruttarle.

Le strutture di identità digitale delle organizzazioni sono l’altra faccia del problema. Sempre secondo il Unit 42 Report 2026, le debolezze nell’identità hanno giocato un ruolo materiale in circa il 90% delle indagini condotte. Non perché le credenziali siano state rubate attraverso attacchi tecnici sofisticati, ma perché informazioni pubblicamente disponibili, abbinate a tecniche di social engineering alimentate da ricognizione OSINT, hanno reso i tentativi di compromissione dell’identità estremamente efficaci.

Questo legame diretto tra offensive OSINT e attacchi di social engineering è uno degli aspetti più critici e meno presidiati del panorama attuale.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/osint-offensivo/




Fine della copia integrale e del sequestro a “strascico”: barriere crittografiche, garanzie costituzionali e giurisprudenza

Alla 14ª Cyber Crime Conference (Roma, 6-7 maggio 2026) Pier-Luca Toselli ha ricostruito il nuovo equilibrio fra esigenze investigative e tutela dei diritti nel sequestro probatorio dei dispositivi digitali. Fra le pronunce più recenti della Cassazione, le direttive delle Procure e il DDL A.C. 1822 / A.S. 806, prende forma un sistema che archivia la cosiddetta “pesca a strascico”, ma la cui disciplina operativa resta tutt’altro che lineare.

Dalla “pesca a strascico” alla copia mirata

Pier-Luca Toselli, esperto senior in digital forensics e investigazioni digitali, con quasi trentotto anni di esperienza nella Guardia di Finanza e oggi libero professionista, ha aperto il suo intervento con un richiamo storico: gli albori della Legge 48/2008. Prima di quella legge le perquisizioni informatiche si risolvevano spesso in un “sequestro indiscriminato”. Si entrava in casa di un soggetto, si portava via tutto ciò che lampeggiava (compresa, paradossalmente, la spia del frigorifero) e si analizzava poi in laboratorio, con calma.

Quella stagione, ha osservato Toselli, è oggi definitivamente chiusa. Il punto di svolta porta una data precisa: la Cass. Pen. Sez. VI n. 2234 del 20 gennaio 2026, che ha consolidato un orientamento già delineato negli anni precedenti. In tema di sequestro probatorio di dati contenuti in dispositivi informatici o telematici, il decreto del Pubblico Ministero deve contenere specifica motivazione sulla proporzionalità e adeguatezza della misura, illustrando le ragioni che rendono necessario un sequestro esteso e onnicomprensivo e indicando sia le informazioni ricercate sia i criteri di selezione del materiale archiviato nel dispositivo.

La fine della copia integrale e del sequestro a "strascico": Cass. Pen. Sez. VI n. 2234 del 20 gennaio 2026 - Cyber Crime Conference, Pier-Luca Toselli
La fine della copia integrale e del sequestro a “strascico”: Cass. Pen. Sez. VI n. 2234 del 20 gennaio 2026

Soprattutto, “il sequestro probatorio non può assumere valenza meramente esplorativa”: non essendo, nel disegno del legislatore, un mezzo di ricerca della notizia di reato, ma solo della sua conferma.

I principi consolidati dalla giurisprudenza

Sui principi che oggi presidiano l’acquisizione probatoria digitale Toselli ha richiamato in particolare la Cass. Pen. Sez. VI n. 24671 del 4 luglio 2025 e la Cass. Pen. Sez. II n. 33657 del 13 ottobre 2025:

  • illegittimità del sequestro indiscriminato;
  • principio di proporzionalità e adeguatezza;
  • divieto di acquisizione esplorativa;
  • criteri di selezione e limiti temporali;
  • meccanismo di copia-mezzo e restituzione.

L’insieme di questi vincoli viene sintetizzato dal relatore con l’acronimo TPA: temporaneità, proporzionalità e adeguatezza del sequestro. Per anni, ha osservato, “siamo stati abituati alla ricerca del reato a seguito dell’esame di tutte le prove acquisite in un determinato procedimento”: capita ancora che da una perquisizione per evasione fiscale si arrivi a fattispecie del tutto diverse. Quel paradigma esplorativo è oggi giuridicamente insostenibile.

La selezione rapida dei dati e la sentenza 170/2023

Sul versante della tempistica, Toselli ha richiamato la Corte Costituzionale n. 170 del 2023, che impone, nel caso del sequestro probatorio di dispositivi informatici, una rapida selezione dei dati e la celere restituzione al titolare di tutto ciò che non è pertinente. Lo ha poi collegato alla Cass. Pen. Sez. VI n. 543 dep. 8 gennaio 2026, secondo cui la valenza costituzionale del principio di proporzionalità non consente “zone franche”: la proporzione temporale del vincolo reale deve essere valutata già al momento dell’adozione della misura cautelare reale, nei limiti di una ragionevole previsione.La fine della copia integrale e del sequestro a "strascico": Cass. Pen. Sez. VI n. 543 dep. 8 gennaio 2026 - Cyber Crime Conference, Pier-Luca Toselli La fine della copia integrale e del sequestro a “strascico”: Cass. Pen. Sez. VI n. 543 dep. 8 gennaio 2026

In questo quadro la Cass. Pen. Sez. III n. 3350 del 28 gennaio 2026 ha precisato i contenuti minimi della motivazione: il PM deve indicare specificamente, anche in modo conciso, le ragioni che rendono necessaria la limitazione della disponibilità dei dati, le informazioni ricercate e i criteri di selezione rispetto al reato contestato. La stessa pronuncia ha escluso un termine perentorio per la selezione.La fine della copia integrale e del sequestro a "strascico": Cass. Pen. Sez. III n. 3350 del 28 gennaio 2026 - Cyber Crime Conference, Pier-Luca Toselli La fine della copia integrale e del sequestro a “strascico”: Cass. Pen. Sez. III n. 3350 del 28 gennaio 2026

Sarebbe inevitabilmente approssimativo, condizionato da variabili tecniche come la difficoltà di accesso o il reperimento di consulenti; ha però confermato che la durata del sequestro deve essere limitata al tempo strettamente necessario alle operazioni tecniche, lasciando all’interessato la facoltà di richiedere la restituzione del dispositivo dopo un periodo congruo (indicativamente dieci giorni) e di proporre opposizione ex art. 263 c.p.p. in caso di rifiuto.

Il messaggio operativo è netto: non è più pensabile sequestrare dispositivi, riporli in un armadio e analizzarli con calma nei sei mesi delle indagini preliminari. La selezione deve avvenire in tempi rapidi, espellendo dal compendio digitale tutto ciò che non riguarda il procedimento.

Copia-mezzo e copia-fine: il modello operativo

Una parte centrale dell’intervento è dedicata alla distinzione fra copia-mezzo e copia-fine, che oggi regge l’intera procedura. La copia-mezzo è la copia forense bit a bit del dispositivo (la classica copia fisica, quando tecnicamente possibile): sulla sua base viene poi effettuata la selezione dei dati pertinenti. Da quella selezione nasce la copia-fine, ovvero il sottoinsieme di elementi rilevanti per il procedimento, destinato al dibattimento. La copia integrale, in altre parole, non è più la prova finale ma uno strumento funzionale alla selezione dei dati pertinenti e alla restituzione del dispositivo.

Il valore probatorio della copia-mezzo è garantito dall’integrità del dato, verificata tramite hash. È proprio sulla fase di selezione, però, che si annidano le maggiori criticità pratiche: la fallibilità di una ricerca per parola chiave o per data è evidente per chiunque abbia esperienza del settore, e la lettura incrociata dei dati richiede inevitabilmente il contributo conoscitivo sia dell’accusa sia della difesa.

Le criticità: tecniche e giuridiche

Sul piano tecnico Toselli ha richiamato un insieme di nodi ormai strutturali:

  • collaborazione della persona: senza il contributo dell’utente, la crittografia rende oggi spesso impossibile un’acquisizione piena dei dati e la successiva selezione;
  • forme di sicurezza dei dispositivi, sempre più stratificate;
  • utilizzo diffuso della crittografia;
  • eterogeneità di modelli e sistemi operativi.

Sul piano giuridico, invece, le criticità nascono dal continuo attrito fra le esigenze investigative e i principi TPA. In un contesto in cui, come ha rilevato con franchezza il relatore, “tante volte la legge viene fatta dalla giurisprudenza”, e ciò non è del tutto corretto.

Il mosaico delle direttive delle Procure

A complicare il quadro si sono aggiunte le direttive emanate da diverse Procure (Torino, Trento, Roma, Cagliari, Bari) per orientare l’attività della polizia giudiziaria nei rispettivi territori. Pur con sfumature diverse, queste direttive condividono alcuni tratti di fondo:

  • il riconoscimento dell’importanza delle prove digitali e della copia forense a supporto delle indagini;
  • una sequenza procedurale tipica che prevede sequestro del dispositivo, formazione della copia forense, immediata restituzione del dispositivo, qualificazione del sequestro dell’originale come strumentale e temporaneo, esecuzione dell’analisi investigativa sulla copia forense e successiva selezione che porta prima alla copia-mezzo e poi alla copia-fine;
  • il rispetto del principio di proporzionalità e pertinenza, il divieto di “mandato esplorativo”, la gestione attenta dei dati personali e sensibili, la gestione delle notizie di reato diverse emerse incidentalmente e il ruolo centrale del Pubblico Ministero.

Il problema, ha rilevato Toselli, è che pratiche e qualificazioni cambiano da Procura a Procura: a oggi non è chiaro nemmeno se queste operazioni debbano essere svolte come accertamenti irripetibili ex art. 359 c.p.p. oppure con le garanzie dell’art. 360 c.p.p.. “Se stamattina dicevamo che servirebbe una certa omogeneizzazione a livello europeo”, ha osservato, “probabilmente non l’abbiamo neanche a livello regionale”.

Messaggistica e corrispondenza: il riallineamento giurisprudenziale

Un capitolo specifico è stato dedicato alla qualificazione giuridica della messaggistica. Toselli ha richiamato la Cass. Pen. Sez. II n. 33657 del 13 ottobre 2025, secondo cui è illegittimo il decreto di sequestro probatorio di un telefono cellulare con il quale il Pubblico Ministero acquisisca la totalità dei messaggi, filmati e fotografie ivi contenuti, senza indicare le ragioni per le quali, ai fini dell’accertamento dei reati ipotizzati, si renda imprescindibile l’integrale verifica di tutti i predetti dati e si giustifichi, nel rispetto del principio di proporzionalità, un così penetrante sacrificio del diritto alla segretezza della corrispondenza.

La svolta sostanziale è arrivata con la Corte Costituzionale n. 170 del 2023, che ha stabilito come lo scambio di messaggi elettronici (e-mail, SMS, WhatsApp) rientri pienamente nella nozione di “corrispondenza” tutelata dall’art. 15 della Costituzione: la natura di corrispondenza persiste anche dopo la ricezione (la cosiddetta “dimensione statica”), finché il messaggio conserva un carattere di attualità e interesse per i corrispondenti.

Su questa traccia si è mossa la Cass. n. 25549 del 15 maggio 2024, che ha recepito l’orientamento della Consulta affermando la persistenza della natura di corrispondenza anche dopo la ricezione e ricondotto il sequestro alle forme dell’art. 254 c.p.p.. Come ha ricordato il relatore, l’art. 254 c.p.p. vieta alla polizia giudiziaria di accedere al contenuto dei messaggi nel momento stesso del sequestro: il dispositivo deve essere consegnato all’autorità giudiziaria, unica legittimata a verificarne il contenuto. La Cass. Pen. Sez. VI n. 13585/2025 ha poi precisato che l’accesso ai dati di un dispositivo informatico a fini di indagine penale richiede il controllo di un giudice o di un organo amministrativo indipendente e terzo rispetto all’organo richiedente.

Toselli ha tuttavia segnalato il nodo operativo: stabilire quando un messaggio conservi un “carattere di attualità e interesse per i corrispondenti” è una valutazione che rischia di scivolare nel terreno strumentale e si presta a letture divergenti fra accusa e difesa. Il parallelo è quello, ben noto a chi ha fatto digital forensics da prima, dell’antica diatriba sull’e-mail “aperta” e “chiusa”: una distinzione che dal lato informatico è sempre stata, in fondo, un nonsenso.

Le prospettive di riforma: il DDL A.C. 1822 / A.S. 806

L’attuale quadro normativo (artt. 253 e 254 c.p.p., L. 48/2008) è ormai considerato inadeguato a disciplinare il sequestro dei dispositivi informatici e le indagini sui dati digitali, e lascia ampi margini di discrezionalità e incertezza. In questo contesto si inserisce la proposta comune sul DDL A.C. 1822 / A.S. 806, che mira a colmare le lacune introducendo nel codice di procedura penale il nuovo art. 254-ter dedicato specificamente al sequestro di dispositivi, sistemi informatici, dati e comunicazioni. La proposta prevede una riserva di giurisdizione per il sequestro del dispositivo (decreto motivato del GIP su richiesta del PM, con deroga per urgenza e successiva convalida) e introduce discipline distinte per l’acquisizione e l’analisi dei dati comunicativi e non comunicativi.

L’impianto della riforma, ha riassunto Toselli, ruota intorno ad alcuni assi principali:

  • semplificazione delle procedure e ampliamento dell’utilizzabilità delle prove digitali, ormai strategiche in ogni indagine;
  • equilibrio fra tutela dei diritti ed efficacia investigativa;
  • diritto al contraddittorio e ruolo della difesa, con partecipazione effettiva non solo nella fase di analisi ma anche in quella di acquisizione della prova digitale.

Su quest’ultimo punto Toselli si è soffermato con particolare attenzione. La difesa dovrebbe disporre di controllo tecnico tempestivo, di accesso alle copie forensi dei dati e della possibilità di contestare ricostruzioni non corrispondenti.

A questo si affianca la proposta di un rafforzamento del ruolo del GIP in passaggi critici: accesso a dati remoti (Cloud) subordinato a previa autorizzazione del GIP, data la delicatezza e l’ampiezza di tali dati; controllo ex ante o validazione giudiziale ex post per la deroga alla duplicazione ordinaria ex art. 254-ter co. 10 in caso di urgenza; introduzione di una fase partecipata post-duplicazione per la difesa e la persona offesa nella selezione dei dati operata dal PM; oppure, in alternativa, proroga del termine per l’esame e verbalizzazione accurata delle operazioni, con verifica e autorizzazione del giudice.

Sul versante della perquisizione informatica (art. 247 c.p.p.) la proposta normativa, nella sua attuale formulazione, lascerebbe il potere ancora in capo al Pubblico Ministero, con il rischio di eludere le nuove garanzie previste per il sequestro: la perquisizione digitale comporta di fatto una duplicazione non sorvegliata. Per questo si propone che ogni perquisizione di dispositivo digitale richieda previa autorizzazione del GIP, data la sua natura invasiva. Analogamente, in caso di perquisizioni o sopralluoghi d’iniziativa della polizia giudiziaria su dispositivi digitali ex artt. 352 e 354 c.p.p., la comunicazione al PM dovrebbe essere seguita da una richiesta di convalida al GIP, sullo schema dell’art. 254-ter co. 4.

Un “accertamento irripetibile anticipato”?

Toselli ha proposto una lettura suggestiva del nuovo assetto: la riforma, di fatto, configurerebbe una sorta di “accertamento irripetibile anticipato“. La perquisizione è l’atto irripetibile per antonomasia: consentire l’intervento della difesa fin dalle primissime fasi (eventualmente con l’ausilio di un consulente tecnico) diventa cruciale anche in sede di selezione dei dati, dove un identico smartphone, una identica messaggistica e una identica chat possono essere letti in modo radicalmente diverso a seconda dell’angolazione.

Il relatore ha però segnalato anche un nodo critico: la formulazione attuale rischia di tradursi in passaggi davanti al GIP non solo per la selezione copia-mezzo / copia-fine, ma anche per la legittimità stessa del sequestro (rispetto dei canoni TPA). Inoltre l’introduzione di termini molto stringenti (si parla di cinque giorni) appare poco realistica per chi conosce la procedura penale: in cinque giorni non si fanno neanche le notifiche, figurarsi un’attività di questo tipo davanti al GIP.

La riforma merita grande attenzione da parte di tutti gli operatori: è infatti già stato richiesto un intervento da numerose autorità, personalità accademiche, esperti e consulenti informatici. L’obiettivo non è “tifare” per l’accusa o per la difesa, ma evitare che le pieghe degli esiti politici portino a soluzioni che non aiutino né l’una né l’altra.

Una riflessione finale: oltre lo smartphone

In chiusura Toselli ha lasciato uno spunto destinato a pesare sulle prossime stagioni regolatorie e operative. Se questo è il livello di complessità richiesto dalla disciplina del sequestro di uno smartphone o di un hard disk (oggetti che il relatore ha definito, licentia poetica, “qualcosa di morto”), è facile immaginare il salto di scala che attende gli operatori quando l’oggetto delle indagini sarà costituito da attacchi generati da intelligenza artificiale e da agenti di intelligenza artificiale: scenari in cui, come emerso nel corso della stessa Conference, già oggi non si è in grado di ricostruire con certezza nemmeno l’origine dell’attacco.

Il messaggio che esce dall’intervento è di lucida preoccupazione professionale. Il sistema italiano sta uscendo dalla stagione del “sequestro a strascico” grazie a una giurisprudenza coraggiosa, ma sta entrando in una fase in cui il dettaglio operativo (chi fa che cosa, in che termini, con quali garanzie e con quale controllo del GIP) resta ampiamente da scrivere. E le tecnologie corrono più veloci della procedura.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/copia-integrale-copia-mezzo/




Sanzioni cyber e diplomazia coercitiva: il framework UE alla prova dei fatti

Dall’adozione del Regolamento 2019/796 a oggi, l’Unione Europea ha costruito un arsenale di sanzioni cyber inedito nel dominio cibernetico. Sei anni di applicazione rivelano tanto le potenzialità di questo strumento quanto le sue contraddizioni strutturali, in un contesto geopolitico che non lascia spazio alla compiacenza.

Un regime sanzionatorio per il cyberspazio: le fondamenta normative

Quando nel maggio 2019 il Consiglio dell’Unione Europea adottò la Decisione (PESC) 2019/797 e il Regolamento (UE) 2019/796, compì un passo che fino a poco prima sarebbe sembrato improbabile: dotarsi di uno strumento giuridico autonomo per rispondere ad attacchi informatici di origine extraeuropea. Il framework consente all’UE di imporre sanzioni nei confronti di persone o entità responsabili di attacchi cyber o tentati attacchi, di chi fornisce supporto finanziario, tecnico o materiale, o è altrimenti coinvolto in tali operazioni. Le misure restrittive includono il divieto di ingresso nei territori degli Stati membri e il congelamento dei beni.

Il terreno era stato preparato due anni prima con il Cyber Diplomacy Toolbox, adottato nel giugno 2017, che delineava un catalogo di misure diplomatiche proporzionate da attivare in risposta alle minacce cibernetiche. Ma fu la sequenza di attacchi di portata sistemica (da NotPetya nel 2017 all’operazione contro l’OPCW nel 2018) a convincere gli Stati membri che serviva uno strumento più incisivo. La legislazione fu promossa con particolare impulso da Regno Unito e Paesi Bassi, entrambi colpiti da significativi attacchi informatici nei mesi precedenti all’adozione della Decisione.

Sul piano strutturale, il regime si distingue per una caratteristica fondamentale: le sanzioni possono essere adottate soltanto nei confronti di persone fisiche, giuridiche, entità o organismi distinti dallo Stato. L’UE si astiene dall’attribuire gli attacchi cyber direttamente a Stati terzi, ritenendo tale determinazione una decisione politica sovrana che ogni Stato membro deve valutare autonomamente caso per caso. Le sanzioni, concentrate su attori non statali individualmente designati, hanno natura “mirata” o “intelligente”: sono concepite per incidere su un soggetto precisamente identificato, non sull’intera popolazione di un Paese.

Questa scelta architetturale riflette una tensione irrisolta: l’UE vuole punire chi agisce, ma non vuole assumere la responsabilità politica di accusare formalmente uno Stato, una distinzione che costituisce sia una garanzia giuridica sia un limite operativo.

I casi concreti: Russia, Cina, Corea del Nord, Iran

La prima applicazione concreta del regime risale al luglio 2020, quando il Consiglio designò sei individui e tre entità. Le misure si applicarono a due cittadini cinesi e quattro russi, nonché a tre organizzazioni (una cinese, una nordcoreana e una russa), con divieto di ingresso nell’UE e congelamento dei beni, oltre al divieto di mettere fondi a disposizione delle persone e delle entità elencate.

Sul fronte russo, le sanzioni nominano l’Unità 74455 del GRU (nota nella comunità di threat intelligence come Sandworm), ritenuta responsabile dell’attacco NotPetya del 2017, che paralizzò infrastrutture in tutto il mondo causando danni superiori ai dieci miliardi di dollari secondo una valutazione della Casa Bianca. L’UE attribuisce inoltre al GRU gli attacchi alle centrali elettriche ucraine del 2015 e del 2016. Quattro membri dell’unità speciale vennero sanzionati per il tentato attacco alla rete Wi-Fi dell’OPCW nei Paesi Bassi.

Sul versante cinese e nordcoreano, individui e aziende cinesi vennero collegati all’operazione Cloud Hopper (2017-2018), mentre attori nordcoreani furono ricondotti all’attacco WannaCry e alle operazioni del gruppo APT38/Lazarus.

Il regime ha conosciuto una progressiva espansione. Il 27 gennaio 2025 il Consiglio ha adottato misure restrittive nei confronti di tre ufficiali del GRU dell’Unità 29155 (Nikolay Korchagin, Vitaly Shevchenko e Yuriy Denisov), responsabili di una serie di attacchi informatici condotti nel 2020 contro diversi ministeri del governo estone, inclusi i Ministeri degli Affari Economici e delle Comunicazioni, degli Affari Sociali e degli Affari Esteri, con furto di migliaia di documenti riservati contenenti segreti commerciali e dati sanitari. Con quelle designazioni il regime orizzontale cyber copriva 17 individui e 4 entità.

Queste designazioni non rappresentano un’azione isolata. Furono il risultato dell’«Operation Toy Soldier», uno sforzo di controintelligence senza precedenti coordinato da 14 servizi provenienti da 10 Paesi (Australia, Canada, Cechia, Estonia, Germania, Lettonia, Paesi Bassi, UK, Ucraina e USA), che ha collegato l’Unità 29155 a numerose operazioni cyber contro l’Ucraina e i suoi alleati NATO e UE. Come ha dichiarato Tanel Sepp, direttore generale del Dipartimento di Cyber Diplomazia del Ministero degli Esteri estone, «l’attribuzione nel cyberspazio non è un compito facile, ma oggi possiamo dimostrare chiaramente che possiamo farlo e continueremo a identificare i responsabili degli attacchi contro di noi».

La svolta più significativa è arrivata il 16 marzo 2026, quando il Consiglio ha ampliato il perimetro geografico delle designazioni ben oltre la Russia. Le nuove misure colpiscono tre entità e due individui:

Integrity Technology Group (Cina), collegata al gruppo statale cinese noto come Flax Typhoon, che tra il 2022 e il 2023 ha compromesso oltre 65.000 dispositivi in sei Stati membri; Anxun Information Technology (Cina, nota anche come i-Soon), che ha fornito servizi di hacking diretti alle infrastrutture critiche degli Stati membri e di Paesi terzi; Emennet Pasargad (Iran), responsabile di attacchi informatici e campagne di manipolazione delle informazioni in Francia contro il giornale Charlie Hebdo nel 2023 e contro le Olimpiadi di Parigi 2024. I due individui designati sono co-fondatori di una delle società cinesi.

Con queste aggiunte il regime orizzontale cyber si applica ora complessivamente a 19 individui e 7 entità. È la prima volta che l’Iran viene incluso esplicitamente in questo framework. Vale anche la pena sottolineare che le due società cinesi sanzionate dall’UE erano già state precedentemente sanzionate dal Regno Unito, confermando la tendenza al coordinamento sanzionatorio tra i due partner anche nel dominio cyber.

Parallelamente al regime cyber specifico, l’UE ha sviluppato un framework più ampio per rispondere alle attività destabilizzanti russe. Nel dicembre 2025 il Consiglio ha sanzionato 12 individui e due entità per il sostegno alle minacce ibride della Russia contro l’Europa, includendo tre persone legate all’Unità 29155 del GRU e al gruppo Cadet Blizzard, che hanno preso di mira Stati membri dell’UE e alleati NATO per acquisire informazioni sensibili e destabilizzarne la situazione politica.

La lista include anche il 142° Battaglione separato di guerra elettronica, basato a Kaliningrad, responsabile di disturbi ai sistemi di comunicazione e collegato ai recenti malfunzionamenti GPS nello spazio aereo di diversi Stati membri. Con le designazioni del 16 marzo 2026 (quattro ulteriori individui per attività di propaganda e disinformazione) il framework per le attività destabilizzanti della Russia si applica complessivamente a 69 individui e 17 entità.

Il processo di attribuzione: scienza, intelligence e politica

Comprendere il funzionamento del regime sanzionatorio implica confrontarsi con il problema più complesso nel dominio cyber: chi ha fatto cosa. L’attribuzione di un attacco informatico è un processo in tre fasi: prima si identificano i computer e le reti utilizzati nell’operazione; poi si stabilisce il collegamento con le persone fisiche responsabili; infine, lo Stato o gli Stati colpiti possono decidere di agire (tipicamente attraverso sanzioni) contro i responsabili.

Questo processo non è meramente tecnico: è profondamente politico. La questione della soglia di prova richiesta per una designazione rimane opaca. A differenza di un procedimento penale, le sanzioni non dipendono in linea di principio da alcuna determinazione di colpevolezza penale, ma l’attribuzione rimane cruciale perché consente a chi irroga le sanzioni di designare la responsabilità e giustificare le misure all’opinione pubblica.

Il caso Estonia è qui esemplare. Dietro una singola attribuzione pubblica, quattro anni di indagine e un’operazione coordinata da 14 servizi di dieci Paesi. Questo solleva una questione metodologica centrale: il processo di attribuzione è tanto più credibile quanto più è multilaterale. Non è un caso che le designazioni più solide siano sempre arrivate in scia a operazioni di condivisione dell’intelligence tra partner (come appunto Operation Toy Soldier), e non da iniziative unilaterali dei singoli Stati membri.

Il coordinamento dell’attribuzione avviene prevalentemente attraverso canali bilaterali tra gli Stati membri, senza un meccanismo centralizzato a livello UE. Questo crea asimmetrie notevoli: i Paesi con agenzie di intelligence più sviluppate (Paesi Bassi, Francia, Germania, Svezia, Estonia) tendono a svolgere un ruolo da traino nell’identificazione dei responsabili, mentre altri seguono. La questione si è acuita dopo la Brexit, privando l’UE dell’expertise del GCHQ nel circuito istituzionale europeo.

Il coordinamento con USA e UK: alleanza solida, architetture distinte

Il regime sanzionatorio europeo non opera nel vuoto: si inserisce in un ecosistema più ampio di misure restrittive occidentali. La tendenza alla coordinazione è strutturale: le sanzioni del luglio 2020 contro Russia, Cina e Corea del Nord arrivarono in parallelo con analoghi annunci da Washington e Londra.

Secondo il recente policy brief dell’European Policy Centre dedicato alle cyber sanctions UE-UK, la cooperazione tra i due partner è rimasta solida dopo la Brexit e fornisce una base stabile per ulteriori collaborazioni nel dominio cyber. Il regime britannico offre maggiore agilità e integrazione operativa, supportato da robuste capacità di intelligence e legami con il settore privato, pur dipendendo in misura ancora maggiore dalla cooperazione con i partner internazionali. Il framework UE beneficia di maggiore portata regolamentare, ma è vincolato da sfide legate principalmente al coordinamento dell’attribuzione, alla condivisione di informazioni, al processo decisionale e all’enforcement.

Nel maggio 2025 la dinamica coordinata è risultata particolarmente visibile: l’UE e il Regno Unito hanno lanciato una campagna sanzionatoria coordinata per colpire l’infrastruttura di guerra ibrida della Russia, coincidendo con il 17° pacchetto sanzionatorio europeo. Tra le entità designate figurava Stark Industries Solutions, un provider di hosting russo strettamente legato all’infrastruttura cybercriminale filo-russa, utilizzato dal gruppo DDoS NoName057(16) per attacchi contro obiettivi europei. A questo riguardo, le cyber sanctions come frammentazione digitale sono state analizzate approfonditamente anche sulle nostre pagine, dove emerge come le misure restrittive tendano a ridisegnare l’architettura stessa di internet in blocchi regionali sempre più separati.

Una nota dell’EUISS del maggio 2025 sottolinea che una task force bilaterale EU-UK sulle minacce ibride agevolerebbe il coordinamento e la condivisione di intelligence, particolarmente in un momento in cui strutture multilaterali più ampie potrebbero essere percepite come un ostacolo all’azione tempestiva, con preoccupazione crescente anche in seno all’alleanza Five Eyes per quanto riguarda la condivisione di intelligence con Washington.

I limiti strutturali: la regola dell’unanimità e il problema del deterrente

La critica più ricorrente al regime sanzionatorio cyber europeo non riguarda la sua architettura normativa (sostanzialmente solida) ma la sua governance politica. Il punto debole principale è la regola dell’unanimità.

Le decisioni e i regolamenti sulle sanzioni vengono adottati dal Consiglio dell’UE all’unanimità, in base al quadro della Politica Estera e di Sicurezza Comune (PESC). Questa regola, che riflette il carattere intergovernativo della PESC, consente a un singolo Stato membro di bloccare o ritardare qualsiasi designazione. Come ha analizzato il Verfassungsblog nell’ottobre 2025, la struttura del framework sanzionatorio è concepita in due passaggi (unanimità per le decisioni di principio e voto a maggioranza qualificata per le misure di implementazione), ma nella prassi i due passaggi vengono collassati in uno, amplificando la leva di un singolo veto. Il caso emblematico è quello dell’Ungheria, il cui uso sistematico del potere di blocco è diventato il simbolo di una PESC tendenzialmente disfunzionale.

Il problema non è teorico. Tra il 2011 e il 2025 si sono registrate almeno 45 opposizioni a decisioni di politica estera, e il caso di Cipro (che nel 2020 pose il veto alle sanzioni contro la Bielorussia per fare pressione sull’UE in una disputa con la Turchia) illustra come l’unanimità venga sempre più utilizzata come leva per strappare concessioni su temi non correlati.

Oltre all’unanimità, pesano le dimensioni numeriche del regime. Diciannove individui e sette entità (i numeri attuali del regime cyber orizzontale) appaiono esigui rispetto alla scala e alla frequenza delle operazioni ostili documentate. La valutazione del CSIS di marzo 2026 sottolinea che resilienza e sanzioni mirate sono necessarie ma non sufficienti da sole, e che l’Europa deve credibilmente sviluppare una capacità offensiva cyber in tempo di guerra, impegnarsi in contromisure cyber contro le attività di guerra ibrida e comunicare entrambe le cose in modo autorevole agli avversari.

Un terzo limite strutturale riguarda l’enforcement. L’efficacia delle misure restrittive (congelamento dei beni e divieto di viaggio) dipende dall’effettiva presenza di asset nell’UE da parte dei soggetti designati. Gli operatori di intelligence dei servizi russi o i componenti delle unità GRU tipicamente non detengono conti bancari in Europa né pianificano vacanze a Parigi. La deterrenza funziona su chi ha interessi patrimoniali nell’orbita europea; ha un effetto limitato su chi opera dall’interno di apparati statali stranieri o di aziende private (in Cina e Iran) che svolgono lavoro per conto di Pechino e Teheran.

Le proposte di riforma: verso una deterrenza più credibile

La consapevolezza dei limiti ha generato un dibattito vivace sulle riforme necessarie. Il contributo più sistematico e aggiornato è il policy brief di marzo 2026 dell’European Policy Centre, dedicato alla cooperazione EU-UK in materia di cyber sanctions.

Le raccomandazioni principali includono: rafforzare il coordinamento sull’attribution policy e la condivisione di intelligence; valutare il voto a maggioranza qualificata e le coalizioni dei volenterosi per le decisioni sanzionatorie; ampliare l’esposizione pubblica e l’attribuzione come strumenti di dissuasione complementari; prendere di mira gli ecosistemi più ampi che abilitano le operazioni cyber ostili; rafforzare la cooperazione con il settore privato riducendo le dipendenze strategiche; costruire campagne sanzionatorie sostenute attorno a narrative strategiche coerenti; e migliorare l’early warning e il coordinamento strategico sulle cyber sanctions tra UE e UK.

Sul fronte del voto a maggioranza qualificata, il dibattito si è intensificato. Come ha osservato l’Institut Jacques Delors in un documento del 2025, il meccanismo attuale lascia gli Stati membri esposti al ricatto politico. In piena conformità con il Trattato, non vi sarebbe motivo di ritenere che l’adozione di misure di implementazione delle sanzioni debba avvenire all’unanimità: la distinzione tra la decisione di principio (che richiede unanimità ex art. 29 TUE) e le misure di implementazione (modificabili con voto a maggioranza qualificata ex art. 215 TFEU) potrebbe essere recuperata per ridurre la leva del singolo veto.

Sul piano operativo, la risposta europea al problema dell’attribuzione punta sempre più su un approccio “ecosistemico”: anziché designare soltanto i singoli operatori, si mira a colpire l’intera catena di supporto (infrastrutture di hosting, intermediari finanziari, piattaforme di disinformazione, fornitori di strumenti). La designazione di Stark Industries Solutions nel maggio 2025 e quelle di marzo 2026 contro Integrity Technology Group e Anxun/i-Soon (due aziende private che svolgono funzioni di hacking-as-a-service per conto di attori statali) vanno esattamente in questa direzione.

Sul fronte istituzionale, il 16 marzo 2026 il Consiglio ha approvato conclusioni sull’avanzamento della capacità dell’UE di contrastare le minacce ibride, riaffermando la determinazione dell’Unione in questo dominio e consolidando la prospettiva di un EU hybrid toolbox sempre più integrato. Emerge anche la proposta italiana: nel novembre 2025 il Ministro della Difesa Guido Crosetto ha avanzato l’ipotesi di un organismo counter-hybrid a livello UE, affiancato da un corpo nazionale denominato Arma Cyber con un organico iniziale di 1.200-1.500 unità destinato a espandersi progressivamente fino a 5.000, inclusi i riservisti.

Il contesto della guerra ibrida: sanzioni come segnale, non come soluzione

Valutare l’efficacia delle sanzioni cyber significa confrontarsi con una domanda scomoda: a cosa servono, esattamente? Se l’obiettivo è fermare gli attacchi, l’evidenza empirica non è confortante.

Nel solo dicembre 2025, la Germania ha attribuito pubblicamente vari incidenti cyber ad attori russi, tra cui un attacco dell’agosto 2024 al controllo del traffico aereo tedesco ricondotto ad APT28 e una campagna di information operations contro obiettivi tedeschi. La Danimarca ha accertato che la Russia era dietro due attacchi definiti “distruttivi e perturbatori”, tra cui uno contro un’utility idrica e uno che ha disturbato siti istituzionali durante le elezioni locali del novembre 2025. Come abbiamo già documentato nell’analisi della cybercrisi italiana del 2025, il gruppo NoName057(16) ha trasformato il cybercrime da attività criminale sporadica a operazione geopolitica sistematica, con effetti diretti anche sul tessuto istituzionale italiano.

Se invece l’obiettivo è segnalare che certe condotte sono inaccettabili e costruire una norma internazionale condivisa, le sanzioni assolvono meglio la loro funzione. Ogni designazione è anche un atto di public attribution: fissa nella documentazione ufficiale dell’UE la responsabilità di specifici individui, unità e aziende per attacchi specifici. Questo ha valore politico-diplomatico, anche se i diretti interessati raramente perdono il sonno.

Come sottolinea il rapporto del CEPA del dicembre 2025, la resilienza da sola non fermerà la guerra ibrida: gli alleati devono affiancare alla deterrenza per negazione una deterrenza per punizione. Le contromisure pratiche dovrebbero includere l’attribuzione pubblica e il naming-and-shaming, la condivisione rafforzata di intelligence NATO-UE, lo smantellamento delle reti di disinformazione e la sanzione mirata di élite e reti di supporto. Un approccio coordinato NATO-UE è essenziale per allineare le leve economiche e giuridiche europee con le capacità militari e cyber dell’Alleanza, impedendo agli avversari di sfruttare le divisioni.

Conclusioni: un framework che deve crescere

Sei anni dopo la sua istituzione, il regime sanzionatorio cyber dell’UE ha dimostrato di poter funzionare: ha prodotto designazioni concrete, ha costruito una giurisprudenza politica condivisa sull’attribuzione, ha favorito il coordinamento con partner chiave. Le ultime designazioni di marzo 2026 (con l’inclusione esplicita di Cina e Iran accanto alla Russia) segnalano la maturazione del regime verso una visione davvero multilaterale della minaccia cyber. Il fatto che il quadro giuridico sia stato prorogato fino al maggio 2028 segnala la volontà politica di mantenere e sviluppare questo strumento nel lungo periodo.

Le sfide strutturali rimangono aperte. La regola dell’unanimità espone il meccanismo alla paralisi politica. La lista dei designati è numericamente esigua rispetto alla portata delle operazioni ostili documentate. L’approccio tradizionale (sanzionare individui specifici) mostra i suoi limiti contro apparati statali che operano con sostituibilità sistemica e contro ecosistemi privati di hacking-as-a-service che proliferano in Cina, Russia e Iran.

Il futuro del framework dipenderà dalla capacità di tre evoluzioni parallele: una riforma della governance decisionale che riduca il rischio del veto singolo attraverso la corretta applicazione della distinzione tra art. 29 TUE e art. 215 TFEU; un ampliamento dell’approccio sanzionatorio verso l’ecosistema abilitante delle operazioni cyber ostili; e un rafforzamento strutturale del coordinamento intelligence con USA e UK in un momento in cui le certezze atlantiche appaiono meno scontate.

La diplomazia coercitiva nel cyberspazio non è un’alternativa alla deterrenza militare o alla resilienza difensiva: è un pezzo di un puzzle più complesso. Ma è un pezzo che l’Europa ha il dovere di tenere affilato e di usare con maggiore rapidità, coraggio e precisione di quanto la storia recente abbia dimostrato.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/sanzioni-cyber-ue/




Sicurezza delle API: il tallone d’Achille dell’economia digitale

C’è un paradosso silenzioso al cuore dell’economia digitale contemporanea. Le API (Application Programming Interface) sono l’infrastruttura nervosa che tiene in vita ogni transazione bancaria, ogni ordine di e-commerce, ogni scambio di dati sanitari, ogni richiesta di un’applicazione mobile. Sono invisibili all’utente finale, onnipresenti nel codice, fondamentali per qualunque modello di business digitale. Eppure, proprio questa ubiquità le rende il bersaglio preferito degli attaccanti moderni e, troppo spesso, il punto più trascurato dell’intera catena della sicurezza informatica.

I numeri aiutano a comprendere la dimensione del problema. Secondo il Cloudflare Radar 2025 Year in Review, l’analisi più autorevole e aggiornata disponibile, basata sull’osservazione diretta di una rete globale presente in oltre 330 città, le API rappresentano oggi più della metà di tutto il traffico web dinamico, con un’incidenza in costante crescita.

Akamai, su un campione diverso di traffico internet, stima la quota fino all’83%. Nel solo 2025, le API hanno generato oltre 11.000 bollettini di sicurezza, pari al 17% di tutte le vulnerabilità software pubblicamente divulgate in un anno. Il traffico malevolo diretto verso le API è cresciuto del 681% nell’arco degli ultimi anni, secondo il Wallarm 2026 API ThreatStats Report. Quasi il 99% delle organizzazioni ha dichiarato di aver subito almeno un incidente legato alla sicurezza delle API negli ultimi dodici mesi. Non si tratta di statistiche marginali: è la fotografia di un’infrastruttura critica sotto assedio sistematico, e di un settore che stenta ancora a rispondere con adeguata consapevolezza.

Un bersaglio su misura per gli attaccanti

Cosa rende le API un vettore così attraente? La risposta sta nella loro natura strutturale. A differenza delle applicazioni web tradizionali, un’API non ha una “porta d’ingresso” visibile: non ha un login, non ha un CAPTCHA, non ha l’interfaccia grafica che un essere umano deve attraversare. È progettata per essere consumata da macchine, e le macchine non faticano a sparare decine di migliaia di richieste al secondo. Un’organizzazione che espone API pubbliche riceve in media 10.000 attacchi al giorno. Le API GraphQL, sempre più diffuse per la loro flessibilità, hanno visto un incremento del 140% nei tentativi di abuso nel corso del 2025.

La semplicità di attacco è altrettanto allarmante. Secondo il Wallarm 2026 API ThreatStats Report, il 97% delle vulnerabilità API è sfruttabile con una singola richiesta HTTP. Il 98% è classificato come facile o banale da sfruttare. Il 59% non richiede nemmeno autenticazione. Il 30% ha già exploit pubblici disponibili nel momento stesso in cui la vulnerabilità viene divulgata. Questa combinazione di alta diffusione, alta sfruttabilità e bassa complessità trasforma le API in un terreno di caccia privilegiato per attori di ogni livello, dai criminali opportunistici alle APT sofisticate.

A questo si aggiunge la questione del rilevamento. Solo il 21% delle organizzazioni dichiara di avere capacità solide nell’identificare attacchi a livello API. Appena il 13% riesce a prevenire più del 50% degli attacchi. Gli strumenti tradizionali come i Web Application Firewall (WAF) si rivelano inadeguati: il 53% delle organizzazioni ne riconosce apertamente i limiti nella rilevazione di frodi a livello API. Siamo di fronte a un disallineamento strutturale tra la superficie esposta e le difese disponibili.

L’OWASP API Security Top 10: una mappa delle fragilità

Dal 2019, l’Open Worldwide Application Security Project pubblica la propria lista delle vulnerabilità API più critiche. La versione aggiornata al 2023, oggi il riferimento di settore, riflette un’evoluzione significativa del panorama delle minacce. L’88% degli attacchi reali sfrutta almeno una delle vulnerabilità elencate, il che rende questa tassonomia uno strumento di prioritizzazione imprescindibile per qualunque team di sicurezza.

API1:2023 – Broken Object Level Authorization (BOLA) rimane, a distanza di anni, la vulnerabilità più sfruttata nelle API. Si manifesta quando un endpoint espone dati di un oggetto senza verificare che l’utente autenticato abbia effettivamente il diritto di accedervi. Un attaccante che conosce o indovina l’identificatore di un record (un numero d’ordine, un ID paziente, un codice cliente) può semplicemente cambiarlo nella richiesta e accedere ai dati altrui. La logica è elementare; l’impatto, devastante.

API2:2023 – Broken Authentication aggrega tutte le debolezze legate alla gestione dell’identità: password deboli, token JWT mal configurati, assenza di blocco su tentativi multipli, meccanismi di reset insicuri. In questa categoria rientrano anche i frequenti errori nella gestione dei segreti: chiavi API hard-coded nel codice sorgente, token esposti in repository pubblici, credenziali condivise tra ambienti di produzione e sviluppo. Un caso emblematico, divulgato nel dicembre 2024 dal team TRIAD di CloudSEK: la scoperta di oltre 30.000 workspace Postman accessibili pubblicamente, contenenti token di accesso attivi, chiavi API reali e payload con dati sanitari e credenziali aziendali di organizzazioni in settori che vanno dalla finanza all’abbigliamento sportivo.

API3:2023 – Broken Object Property Level Authorization (BOPLA) è una novità della lista 2023, nata dalla fusione di due categorie precedenti (Excessive Data Exposure e Mass Assignment). Riconosce che il problema non è solo chi può accedere a un oggetto, ma anche quali proprietà di quell’oggetto possono essere lette o modificate. Un utente che riesce a modificare un campo come role: admin in una richiesta PUT sta sfruttando esattamente questa vulnerabilità.

API4:2023 – Unrestricted Resource Consumption riguarda la mancanza di limiti efficaci sull’uso delle risorse: assenza di rate limiting, nessun controllo sulla dimensione dei payload, nessun tetto alle query su database o ai servizi di terze parti a pagamento. Gli attacchi DDoS diretti alle API sono cresciuti del 200% nel 2025. In assenza di throttling, un attaccante può paralizzare un servizio o generare costi operativi insostenibili attraverso richieste massive e automatizzate.

API5:2023 – Broken Function Level Authorization (BFLA) colpisce quando la distinzione tra funzioni amministrative e funzioni utente non è enforcement a livello backend. Se un’API non verifica il livello di privilegio richiesto per ciascun endpoint, un utente ordinario potrebbe invocare endpoint di amministrazione semplicemente conoscendone il path.

API6:2023 – Unrestricted Access to Sensitive Business Flows è la vulnerabilità più sottile e difficile da rilevare automaticamente. Non riguarda un bug tecnico, ma l’assenza di protezione contro l’uso massiccio e automatizzato di flussi di business legittimi: acquisto di biglietti, creazione di account, pubblicazione di contenuti. Un bot che acquista in millisecondi tutti i posti di un concerto sta sfruttando questa categoria, e nessuno scanner tradizionale lo individuerà.

API7:2023 – Server-Side Request Forgery (SSRF) è una novità del 2023. Si verifica quando un’API recupera risorse remote senza validare l’URI fornito dall’utente, consentendo a un attaccante di instradare richieste verso sistemi interni, servizi di metadata cloud o endpoint protetti da firewall.

API8:2023 – Security Misconfiguration è il contenitore di una casistica vastissima: CORS permissivi, header di sicurezza assenti, messaggi di errore verbosi che rivelano la struttura interna, TLS non configurato, porte di debug esposte in produzione. I cloud provider registrano misconfigurazioni API in oltre il 30% dei casi di breach.

API9:2023 – Improper Inventory Management riguarda le cosiddette shadow API, un tema che merita un approfondimento dedicato per la rilevanza che ha assunto negli ultimi anni, come illustrato nel paragrafo seguente.

API10:2023 – Unsafe Consumption of APIs è l’unica voce della lista che capovolge la prospettiva: non riguarda i rischi di essere un provider di API, ma quelli di essere un consumer. Un’applicazione che consuma API di terze parti senza validarne l’output, senza limitare i dati elaborati e senza considerare la possibilità di un provider compromesso, eredita automaticamente le vulnerabilità di quell’ecosistema.

Il problema delle shadow API: quello che non sai che esiste

Tra tutte le sfide della sicurezza API, la gestione delle API non documentate, denominate shadow API o zombie API, è probabilmente la più sistemica e la più sottovalutata. Le shadow API sono endpoint reali, attivi, raggiungibili dalla rete, che non compaiono in nessun inventario ufficiale, non sono soggetti a test di sicurezza, non sono monitorati da nessun team. Possono essere API di vecchie versioni dimenticate durante una migrazione, endpoint di sviluppo mai rimossi in produzione, integrazioni create da team interni senza passare per il processo formale di release.

I numeri dicono che le shadow API rappresentano oltre il 20% dell’inventario API totale nelle organizzazioni enterprise. Le istituzioni finanziarie gestiscono in media 601 API e una parte rilevante di queste sfugge a qualsiasi governance attiva. Un caso paradigmatico del 2025 è quello di Stripe: attaccanti hanno individuato un endpoint legacy (/v1/sources) ancora collegato ai sistemi di validazione pagamenti, privo dei controlli di sicurezza delle API moderne, e lo hanno sfruttato per condurre una campagna massiva di card skimming su almeno 49 e-commerce compromessi. L’endpoint era un residuo dell’architettura precedente, scarsamente documentato e ignorato nei security audit. Non una vulnerabilità zero-day: un oggetto dimenticato.

Quello di Stripe non è un caso isolato. Il breach di Optus del settembre 2022 ha esposto i dati personali di quasi 10 milioni di clienti australiani, quasi un terzo della popolazione del paese, attraverso un’API priva di autenticazione rimasta accessibile da internet per circa tre mesi. Secondo l’analisi dell’Australian Communications and Media Authority (ACMA), un errore di codifica introdotto nel 2018 aveva reso inefficaci i controlli di accesso su un sottodominio, e il problema era rimasto non rilevato nonostante una correzione parziale applicata nel 2021 sul dominio principale. L’attaccante non aveva bisogno di strumenti sofisticati: l’API non richiedeva alcuna autenticazione, e i customer ID erano numerici e incrementali, rendendoli banalmente enumerabili.

Il breach che nel 2022 ha colpito Twitter è spesso descritto in modo impreciso. Non si trattava di un’API legacy dimenticata, ma di un bug introdotto nell’aggiornamento del codice di giugno 2021: la vulnerabilità consentiva a chiunque di sottomettere un numero di telefono o un indirizzo e-mail all’API della piattaforma e ricevere in risposta l’ID dell’account Twitter associato, anche quando l’utente aveva esplicitamente configurato le impostazioni di privacy per impedire questa correlazione.

Il bug fu segnalato tramite bug bounty in gennaio 2022 e corretto subito dopo; era però già stato sfruttato da almeno dicembre 2021. Un threat actor aveva creato un database di 5,4 milioni di profili, incluse informazioni private come numeri di telefono e indirizzi e-mail, poi venduto online e infine diffuso gratuitamente. Ulteriori analisi rivelarono che la stessa vulnerabilità era stata sfruttata su scala molto più ampia, portando a un dataset finale di oltre 200 milioni di account.

In entrambi i casi, come nel caso Stripe, la catena causale è identica: controlli insufficienti, endpoint dimenticati o alterati, nessun monitoraggio, nessun alert.

Breach recenti: leggere gli incidenti come segnali

L’analisi dei 60 breach API divulgati nel 2025, condotta da Wallarm nel 2026 API ThreatStats Report, restituisce un quadro per settori e categorie: software (15%), piattaforme AI (15%), vendor di cybersecurity (13%), SaaS (8%), automotive (7%), cloud services (7%). Mappati sulla tassonomia OWASP, la broken authentication è responsabile del 52% degli incidenti, mentre l’unsafe consumption di API di terze parti spiega il 27%.

Tra gli episodi più rilevanti del 2025: API di terze parti hanno esposto milioni di record presso il fornitore di servizi creditizi 700Credit; debolezze nell’autenticazione delle API Qantas hanno permesso accessi di massa non autorizzati; credenziali rubate e permessi API eccessivi hanno abilitato transazioni fraudolente su SwissBorg; server MCP esposti hanno fatto trapelare infrastrutture di agent AI su larga scala. A maggio 2025 un hacker con lo pseudonimo “ByteBreaker” ha pubblicato su forum underground la presunta raccolta di dati relativi a 1,2 miliardi di account Facebook tramite abuso di API.

Meta ha negato si tratti di un breach nuovo, sostenendo che il dataset reimpacchetti dati già divulgati nel 2021; i ricercatori di Cybernews e Hackread hanno rilevato incongruenze strutturali nella dimensione dichiarata e sovrapposizioni significative con il leak precedente. Il claim resta pertanto non verificato indipendentemente, ma l’episodio conferma il modello di sfruttamento delle API come vettore di data harvesting massivo.

Il filo conduttore è sempre lo stesso: non exploit sofisticati, non attori nation-state con capacità eccezionali, ma debolezze fondamentali (autenticazione assente o debole, autorizzazione non granulare, endpoint dimenticati, terze parti non verificate) sfruttate con strumenti automatizzati alla portata di qualunque attore.

DevSecOps e la sicurezza by design: integrare prima che sia tardi

La risposta sistemica al problema della sicurezza API non può essere post-hoc. Applicare controlli di sicurezza su API già in produzione è costoso, inefficace e spesso destinato a fallire. La strada maestra è l’integrazione della sicurezza nel ciclo di vita dello sviluppo, in quello che il settore definisce approccio DevSecOps oppure, più recentemente, shift-left security.

In pratica, questo significa che il processo di sviluppo deve includere: modellazione delle minacce nella fase di design (identificare le attack surface prima di scrivere codice); revisione del codice orientata alla sicurezza (con particolare attenzione alla gestione dei segreti, alla sanitizzazione degli input, alla corretta implementazione dell’autenticazione); test automatizzati di sicurezza nelle pipeline CI/CD (SAST per il codice sorgente, DAST per le API deployate, test specifici contro le vulnerabilità OWASP); e monitoraggio continuo in produzione, con alerting su anomalie comportamentali che potrebbero segnalare tentativi di exploitation.

Questo approccio richiede che la sicurezza non sia responsabilità esclusiva di un team separato, ma venga distribuita attraverso l’intera organizzazione di sviluppo. I developer devono conoscere le vulnerabilità OWASP API Top 10. I team di prodotto devono includere requisiti di sicurezza nelle specifiche. I team di infrastruttura devono garantire che le pipeline espongano segnali di sicurezza rilevabili. Tuttavia, secondo il 2025 State of API Security Report di Traceable AI, basato su oltre 1.500 professionisti IT e cybersecurity, solo il 14% delle organizzazioni ha attualmente una strategia formale di API posture governance. Il gap tra l’ambizione del DevSecOps e la sua attuazione pratica rimane ampio.

Un nodo critico è rappresentato dall’adozione dell’AI generativa nello sviluppo software. La pratica del cosiddetto vibe coding, generare codice API con assistenti AI senza un’adeguata revisione critica, è diventata pervasiva. Secondo Akamai, l’AI-assisted coding è associato a un aumento di misconfigurazioni, impostazioni predefinite insicure e vulnerabilità trascurate nelle API generate. Il 65% delle organizzazioni considera la GenAI un rischio da serio a estremo per la sicurezza delle proprie API. La velocità di sviluppo che l’AI permette amplifica proporzionalmente la superficie esposta se non è accompagnata da un’eguale accelerazione dei controlli di sicurezza.

PSD2, Open Banking e DORA: la sicurezza delle API come obbligo regolatorio

Nel settore finanziario, la sicurezza delle API non è solo una questione tecnica: è un obbligo normativo con conseguenze legali misurabili. La Direttiva PSD2 ha imposto alle banche europee di esporre API dedicate ai Third-Party Provider (TPP), ovvero fintech autorizzate a offrire servizi di pagamento e aggregazione di conti, con requisiti stringenti di Strong Customer Authentication (SCA), dynamic linking e identificazione tramite certificati eIDAS. In questa architettura aperta, ogni vulnerabilità su un’API bancaria è potenzialmente una violazione dei dati del cliente, una frode abilitata dalla piattaforma e una sanzione per la banca emittente.

Le penali per non conformità possono raggiungere il 4% del fatturato annuo o 5 milioni di euro, applicando il criterio più alto. Ma il quadro si è ulteriormente complicato. Con l’accordo politico su PSD3/PSR raggiunto a novembre 2025 e l’adozione formale attesa nel primo semestre 2026, cui seguirà un periodo di transizione di 21 mesi verso l’implementazione completa prevista intorno al 2027, le banche europee si trovano ora a navigare obblighi paralleli e crescenti: responsabilità ampliata per le frodi da impersonificazione, verifica obbligatoria del beneficiario (Verification of Payee), autenticazione a doppia inerenza e benchmark di performance API più severi.

Parallelamente, DORA (il Digital Operational Resilience Act, entrato pienamente in vigore il 17 gennaio 2025) ha unificato il regime di incident reporting per il settore finanziario. L’EBA ha formalmente abrogato le proprie linee guida PSD2 sulla notifica degli incidenti, sostituendole con il framework DORA. Questo cambiamento non è meramente amministrativo: significa che un breach su un’API Open Banking deve ora essere gestito attraverso il prisma della resilienza operativa digitale, con obblighi di notifica armonizzati e un orizzonte di governance che abbraccia l’intera catena tecnologica, incluse le terze parti. Va notato che questa convergenza risolve parzialmente, ma non elimina, la tensione strutturale tra PSD2 (che spinge verso l’apertura dei dati) e il GDPR (che impone la protezione dei dati personali).

Come documentato in uno studio peer-reviewed pubblicato su MDPI nel gennaio 2026, i requisiti sovrapposti di consenso e protezione dei dati creano ancora incertezza nella governance e nell’allocazione delle responsabilità tra banche e TPP, anche alla luce del quadro normativo europeo DORA e NIS2.

Sul piano tecnico, il framework FAPI 2.0 (Financial-grade API Security Profile) ha raggiunto la propria specifica finale nel febbraio 2025, diventando il riferimento per l’implementazione sicura di API ad alto valore. FAPI 2.0 richiede l’uso di Pushed Authorization Requests (PAR), PKCE per tutti i client e token sender-constrained tramite mTLS o DPoP. Il 75% delle banche europee ha già adottato lo standard NextGenPSD2 del Berlin Group.

PCI DSS 4.0.1, diventata l’unica versione attiva dall’aprile 2025, è il primo standard PCI a citare esplicitamente le API come oggetto di controlli di sicurezza: il Requisito 6.4.2 impone soluzioni automatizzate davanti alle API pubbliche per rilevare e prevenire attacchi; il Requisito 6.3.2 richiede un inventario completo di tutto il software custom incluse le API. La non conformità comporta sanzioni tra 5.000 e 100.000 dollari al mese.

La frammentazione persistente nella qualità delle implementazioni rimane una fonte di rischio documentata dalla stessa Commissione Europea, che ha rilevato significative discrepanze negli standard API tra istituti diversi: un problema che PSD3 punta a risolvere attraverso benchmark di performance più stringenti e l’eliminazione definitiva del fallback allo screen scraping.

Verso una maturità sistemica: cosa manca ancora

Osservando il panorama nel suo insieme, la distanza tra il livello di esposizione e il livello di maturità difensiva delle organizzazioni appare strutturalmente preoccupante. Il 57% delle organizzazioni ha subito un breach API negli ultimi due anni, con il 73% di queste che ne ha subiti tre o più. Il 41% dichiara cinque o più episodi. Si tratta di fallimenti sistemici, non di incidenti episodici.

La risposta richiede un cambio di paradigma su più livelli. Primo, il problema della visibilità: non è possibile proteggere ciò che non si conosce. La discovery continua delle API, incluse le shadow API, deve diventare una funzione operativa permanente, non un esercizio periodico. Secondo, il problema della governance: le organizzazioni devono trattare ogni API come un asset critico, con un ciclo di vita documentato, un responsabile identificato, test di sicurezza automatizzati e metriche di esposizione misurabili. Terzo, il problema della cultura: finché la sicurezza API è percepita come un vincolo tecnico imposto a posteriori, anziché come una proprietà architettonica costruita ab initio, il divario tra attaccanti e difensori continuerà ad ampliarsi.

Le previsioni per il 2026 non lasciano spazio all’ottimismo passivo. Akamai stima che le API diventeranno il vettore dominante per i breach a livello applicativo, potenzialmente responsabili di più della metà di tutti gli attacchi alle applicazioni. Il Model Context Protocol, l’infrastruttura che collega gli agenti AI alle API esterne, ha già accumulato 315 vulnerabilità documentate nel 2025, pari al 14,4% di tutte le vulnerabilità AI, con una crescita del 270% tra il secondo e il terzo trimestre. L’interconnessione crescente tra sistemi AI agentici e API di business apre una superficie d’attacco che oggi non è ancora pienamente compresa né adeguatamente presidiata.

Conclusione

Le API sono, nel senso più letterale, i punti di connessione dell’economia digitale. Sono ciò che permette a una banca di condividere i dati di un cliente con un’app fintech, a un ospedale di integrare i referti con un sistema di telemedicina, a una supply chain di coordinare ordini e spedizioni in tempo reale. La loro sicurezza non è un problema tecnico tra gli altri: è una condizione necessaria per la fiducia digitale su cui si regge l’intero ecosistema.

Il paradosso è che questa centralità non si traduce ancora in un’attenzione proporzionale. Le organizzazioni investono in perimetri, in endpoint protection, in SIEM sofisticati e lasciano le API senza inventario, senza test, senza monitoraggio. Solo il 14% ha una strategia formale di governance. Meno di una su cinque riesce a rilevare con sufficiente efficacia gli attacchi che la colpiscono. Gli attaccanti hanno capito dove si trova il valore. La domanda è se le organizzazioni abbiano la stessa chiarezza sul proprio tallone d’Achille e, soprattutto, se abbiano la volontà di trasformare quella consapevolezza in azione prima che sia il prossimo breach a farlo decidere per loro.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/sicurezza-delle-api/




AI-OSINT: quando l’intelligenza artificiale ridefinisce i confini dell’intelligence aperta

L’Open Source Intelligence non è mai stata soltanto una questione di strumenti. È sempre stata, prima di tutto, una questione di metodo: la capacità di trasformare frammenti di informazione pubblica in conoscenza operativa, passando attraverso raccolta, correlazione, verifica e interpretazione. Per decenni, questo processo ha richiesto pazienza, rigore analitico e una buona dose di creatività umana. Oggi, l’intelligenza artificiale sta comprimendo in minuti ciò che richiedeva giorni, e sta aprendo possibilità analitiche che fino a poco tempo fa appartenevano alla fantascienza. Ma sta anche consegnando le stesse capacità a chi ha interesse a fare danno.

Questo è il doppio binario su cui si muove l’AI-OSINT nel 2026: uno strumento di straordinaria utilità difensiva e, al tempo stesso, un moltiplicatore di forza per gli avversari. Capire entrambe le facce non è un esercizio teorico, è una necessità pratica per chiunque lavori nel campo della sicurezza.

Il problema del volume: quando i dati superano la capacità umana

Al cuore dell’OSINT è sempre stata la capacità di usare dati pubblici per risolvere un’indagine, ma oggi il volume ha superato di gran lunga ciò che qualsiasi analista umano può realisticamente gestire. Il web indicizzato, il dark web, i social media, i registri pubblici, le immagini satellitari commerciali, le blockchain, i repository di codice aperti: la superficie informativa disponibile cresce in modo esponenziale, e con essa il rischio che segnali rilevanti si perdano nel rumore.

Secondo un’analisi peer-reviewed condotta da Riccardo Ghioni, Mariarosaria Taddeo e Luciano Floridi dell’Oxford Internet Institute, pubblicata sulla rivista AI & Society nel 2023, l’OSINT costituisce oggi tra l’80 e il 90 per cento di tutte le attività di intelligence condotte dalle forze dell’ordine e dai servizi di sicurezza in Occidente. Questo dato, già significativo, diventa ancora più rilevante se si considera che la mole di dati pubblicamente accessibili continua ad aumentare. L’analista umano, per quanto esperto, incontra un limite fisico invalicabile.

Il mercato globale dell’OSINT riflette questa centralità crescente: secondo Global Market Insights, il settore era valutato 12,7 miliardi di dollari nel 2025 e si prevede raggiunga i 133,6 miliardi entro il 2035, con un tasso di crescita annuo composto del 26,7%. Una traiettoria che segnala un’adozione sistematica, non più sperimentale, in governi, aziende e organizzazioni di sicurezza di tutto il mondo.

Con il calo del costo della potenza di calcolo e la sofisticazione crescente degli algoritmi, quantità sempre maggiori di dati possono essere acquisiti ed elaborati in tempo quasi reale. L’AI non sostituisce il ragionamento dell’analista: abbatte il collo di bottiglia che precede quel ragionamento, liberando risorse cognitive per le fasi a più alto valore aggiunto.

Cosa cambia con i modelli linguistici di grandi dimensioni

L’introduzione dei Large Language Model (LLM) nella toolchain OSINT ha segnato un salto qualitativo rispetto alle generazioni precedenti di automazione. Non si tratta più soltanto di parser e crawler: i modelli linguistici possono leggere, riassumere, tradurre, correlare e suggerire percorsi di indagine su testi non strutturati provenienti da fonti eterogenee.

Lo Stimson Center, nel webinar del 26 marzo 2026 organizzato congiuntamente dallo Strategic Foresight Hub e dall’Energy, Water, and Sustainability Program, ha esaminato come i sistemi guidati dall’AI stiano trasformando la pratica OSINT allargandone le applicazioni attraverso sicurezza, governance e sviluppo sostenibile, analizzando in particolare le pipeline che alimentano modelli di analisi con dati da social media e immagini satellitari, e i sistemi di machine learning che classificano e mappano eventi globali in tempo reale.

Il contributo dei modelli linguistici si articola su più livelli. In fase di raccolta, automatizzano la strutturazione di dati grezzi eterogenei rendendoli immediatamente utilizzabili per analisi successive. In fase di verifica, permettono di confrontare più fonti simultaneamente, incrociare affermazioni e segnalare contraddizioni: un analista che indaga su un profilo sospetto può usare strumenti AI per confrontare nomi utente, biografie e attività in tempo reale, identificando istantaneamente le discrepanze. In fase di esplorazione, suggeriscono nuovi percorsi investigativi quando le piste sembrano esaurite.

La capacità multilingue merita un cenno a parte. L’OSINT operata su scala globale si scontra sistematicamente con la barriera linguistica: la maggior parte dei segnali di interesse non è in inglese. I modelli linguistici attuali trattano questa barriera come una variabile secondaria, non come un ostacolo strutturale. Per approfondire il ruolo dell’AI nella cybersecurity difensiva si rimanda agli approfondimenti della redazione.

Il lato oscuro: i threat actor e l’OSINT potenziata dall’AI

Ogni capacità difensiva ha la sua controparte offensiva. L’AI applicata all’OSINT non fa eccezione, e i dati disponibili nel 2026 disegnano un quadro preoccupante ma anche, almeno per ora, parzialmente rassicurante nelle sue proporzioni effettive.

Per gli attori sostenuti da governi, i modelli linguistici di grandi dimensioni sono diventati strumenti essenziali per la ricerca tecnica, la definizione dei target e la rapida generazione di contenuti di phishing sofisticati. Il report trimestrale di Google GTIG del 12 febbraio 2026 documenta come gruppi legati a Corea del Nord, Iran, Cina e Russia abbiano operazionalizzato l’AI nella seconda metà del 2025, coprendo attività di oltre 57 gruppi APT distinti provenienti da almeno sedici paesi.

Il meccanismo è preciso: i threat actor usano l’AI per accelerare la reconnaissance e trasformare informazioni pubblicamente disponibili in piani di attacco pronti all’uso. Invece di passare manualmente in rassegna siti web, profili social, dati di breach e tracce tecniche, possono usare strumenti AI per sintetizzare grandi volumi di OSINT in note di targeting operative.

Gli LLM possono servire come moltiplicatori strategici durante la fase di reconnaissance, consentendo agli attori malevoli di profilare rapidamente target ad alto valore, identificare i decisori chiave nei settori della difesa e mappare le gerarchie organizzative, passando dalla reconnaissance iniziale al targeting attivo con velocità e scala prima impossibili.

Una precisazione fondamentale è però indispensabile per leggere correttamente questo scenario: GTIG specifica chiaramente che i threat actor stanno sperimentando con l’AI ottenendo guadagni di produttività, ma non stanno ancora sviluppando capacità genuinamente nuove che alterino in modo fondamentale il panorama delle minacce. L’AI agisce come acceleratore della tradecraft esistente, non come generatore di capacità radicalmente diverse.

Il blog Microsoft Security del 6 marzo 2026 ha documentato una dinamica ulteriore: sebbene non ancora osservata su larga scala, la sperimentazione con sistemi di AI agentici segnala un potenziale cambiamento nella tradecraft, dove flussi di lavoro supportati dall’AI assistono sempre più il processo decisionale iterativo e l’esecuzione di compiti, indicando un adattamento più rapido e una maggiore resilienza nelle intrusioni future. In particolare, il gruppo nordcoreano Coral Sleet ha già sviluppato un flusso di lavoro completamente AI-assistito per la creazione di lure, il provisioning di infrastrutture e il testing di payload.

Il termine agentico merita una definizione precisa. A differenza dei modelli linguistici reattivi, i sistemi di AI agentici si basano sugli stessi modelli sottostanti ma sono integrati in flussi di lavoro che perseguono obiettivi nel tempo, pianificando passi, invocando strumenti, valutando risultati e adattando il comportamento senza continui interventi umani.

Ancora più recentemente, al RSAC 2026 di aprile, Microsoft ha presentato dati che mostrano come l’AI stia riducendo le frizioni lungo l’intero ciclo di vita dell’attacco, aiutando i threat actor a fare ricerche più velocemente, scrivere lure migliori, generare o effettuare il debug di malware e triagare i dati rubati. Rimane tuttavia ancora un operatore umano nel ciclo che controlla le campagne, senza AI pienamente autonoma o agentiva che gestisca gli attacchi in modo indipendente.

Il paradosso della disinformazione: l’AI come problema e come soluzione

Esiste una tensione profonda al cuore dell’AI-OSINT che merita di essere nominata esplicitamente. L’AI genera contenuti sintetici in quantità e qualità crescenti, rendendo la verifica dell’informazione sempre più difficile. Al tempo stesso, l’AI è lo strumento principale che abbiamo per operare quella verifica su scala.

Secondo Blackdot Solutions, la disinformazione generata dall’AI e i deepfake rendono più difficile che mai fidarsi di ciò che si vede online. Nel 2026, i professionisti OSINT si trovano ad affrontare un bisogno ancora maggiore di verificare l’autenticità delle informazioni, poiché gli attori malevoli usano strumenti avanzati per manipolare i media e creare identità false convincenti. Sarà cruciale per le organizzazioni assicurarsi che i propri analisti siano addestrati a riconoscere i contenuti generati dall’AI; in caso contrario, rischiano di facilitare involontariamente attività criminali.

La conseguenza pratica è che la catena di verifica dell’OSINT non può più appoggiarsi soltanto sull’analisi semantica del contenuto: deve includere l’analisi della provenienza, della coerenza interna, della contestualizzazione storica e del confronto con fonti primarie di natura diversa. La verifica delle informazioni sulla proprietà effettiva di aziende, per esempio, richiede di confrontare quanto emerge da fonti online con registri societari di fonte ufficiale.

Questo introduce un rischio di concentrazione: chi ha accesso alle fonti migliori e agli strumenti più affidabili costruisce un vantaggio informativo strutturale rispetto a chi ne è privo. La democratizzazione dell’OSINT resa possibile dall’AI porta con sé, paradossalmente, una nuova forma di asimmetria. Il tema si intreccia strettamente con quello della threat intelligence e disinformazione già affrontato sulle pagine di questa rivista.

L’elemento umano: insostituibile, non residuale

Di fronte all’accelerazione tecnologica, si genera spesso una retorica della sostituzione che merita di essere corretta con precisione. Nonostante i progressi tecnologici, il giudizio e l’esperienza umana continueranno a definire i processi OSINT di maggior successo. La migliore difesa contro l’attività criminale guidata dall’AI sarà la combinazione di automazione intelligente e investigatori qualificati, in grado di validare i risultati e garantire gli standard etici.

Il punto non è che gli analisti umani siano superiori ai sistemi AI nei task di elaborazione massiva: non lo sono, e fingere il contrario sarebbe controproducente. Il punto è che l’AI tende a ottimizzare per pattern già noti, mentre l’analista umano è capace di riconoscere l’anomalia che non ha precedenti, di costruire contestualizzazioni che richiedono comprensione culturale profonda, di prendere decisioni in condizioni di ambiguità radicale.

Affidarsi esclusivamente all’AI per la totalità di un’indagine è rischioso a causa delle tendenze alla distorsione e alle allucinazioni. L’esperienza umana rimane cruciale per l’analisi contestualizzata, la verifica e il processo decisionale etico. Bilanciare correttamente l’efficienza dell’AI con l’intuizione umana sarà la chiave del successo nel 2026 e negli anni a venire.

La metafora più utile non è quella della sostituzione ma quella dell’amplificazione: l’AI amplifica le capacità degli analisti preparati e amplifica i limiti di quelli non preparati. Investire nella formazione degli operatori diventa, in questo contesto, una priorità tanto strategica quanto l’investimento negli strumenti.

Verso l’OSINT agentiva: cosa ci aspetta

Il 2026 segna un punto di transizione, non un punto di arrivo. La traiettoria tecnologica indica chiaramente la direzione: sistemi OSINT sempre più autonomi, capaci di monitorare superfici informative in continuo, aggiornare modelli di rischio in tempo reale e produrre intelligence azionabile senza intervento umano nelle fasi di raccolta e prima elaborazione.

Strumenti come Taranis AI navigano attraverso diverse fonti di dati per raccogliere articoli non strutturati, utilizzano il Natural Language Processing e l’AI per migliorare la qualità del contenuto e supportano la condivisione collaborativa di threat intelligence tramite integrazione con MISP. Non si tratta di prototipi di laboratorio, ma di sistemi operativi open source che ridisegnano già oggi il flusso di lavoro degli analisti.

La dimensione etica e di governance non è accessoria a questa trasformazione, ne è parte costitutiva. La convergenza tra AI e OSINT solleva importanti preoccupazioni in termini di governo, implicazioni etiche, legali e sociali, con la necessità di supervisione crescente a fronte di strumenti di analisi sempre più avanzati che richiedono poca o nessuna supervisione continua. Domande come: chi è responsabile delle conclusioni prodotte da un sistema AI-OSINT? Come si gestisce il falso positivo che innesca un’azione operativa? Come si bilancia la capacità di raccolta con il rispetto della privacy degli individui non coinvolti in attività illecite? Queste domande non hanno ancora risposte consolidate, ma richiedono risposte urgenti.

Conclusione: lucidità senza ingenuità

L’AI-OSINT non è una moda tecnologica né una promessa lontana. È una realtà operativa che sta già ridisegnando le pratiche di intelligence, sicurezza e investigazione in tutto il mondo. La sfida per i professionisti della sicurezza non è decidere se adottarla, ma come farlo con lucidità.

Lucidità significa riconoscere le capacità reali senza sovrastimarle: l’AI non elimina l’errore, lo sposta e lo trasforma. Significa comprendere che ogni strumento che rafforza il difensore sta, potenzialmente, rafforzando anche l’offensore: la simmetria dell’accesso è una caratteristica strutturale delle tecnologie generative. Significa anche tenere a mente che, come confermano sia Google GTIG che Microsoft, l’AI agisce oggi come acceleratore della tradecraft esistente e non come generatore di capacità radicalmente nuove: un dato che non va sottovalutato, ma nemmeno usato per abbassare la guardia.

Chi si occupa di sicurezza sa già che il vantaggio non si costruisce su un singolo strumento, ma sulla capacità di integrare strumenti, metodi e giudizio critico in un sistema coerente. L’AI è uno strumento potente. Usarlo bene è, ancora, una questione umana.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/ai-osint/




Data Broker e OSINT Offensivo: quando l’intelligence è in vendita

L’industria della compravendita di dati personali, le tecniche di people search e social media intelligence, i rischi per la sicurezza individuale e le contromisure per chi opera ad alto rischio.

L’ecosistema invisibile che conosce tutto di te

C’è un’industria da quasi 300 miliardi di dollari che non conosci ma che ti conosce molto bene. Sa dove abiti, dove hai abitato in passato, il nome dei tuoi familiari, il numero di targa della tua automobile, la tua storia creditizia, le tue preferenze politiche e, in alcuni casi, il percorso che percorri ogni mattina per andare al lavoro. Non è un servizio di intelligence governativo: è il mercato dei data broker, un ecosistema miliardario e sostanzialmente privo di controllo che opera nell’ombra del web commerciale, trasformando l’identità digitale di centinaia di milioni di persone in una merce negoziabile.

Il mercato globale dei data broker è stato valutato a 294 miliardi di dollari nel 2025, con proiezioni di crescita fino a 315 miliardi nel 2026, in espansione costante trainata dalla domanda di dati arricchiti in tempo reale da parte di settori che vanno dalla pubblicità digitale alla sanità, dalla finanza alla difesa.

La questione non è più teorica. Il 14 giugno 2025, Vance Boelter, 57 anni, ha ucciso la deputata statale del Minnesota Melissa Hortman e suo marito Mark nella loro abitazione, ferendo nella stessa notte il senatore statale John Hoffman e sua moglie. Nel suo SUV le autorità hanno trovato notebook con i nomi di oltre 45 funzionari statali e federali, con gli indirizzi di casa annotati accanto a ciascun nome, e una lista di 11 specifici siti di data broker, con annotazioni su quali fossero gratuiti e quante informazioni richiedessero per restituire dati dettagliati sugli individui ricercati. Non si trattava di un’operazione sofisticata: era intelligence pronta all’uso, venduta legalmente sul mercato aperto.

Il caso non è il primo del genere. Nel luglio 2020, un attaccante si presentò all’abitazione della giudice federale Esther Salas e aprì il fuoco, uccidendo il figlio Daniel Anderl e ferendo il marito. In risposta a quell’episodio, il Congresso americano approvò una legge che vieta ai data broker di rivendere informazioni personali identificabili dei giudici federali, senza tuttavia estendere tale protezione alla generalità degli individui.

Questo è il punto di partenza di ogni riflessione seria sul tema: la privacy non è un’illusione perché qualcuno l’ha violata. È un’illusione perché abbiamo collettivamente costruito un’infrastruttura progettata per renderla tale.

Anatomia di un mercato: chi sono i data broker

I data broker sono aziende che raccolgono, aggregano, elaborano e rivendono informazioni personali provenienti da fonti eterogenee: registri pubblici (atti catastali, cartelle esattoriali, registri elettorali, documenti giudiziari), piattaforme di social media, programmi fedeltà della grande distribuzione, app mobile, moduli di garanzia prodotto, tracciatori web e cookie. La grande maggioranza delle persone non sa che questa industria esiste, né che i propri dati vengono compravenduti. Eppure, poiché le informazioni trattate dai broker sono tecnicamente di pubblico dominio, l’attività non è illegale.

Il mercato si articola in tre segmenti principali, spesso sovrapposti.

Il primo è costituito dai people search engine: Spokeo, Whitepages, BeenVerified, Intelius. Sono i più accessibili e raschiano continuamente registri pubblici (registrazioni elettorali, atti di proprietà, documenti giudiziari) combinandoli con dati commerciali per costruire profili individuali completi. Per pochi euro, chiunque può acquistare nome completo, storico degli indirizzi, numero di telefono e nomi di conviventi e parenti.

Il secondo segmento comprende i data aggregator e gli enrichment provider, un livello più sofisticato orientato al mercato business-to-business: Acxiom, LexisNexis Risk Solutions, Equifax (nella sua divisione commerciale), TransUnion. Vendono «profili arricchiti» a istituzioni finanziarie, compagnie assicurative, agenzie pubblicitarie e, come documentato, ad agenzie governative.

Le forze dell’ordine possono acquisire dati di localizzazione senza ottenere mandati giudiziari, acquistandoli da broker commerciali. I criminali informatici acquistano dati personali per eseguire attacchi di social engineering mirati: con profili dettagliati possono costruire messaggi convincenti che fanno riferimento a dettagli personali specifici, aumentando drasticamente i tassi di successo rispetto a campagne generiche. I gruppi ransomware utilizzano i data broker per trovare bersagli da colpire con spear phishing e per ottenere contatti da name-dropping nelle email, rendendole più credibili.

Il terzo segmento, il più critico sul piano della sicurezza, è quello ibrido tra aggregazione di dati e intelligenza artificiale applicata al riconoscimento biometrico. Il caso emblematico è Clearview AI.

Clearview AI: quando il volto diventa una chiave di ricerca

Clearview AI rappresenta il caso più perturbante nell’intera storia del data brokerage. Fondata nel 2017, l’azienda ha sviluppato un sistema proprietario di web scraping che ha indicizzato immagini fotografiche provenienti da miliardi di pagine web pubbliche (profili social, forum, siti di notizie) costruendo un database biometrico facciale senza precedenti. Al 21 gennaio 2026, Clearview AI ha aggiornato la propria documentazione ufficiale dichiarando che il database conta ormai oltre 70 miliardi di immagini, ciascuna indicizzata tramite marker biometrici facciali che consentono di identificare qualsiasi persona rilevata in una fotografia, restituendo al ricercatore tutte le altre immagini pubblicamente disponibili di quello stesso individuo, i link alle pagine sorgente e i relativi metadati.

Il modello di business è semplice quanto inquietante: chiunque disponga di accesso alla piattaforma può caricare una fotografia di un individuo sconosciuto, scattata per strada, in un ristorante o a una manifestazione pubblica, e ottenere in pochi secondi la sua identità completa, i profili social e ogni immagine pubblica disponibile sul web. La preoccupazione fondamentale riguarda la natura non revocabile dei dati biometrici: a differenza di un numero di previdenza sociale o di un numero di carta di credito, i dati biometrici non possono essere resettati se finiscono nelle mani di un attore malevolo.

In Europa, il caso ha generato una risposta regolamentare articolata. Le autorità di Francia, Grecia, Italia e Paesi Bassi hanno imposto sanzioni per circa 100 milioni di euro complessivi a Clearview per le sue pratiche invasive. Il Garante italiano ha irrogato una multa di 20 milioni di euro nel febbraio 2022, la sanzione massima prevista dal GDPR per i casi non parametrati al fatturato, ordinando contestualmente la cancellazione di tutti i dati relativi a cittadini italiani e la nomina di un rappresentante nell’Unione europea.

La multa rimane non pagata e i dati degli italiani sono ancora presenti nei server di Clearview: il Commissario del Garante Guido Scorza ha dichiarato nel 2025 di stare lavorando con la Federal Trade Commission americana per notificare formalmente la sanzione e aprire un canale di enforcement bilaterale.

Di fronte all’incapacità delle autorità amministrative di riscuotere le sanzioni, l’organizzazione per i diritti digitali noyb ha depositato nell’ottobre 2025 una denuncia penale contro Clearview AI e i suoi dirigenti in Austria, sfruttando le disposizioni del GDPR che consentono agli Stati membri di prevedere sanzioni penali. Se la denuncia dovesse avere successo, i dirigenti di Clearview AI potrebbero rischiare il carcere ed essere ritenuti personalmente responsabili, in particolare in caso di viaggio in Europa.

Le autorità europee per la protezione dei dati non sono riuscite finora a far valere le proprie sanzioni nei confronti dell’azienda americana, consentendole di eludere di fatto la legge. Il 19 febbraio 2026, la Corte d’Appello della British Columbia ha respinto il ricorso di Clearview AI, confermando che l’azienda è soggetta alle leggi canadesi sulla privacy nonostante abbia abbandonato il mercato canadese durante le indagini.

Il paradosso finale è rivelatorio: in febbraio 2026 il 1° Comando delle Forze Speciali dell’Esercito americano, i Green Berets, ha rinnovato il contratto con Clearview AI per un potenziale impegno quadriennale, con documentazione contrattuale che specifica l’accesso a circa 50 miliardi di immagini e un’accuratezza minima del 98%. Clearview è ora definita nei documenti ufficiali del Pentagono non più un complemento sperimentale, ma un componente consolidato dell’architettura di intelligence delle operazioni speciali.

OSINT offensivo: l’intelligence che non ha bisogno di hacker

L’OSINT (Open Source Intelligence) è la disciplina di raccolta e analisi di informazioni provenienti da fonti pubblicamente accessibili. Come abbiamo approfondito in questo magazine nel nostro articolo dedicato al ruolo dell’OSINT nella sicurezza, nella sua forma difensiva si tratta di uno strumento fondamentale per i team di sicurezza: nel 2026 questa pratica è diventata una capacità core per i threat analyst e i security leader, in grado di supportare il threat modeling, il rilevamento di credenziali trapelate e la mappa delle esposizioni esterne di un’organizzazione.

Ma lo stesso arsenale di tecniche e strumenti, nelle mani sbagliate o in assenza di vincoli etici, diventa OSINT offensivo: un processo sistematico di raccolta di intelligence su individui a scopo di danneggiamento, coercizione, stalking o attacco mirato. Le tecniche operative principali che un analista OSINT e le sue tecniche conoscono nella versione difensiva trovano un corrispettivo diretto nella versione offensiva.

Il footprinting digitale consiste nella ricerca sistematica del target su motori di ricerca, social network (LinkedIn, Facebook, Instagram, X/Twitter), siti professionali, registri camerali e catastali, elenchi telefonici e archivi di notizie. Un analista OSINT esperto può costruire un profilo completo di un individuo in meno di un’ora utilizzando solo strumenti gratuiti.

Il reverse image search e riconoscimento facciale sfrutta il caricamento di una fotografia pubblica su motori di ricerca visivi o su piattaforme come Clearview AI per risalire all’identità di un individuo e aggregare tutte le sue immagini pubbliche, ricostruendo movimenti, relazioni e abitudini.

Il metadata harvesting è una tecnica spesso sottovalutata: ogni foto scattata con uno smartphone contiene metadati EXIF che possono includere coordinate GPS precise, modello del dispositivo, data e ora. Le immagini pubblicate sui social raramente vengono «purificate» di questi dati. Gli stalker usano la cosiddetta GEOINT (intelligenza geospaziale) per identificare catene montuose, insegne di negozi o architetture uniche nello sfondo dei selfie e determinare la posizione del soggetto con precisione sorprendente.

Il cross-referencing e de-anonimizzazione sfrutta la correlazione di dati provenienti da fonti diverse (un nickname usato su Reddit con un indirizzo email di un forum di nicchia, un profilo LinkedIn e un documento pubblico) per de-anonimizzare persone che credono di essere irrintracciabili.

Il data enrichment via broker API è la fase finale: i dati raccolti liberamente vengono arricchiti acquistando profili da data broker, ottenendo l’indirizzo fisico, la storia abitativa, i numeri di telefono e i nomi dei familiari conviventi.

Il risultato è quello che i professionisti della sicurezza chiamano un dossier completo: un documento strutturato che, nelle mani di un attore malevolo, è sufficiente per pianificare un attacco di spear phishing altamente personalizzato, uno stalking fisico, un’operazione di doxing o, nel peggiore dei casi, un’aggressione fisica.

I rischi reali: doxing, stalking, attacchi mirati

Le conseguenze dell’OSINT offensivo alimentato dai data broker non sono astratte. Sono misurabili, documentate e in crescita esponenziale.

Il doxing automatizzato e potenziato dall’AI. Gli strumenti di data scraping automatizzato consentono agli attori malevoli di assemblare profili personali con sforzo minimo. I media sintetici, inclusi il voice cloning e la manipolazione delle immagini, hanno abilitato false segnalazioni e impersonificazioni sempre più convincenti. Il 2025 ha visto avvertimenti dell’FBI e dei principali organi di informazione riguardo all’uso crescente di questi strumenti in campagne di harassment organizzato.

La frontiera più recente è la convergenza tra data broker e Large Language Model: storicamente il doxing richiedeva un effort significativo (navigare in oscuri siti di people search, incrociare registri pubblici, pagare piccole tariffe a vari data broker). I chatbot AI hanno rimosso questo attrito: addestrati su dataset massicci raschiati dal web aperto, incluso il contenuto di migliaia di siti di data broker, un modello linguistico mal configurato o deliberatamente abusato può diventare un motore di aggregazione OSINT in tempo reale.

Il doxing come arma politica e sociale. Circa 11,7 milioni di adulti americani (il 4% della popolazione) sono stati vittime di doxing e una persona su sei conosce un amico o un familiare che lo è stato. Il 57% degli americani evita di condividere opinioni politiche online per paura di essere colpito da operazioni di doxing. Il fenomeno si manifesta in forme sempre più organizzate: campagne di blacklisting che mettono a rischio impieghi, status legali e incolumità fisica dei bersagli.

Lo stalking fisico digitalmente potenziato. La disponibilità di informazioni di contatto sensibili pone rischi specifici per coloro che vengono presi di mira a causa della loro professione (giudici, ufficiali di polizia, procuratori, altri dipendenti governativi) nonché per le vittime di violenza domestica, che rischiano di vedere la propria nuova residenza rintracciata tramite data broker.

Gli attacchi mirati a executive e professionisti ad alto rischio. Il Security Executive Council documenta 424 incidenti di targeting di executive nel periodo 2003-2025, con la frequenza degli incidenti che ha già raddoppiato i totali del 2024 entro ottobre 2025, segnando il livello più alto mai registrato. Un terzo di tutti gli incidenti si è concluso con un ferito o una vittima. L’85% degli incidenti è di natura fisica. I profili sono costruiti attraverso data broker e poi usati per personalizzare phishing, impersonificazione e, in casi estremi, attacchi fisici programmati.

Il quadro regolatorio: avanzamenti strutturali e lacune persistenti

Sul piano normativo, il 2026 segna un momento di svolta significativo almeno per la California. Il 1° gennaio 2026, la California Privacy Protection Agency ha lanciato il Delete Request and Opt-Out Platform (DROP): un servizio pubblico senza precedenti che consente ai residenti californiani di inviare una singola richiesta di cancellazione a tutti i data broker registrati in California, completamente gratuita. I data broker sono obbligati a iniziare a processare le richieste a partire dal 1° agosto 2026, rinnovando la cancellazione ogni 45 giorni.

Sul piano regolatorio più ampio, le leggi di «seconda generazione» che vanno oltre i diritti dei consumatori per regolare i data broker, la trasparenza algoritmica e il processo decisionale automatizzato prolifereranno nel 2026. I temi di enforcement si concentreranno sul profiling algoritmico opaco, sui fallimenti di trasparenza dei data broker e sulle richieste di cancellazione non gestite correttamente.

In Europa, il GDPR fornisce una protezione strutturalmente più robusta, ma la sua applicabilità agli attori extra-UE rimane la debolezza cruciale, come dimostra paradigmaticamente il caso Clearview. Preoccupazioni di sicurezza nazionale sono emerse anche in relazione a broker che vendono informazioni su veterani e manifestanti ad avversari stranieri: l’Office of the Director of National Intelligence ha riconosciuto formalmente che questa industria può minacciare le libertà civili e la sicurezza dei cittadini americani.

Contromisure per individui ad alto rischio

La protezione dalla sorveglianza commercializzata non è un problema che si risolve con un singolo strumento o un’unica azione. Per i profili ad alto rischio, la protezione più efficace connette la rimozione dai data broker con il monitoraggio OSINT, la soppressione dell’indicizzazione e la competenza di sicurezza umana. Va considerato che anche le migliori soluzioni manuali o basate su script raggiungono un’efficacia di rimozione del 68-70%, lasciando circa uno su tre profili intatto: poiché i data broker ri-aggregano e ri-pubblicano continuamente le informazioni, anche le rimozioni riuscite richiedono manutenzione continua.

Le misure concrete si articolano su quattro livelli.

Riduzione proattiva della superficie d’attacco digitale. Audit periodico della propria presenza online: verificare cosa appare cercando il proprio nome sui principali motori di ricerca, identificare i profili sui people search engine e inviare richieste di opt-out o rimozione individuali. In Europa, gli interessati possono esercitare il diritto alla cancellazione ex art. 17 GDPR direttamente verso i data broker che trattano dati personali. Il processo richiede persistenza: i dati vengono periodicamente ri-aggregati.

Separazione tra identità fisica e identità digitale. Per professionisti ad alto rischio (magistrati, giornalisti, dirigenti aziendali, figure politiche) è essenziale che l’indirizzo fisico di residenza non sia associabile all’identità pubblica. Ciò implica l’uso di caselle postali private o servizi di domiciliazione per le comunicazioni ufficiali, l’utilizzo di indirizzi di agenti registrati per partite IVA e società e la revisione sistematica di tutti i documenti pubblici (registri catastali, visure camerali) che possono rivelare la residenza effettiva.

Igiene operativa su social media e metadati. È necessario configurare tutti gli account in modalità privata come impostazione predefinita, disabilitare la geolocalizzazione nelle applicazioni fotografiche, rimuovere i metadati EXIF dalle immagini prima della pubblicazione (tramite strumenti come ExifTool o le funzioni integrate nei sistemi operativi) ed evitare di pubblicare informazioni che rispondano alle domande di sicurezza tipiche (nome da nubile, istituto scolastico, nome dell’animale domestico). Le immagini dovrebbero essere controllate per i riferimenti a punti di riferimento fisici: gli stalker usano l’intelligenza geospaziale per identificare catene montuose, insegne di negozi o architetture uniche nello sfondo dei selfie e determinare la posizione del soggetto.

Monitoraggio continuo e risposta agli incidenti. La protezione non è un’azione una tantum ma un processo continuativo. È opportuno impostare Google Alert sul proprio nome e sulle varianti dello stesso, monitorare periodicamente i risultati di ricerca immagini inversa e, per i profili più esposti, valutare servizi specializzati di executive protection digitale che combinino rimozione dai data broker, monitoraggio del dark web e intelligence OSINT difensiva. Un’esposizione incompleta può creare un falso senso di sicurezza: un individuo che crede che i propri dati personali siano stati rimossi può essere meno vigile riguardo all’esposizione residua, mentre gli attori che prendono di mira persone di alto valore sono abili nel trovare esattamente ciò che gli strumenti automatizzati hanno mancato.

Conclusione: la privacy come scelta di sistema

Il mercato dei data broker non è un’anomalia del capitalismo digitale. È la sua espressione più coerente: la trasformazione dell’identità umana in un asset negoziabile, in assenza di regole che impongano costi reali a chi commercia in questo asset. La tendenza strutturale è chiara: l’OSINT diventerà sempre più automatizzato, più continuo e più integrato con i sistemi di rilevamento e risposta. L’intelligenza artificiale aiuterà a stabilire priorità tra i segnali, identificare correlazioni deboli e ridurre il rumore. Regolatori e organizzazioni richiederanno simultaneamente una maggiore responsabilità riguardo all’uso dei dati aperti.

La consapevolezza individuale è necessaria ma non sufficiente. Le contromisure tecniche aiutano, ma operano su un terreno strutturalmente sfavorevole: ogni dato rimosso oggi può essere ri-aggregato domani da una fonte diversa. La vera soluzione è sistemica. Richiede che la regolamentazione imponga obblighi di trasparenza, limiti all’aggregazione, diritti di cancellazione effettivamente eseguibili anche nei confronti di attori extra-UE, e sanzioni proporzionali al danno causato, non solo nei confronti delle violazioni eclatanti, ma nei confronti del modello di business stesso.

Fino ad allora, l’intelligence è in vendita. E chiunque può comprarla.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/data-broker-osint/




Cyber Resilience Act obblighi 2026: tutti gli adempimenti in vigore

Cyber Resilience Act obblighi 2026: il 2026 segna una fase decisiva nell’attuazione del regolamento europeo sulla cibersicurezza, con l’avvio dei primi adempimenti operativi per fabbricanti, importatori e distributori. Le nuove regole riguardano la gestione delle vulnerabilità, la notifica degli incidenti e la conformità dei prodotti digitali, introducendo responsabilità concrete già prima della piena applicazione del quadro normativo. L’articolo analizza le principali scadenze e l’impatto reale della normativa sulle imprese europee.

Il Regolamento (UE) 2024/2847 è entrato in vigore il 10 dicembre 2024, ma il 2026 segna il primo grande banco di prova operativo per fabbricanti, importatori e distributori: due scadenze, quella di giugno e quella di settembre, anticipano il regime completo del 2027 e introducono obblighi già oggi sanzionabili. Ecco cosa cambia davvero.

Il CRA in sintesi: perché è una svolta normativa

Il Cyber Resilience Act, ufficialmente Regolamento (UE) 2024/2847, è la prima legislazione a livello di tutta l’Unione Europea che introduce norme comuni di cibersicurezza per i produttori e gli sviluppatori di prodotti con elementi digitali, coprendo sia la componente hardware sia quella software.

L’obiettivo non è solo sanzionatorio. Il CRA introduce requisiti obbligatori di cibersicurezza per i fabbricanti, che riguardano la pianificazione, la progettazione, lo sviluppo e la manutenzione dei prodotti. Tali obblighi devono essere rispettati in ogni fase della catena del valore.

Per capire la portata della riforma, basta guardare ai numeri che l’hanno motivata. Il costo globale stimato del cybercrimine era pari a 5,5 trilioni di euro nel 2021, con molti prodotti digitali che presentano vulnerabilità diffuse e ricevono aggiornamenti di sicurezza insufficienti o incoerenti, esponendo utenti e società a rischi significativi.

Cyber Resilience Act obblighi 2026: calendario di applicazione e tre tappe

Il CRA non è entrato in vigore tutto in una volta. La struttura temporale è articolata in tre momenti distinti, ciascuno con obblighi specifici.

Il Regolamento 2024/2847 si applica dall’11 dicembre 2027, ma l’Articolo 14, sugli obblighi di segnalazione delle vulnerabilità da parte dei fabbricanti, si applica a decorrere dall’11 settembre 2026. Il Capo IV, sulla notifica degli organismi di valutazione della conformità agli articoli da 35 a 51, si applica invece a decorrere dall’11 giugno 2026.

Il 2026, dunque, non è un anno di transizione passiva: è l’anno in cui gli obblighi operativi cominciano a produrre effetti giuridici concreti.

11 giugno 2026: entra in vigore il Capitolo IV

L’11 giugno 2026 entra in vigore il Capitolo IV del CRA, che disciplina la notificazione degli organismi di valutazione della conformità.

Questa disposizione ha implicazioni dirette sulla struttura del mercato europeo della certificazione. Gli organismi che intendono operare come valutatori di conformità per i prodotti con elementi digitali devono essere ufficialmente notificati dalle autorità nazionali competenti entro questa data. Si tratta di un passaggio abilitante: senza un sistema di organismi notificati operativo, i produttori delle categorie più critiche non potrebbero completare il percorso di valutazione richiesto dal regolamento per l’accesso al mercato UE.

Per le aziende coinvolte, questo significa dover verificare con anticipo se l’organismo di certificazione prescelto abbia già avviato o completato il processo di notifica nel proprio Stato membro.

11 settembre 2026: gli obblighi di segnalazione diventano vincolanti

La scadenza più impattante del 2026 è quella di settembre. Il Regolamento (UE) 2024/2847 si applica a partire dall’11 dicembre 2027, mentre l’Articolo 14, riguardante gli obblighi di segnalazione dei fabbricanti, si applica a decorrere dall’11 settembre 2026.

Le tempistiche di notifica previste dall’Articolo 14 seguono una struttura a cascata, confermata dalla pagina ufficiale della Commissione europea dedicata agli obblighi di comunicazione del CRA.

I fabbricanti devono presentare un allarme rapido entro 24 ore dal momento in cui vengono a conoscenza della vulnerabilità e una notifica completa entro 72 ore. Una relazione finale deve essere presentata entro 14 giorni dalla disponibilità di una misura correttiva per le vulnerabilità attivamente sfruttate, ed entro un mese per gli incidenti gravi.

Un dettaglio procedurale rilevante riguarda il canale di notifica. I fabbricanti riferiscono attraverso la piattaforma unica di comunicazione del CRA (Single Reporting Platform). La notifica è indirizzata al CSIRT dello Stato membro in cui il fabbricante ha il proprio stabilimento principale e, salvo circostanze particolarmente eccezionali, le informazioni sono messe a disposizione simultaneamente dell’ENISA.

La conformità a questi obblighi di segnalazione si intreccia con quanto già previsto dalla Direttiva NIS2, che impone regimi analoghi di notifica degli incidenti agli operatori di settori critici. Le aziende soggette a entrambe le normative dovranno coordinare i propri processi interni per evitare duplicazioni e garantire la coerenza delle segnalazioni verso i diversi destinatari istituzionali.

Cosa devono fare i fabbricanti: gli obblighi strutturali

Anche se la piena applicabilità è prevista per il 2027, gli obblighi strutturali del CRA richiedono una preparazione che deve partire ora. Il regolamento introduce obblighi fondamentali: i produttori devono incorporare la sicurezza informatica nei loro prodotti fin dalla fase di sviluppo, fornendo prodotti configurati per essere sicuri di default; rimangono responsabili della sicurezza del prodotto per tutto il suo ciclo di vita; devono effettuare un’autovalutazione o ricorrere a una terza parte per dimostrare la propria conformità; e devono comunicare chiaramente le caratteristiche di sicurezza e le buone pratiche d’uso ai clienti finali.

Sul fronte della gestione delle vulnerabilità, il CRA richiede ai fabbricanti una gestione strutturata delle vulnerabilità per l’intero periodo di assistenza del prodotto, pari ad almeno cinque anni o alla durata d’uso prevista se inferiore, con l’obbligo di creare e mantenere una SBOM (Software Bill of Materials) con le dipendenze di primo livello.

Le norme tecniche armonizzate: le scadenze del 2026

Un aspetto spesso sottovalutato riguarda lo sviluppo degli standard tecnici armonizzati, senza i quali la dimostrazione sistematica della conformità al CRA risulta più complessa. La data limite per l’adozione delle norme orizzontali di tipo A e delle norme di tipo B per la gestione delle vulnerabilità è prevista entro il 30 agosto 2026. Le norme di tipo C per le singole categorie di prodotti devono essere disponibili entro il 30 ottobre 2026, mentre le norme di tipo B per le misure tecniche seguiranno entro il 30 ottobre 2027.

CEN, CENELEC ed ETSI sono i principali organismi incaricati di sviluppare questi standard su mandato della Commissione, nell’ambito della richiesta di normazione M/606 che comprende 41 norme a supporto del CRA.

Prodotti importanti e critici: le categorie ad obblighi rafforzati

Il 1° dicembre 2025 è stato pubblicato nella Gazzetta ufficiale dell’UE il Regolamento di esecuzione (UE) 2025/2392, che include la descrizione tecnica delle categorie di prodotti con elementi digitali importanti (Allegato III) e critici (Allegato IV) del CRA. I prodotti importanti con elementi digitali sono suddivisi in Classe I, che comprende ad esempio sistemi di gestione delle password, sistemi di gestione delle informazioni e sistemi operativi, e Classe II.

Per i prodotti rientranti in queste classi, la valutazione di conformità non può essere autocertificata: è obbligatorio il ricorso a un organismo notificato terzo, rendendo la scadenza dell’11 giugno 2026 ancora più strategica sul piano operativo.

Il quadro sanzionatorio: tre livelli distinti

Il testo autentico dell’Articolo 64 del Regolamento (UE) 2024/2847 articola le sanzioni su tre livelli di gravità crescente.

La non conformità ai requisiti essenziali di cibersicurezza di cui all’Allegato I e agli obblighi degli articoli 13 e 14 è soggetta a sanzioni amministrative pecuniarie fino a 15.000.000 euro o, se l’autore del reato è un’impresa, fino al 2,5% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

La non conformità agli obblighi relativi a rappresentanti autorizzati, importatori, distributori, dichiarazione di conformità, marcatura CE, documentazione tecnica e valutazione di conformità è soggetta a sanzioni fino a 10.000.000 euro o, se l’autore del reato è un’impresa, fino al 2% del fatturato mondiale totale annuo. Un terzo livello, fino a 5.000.000 euro o l’1% del fatturato, si applica per informazioni inesatte o fuorvianti fornite alle autorità.

Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Spetta agli Stati membri fissare le norme nazionali di applicazione nel rispetto di questi massimali europei.

Il CRA nel contesto normativo europeo

Il Cyber Resilience Act non opera in isolamento. Il CRA si colloca all’interno di un quadro normativo europeo in continua evoluzione e trova un forte punto di connessione con il Cybersecurity Act, che definisce il sistema europeo di certificazione della sicurezza informatica, e con la Direttiva NIS2, che impone obblighi di gestione dei rischi e notifiche di incidenti a numerosi settori strategici.

Il biennio 2026-2027 concentra l’entrata in vigore di sei normative chiave: NIS2, Cyber Resilience Act, DORA, AI Act, nuovo Regolamento Macchine e Data Act. Per le aziende italiane ed europee, questa sovrapposizione di scadenze rende necessario un approccio integrato alla compliance, evitando di trattare ciascun regolamento come un percorso separato.

Sul tema dell’interazione tra il CRA e il più ampio quadro di governance della cybersecurity europea, ICT Security Magazine ha approfondito le implicazioni del DORA e dell’AI Act per le organizzazioni italiane, offrendo un riferimento utile per chi deve gestire più obblighi normativi in parallelo.

Cosa fare adesso

Per chi produce, importa o distribuisce prodotti con elementi digitali, il 2026 non è un anno di attesa. Le priorità operative da affrontare oggi riguardano la mappatura del portafoglio prodotti rispetto alle categorie del Regolamento di esecuzione (UE) 2025/2392; la verifica dello stato di notifica degli organismi di valutazione della conformità nel proprio Stato membro entro l’11 giugno; la predisposizione di processi interni per la rilevazione e la notifica delle vulnerabilità entro le tempistiche dell’Articolo 14, ovvero 24 ore per l’allarme rapido, 72 ore per la notifica completa, 14 giorni per il rapporto finale sulle vulnerabilità attivamente sfruttate e 30 giorni per gli incidenti gravi; e infine l’avvio della SBOM per tutti i prodotti con dipendenze software rilevanti.

Il Cyber Resilience Act non chiede alle aziende di essere perfette il giorno dell’applicazione: chiede di essere pronte. E la distanza tra i due traguardi si misura in mesi, non in anni.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/cyber-resilience-act-obblighi-2026/




Cybersecurity burnout: la crisi silenziosa dei team di sicurezza

C’è una minaccia che non compare nei log di sicurezza, non genera alert sulle dashboard SIEM e non viene discussa nei consigli di amministrazione. Eppure erode la resilienza delle organizzazioni con una costanza che molti attori malevoli si sognerebbero: è il burnout dei professionisti della cybersecurity. Un fenomeno strutturale, non episodico, che nel 2025 e nel 2026 ha raggiunto dimensioni tali da rendere indifferibile una risposta sistemica.

I numeri di una crisi annunciata

I dati più recenti disegnano uno scenario allarmante. Il report The Human Cost of Vigilance di Sophos, condotto su 5.000 professionisti IT e cybersecurity in 17 paesi nel primo trimestre del 2025, ha rilevato che il 76% degli intervistati ha sperimentato cyber fatigue o burnout in modo costante, frequente o occasionale nell’arco del 2024. Il 69% ha dichiarato che il fenomeno è peggiorato rispetto all’anno precedente. Il 39% ha ammesso una riduzione della propria produttività lavorativa, il 33% un calo dell’engagement, mentre il 46% ha riferito un’ansia aumentata rispetto al rischio di cyberattacchi e violazioni dei dati.

Il report State of Cyber Risk and Exposure 2025 di Bitsight, basato su un campione di oltre 1.000 professionisti della sicurezza, ha fotografato una realtà analoga: il 47% ha dichiarato di vivere qualche grado di burnout, con oltre uno su dieci che descrive la propria condizione come acuta, vale a dire prossima all’abbandono della professione. Il report Voice of the CISO 2025 di Proofpoint si allinea su cifre simili: il 63% dei CISO ha vissuto o osservato direttamente episodi di burnout nel corso dell’anno.

I dati più aggiornati provengono dal 2026 State of the Cybersecurity Workforce Report di Seemplicity, condotto da Sapio Research su 300 responsabili della sicurezza negli Stati Uniti nel gennaio 2026 e pubblicato il 3 marzo. La ricerca documenta che i professionisti cyber lavorano in media 10,8 ore straordinarie settimanali oltre al contratto, il che equivale a una sesta giornata lavorativa. Il 45% supera le 11 ore extra a settimana, il 20% ne lavora più di 16 aggiuntive. Il 44% dichiara che il proprio ruolo è emotivamente più spossante che gratificante, una percentuale che sale al 56% tra i responsabili di livello C.

Non si tratta di statistiche isolate. Il 2026 SANS | GIAC Cybersecurity Workforce Research Report, presentato all’RSAC 2026 su un campione di 947 professionisti, responsabili HR e decision maker di sei regioni globali, documenta che il 61% delle organizzazioni registra un aumento dello stress nei team di sicurezza negli ultimi due anni. I principali fattori citati: sovraccarico di lavoro e sottodimensionamento degli organici (46%), vincoli di budget (40%) e complessità crescente delle minacce (40%).

Le cause strutturali: molto oltre la stanchezza

Sarebbe riduttivo leggere il burnout nella cybersecurity come semplice affaticamento da lavoro eccessivo. Le sue radici affondano in condizioni strutturali che nessuna misura di welfare aziendale può sanare da sola.

Alert fatigue: il paradosso della sorveglianza continua

Il Security Operations Center (SOC) è l’ambiente in cui la crisi si manifesta con maggiore intensità. La ricerca pubblicata sull’ACM Computing Surveys identifica quattro macro-cause di alert fatigue nel SOC: l’alto ritmo di generazione degli alert, il volume assoluto di notifiche, l’elevata percentuale di falsi positivi e la varietà crescente delle tipologie di minaccia, che rende rapidamente obsolete le regole di rilevamento basate su firme statiche.

I numeri operativi parlano da soli. Secondo l’AI SOC Market Landscape 2025, le organizzazioni affrontano in media 960 alert di sicurezza al giorno, con le realtà che superano i 20.000 dipendenti che ne gestiscono più di 3.000. Il SANS 2025 SOC Survey conferma che il 66% dei team non riesce a tenere il passo con i volumi in arrivo.

Una ricerca di Trend Micro, citata nell’analisi ACM, rileva che il 51% dei team SOC si sente sopraffatto dal volume degli alert, con gli analisti che spendono oltre il 25% del loro tempo a gestire falsi positivi. Il 40% degli alert non viene mai analizzato, mentre il 61% dei team ha ammesso di aver ignorato notifiche che si sono poi rivelate critiche.

L’effetto è pernicioso: l’analista si desensibilizza. Il segnale reale si perde nel rumore. E quella desensibilizzazione non è un’anomalia comportamentale: è una risposta adattiva del sistema nervoso umano a un input cognitivo insostenibile. Palo Alto Networks ricorda un caso emblematico: nella violazione Target del 2013, gli strumenti di sicurezza avevano rilevato correttamente il malware, ma gli analisti SOC, sepolti dagli alert, non avevano dato priorità ai segnali critici. Il danno fu la sottrazione di dati da oltre 40 milioni di carte di pagamento.

Understaffing e carichi asimmetrici

La carenza strutturale di talenti amplifica ogni altra causa. Il Cybersecurity Workforce Study 2024 di ISC2, condotto su un campione record di 15.852 professionisti, documenta che il 67% delle organizzazioni segnalava carenze di personale nei team di sicurezza, con un gap globale di posizioni scoperte pari a 4,8 milioni di ruoli a livello mondiale, in crescita del 19% rispetto all’anno precedente. Il report ISC2 del 2025, pubblicato a dicembre, rileva un leggero miglioramento nei livelli di organico, ma segnala per la prima volta che il problema della carenza di skill ha superato quello del puro headcount: il 59% dei professionisti indica lacune critiche o significative di competenze, contro il 44% dell’anno precedente.

La ricerca di Bitsight rileva una dinamica particolarmente rilevante: i team più piccoli sono doppiamente più esposti al burnout rispetto a quelli ben strutturati. Ma anche nei programmi ben dotati di risorse, quasi un professionista su quattro manifesta segnali di esaurimento. L’equazione è impietosa: meno personale significa carichi maggiori su chi resta, il che accelera il turnover, che a sua volta aggrava la carenza, in un ciclo autoalimentante.

Aspettative irrealistiche e cultura dell’eroismo

Un terzo vettore, spesso sottovalutato, è culturale. La cybersecurity esige una vigilanza paragonabile a quella dei controllori di volo o dei medici d’urgenza: un singolo errore può avere conseguenze catastrofiche e tracciabili. Questa responsabilità genera un carico emotivo che va ben oltre il volume di lavoro misurabile. Chi entra in questo settore lo fa spesso con forte motivazione identitaria, vale a dire con la consapevolezza di proteggere infrastrutture critiche, dati sensibili, vite umane. Quella stessa motivazione diventa combustibile per il burnout quando le condizioni organizzative non reggono il peso di quelle aspettative.

A questo si aggiunge un fenomeno emergente che James Lyne, CEO di SANS Institute, ha denominato AI fry: l’adozione massiccia di strumenti di intelligenza artificiale, pensata per alleviare i carichi di lavoro, produce paradossalmente un aumento del burnout attraverso il continuo cambio di contesto cognitivo. Come ha dichiarato Lyne all’RSAC 2026: «I rarely talk to teams that aren’t running some version of 100%». Le organizzazioni stanno sovrapponendo responsabilità di AI governance ai team di sicurezza senza ridisegnare i ruoli. Come ha osservato Ravid Circus, CPO di Seemplicity, a Help Net Security nel marzo 2026: aggiungere AI oversight senza riprogettare l’organizzazione accelera il burnout. È l’organigramma stesso che deve essere ripensato.

L’impatto sulla postura di sicurezza aziendale

Il burnout non è una questione di risorse umane. È una questione di rischio operativo. La catena di conseguenze che collega l’esaurimento dei professionisti alla vulnerabilità delle organizzazioni è documentata e misurabile.

Il report Sophos Human Cost of Vigilance documenta che il burnout riduce la produttività nel 39% dei casi e l’engagement nel 33%. Ma le conseguenze più gravi sono operative. Il 2026 SANS | GIAC Workforce Research Report documenta un dato diretto e inequivocabile: il 27% delle organizzazioni ha subìto violazioni reali come conseguenza diretta del gap di competenze e capacità nei team. Non di strumenti inadeguati, dunque, ma di persone esaurite, sopraffatte o assenti. Le lacune di skill producono anche ritardi nei progetti (57% delle organizzazioni), rallentamenti nella risposta agli incidenti (47%) e ridotta capacità di monitoraggio (42%).

Il Verizon 2025 Data Breach Investigations Report, basato sull’analisi di oltre 22.000 incidenti e 12.195 violazioni confermate, il dataset più ampio della storia del report, documenta che il ransomware è presente nel 44% delle violazioni (in crescita dal 32% dell’anno precedente) e che il coinvolgimento di terze parti è raddoppiato al 30%. Questi dati segnalano una superficie di attacco in rapida espansione che richiede team reattivi e lucidi, due qualità che il burnout erode sistematicamente.

Il Cost of a Data Breach Report 2025 di IBM, condotto dal Ponemon Institute su 600 organizzazioni globali tra marzo 2024 e febbraio 2025, fissa a 4,44 milioni di dollari il costo medio globale di una violazione e a 241 giorni la durata media del ciclo vita dell’incidente, il valore più basso da nove anni grazie all’adozione diffusa di AI e automazione. Le organizzazioni che non adottano questi strumenti, spesso proprio quelle con team sottorganico e sopraffatti, sperimentano tempi superiori ai 200 giorni, con costi medi che sfiorano i 5,49 milioni di dollari.

L’analista che ignora un alert perché ne ha già visti diecimila simili in settimana non sta fallendo come professionista: sta rispondendo razionalmente a un sistema progettato male. Il fallimento è organizzativo, non individuale.

Strategie di risposta: oltre il welfare aziendale

Le risposte efficaci al burnout nella cybersecurity richiedono un approccio a più livelli, che integri soluzioni tecnologiche, ridisegno dei processi e trasformazione culturale.

Automazione intelligente e SOAR di nuova generazione

La prima linea di difesa contro l’alert fatigue è tecnologica. Come approfondito su ICT Security Magazine nell’articolo dedicato alla security automation, le piattaforme SOAR (Security Orchestration, Automation and Response) nascono per automatizzare i task ripetitivi del SOC: triage degli alert, enrichment dei dati, lookup di threat intelligence, risposta iniziale agli incidenti. L’obiettivo è sottrarre all’analista il lavoro meccanico per restituirgli spazio cognitivo per le decisioni ad alto valore.

Le piattaforme di nuova generazione, basate su AI agentiva anziché su playbook statici, rappresentano un salto qualitativo rispetto ai sistemi tradizionali. Come sintetizza la ricerca pubblicata sull’ACM Computing Surveys, i SOC di sesta e settima generazione si muovono verso un ecosistema di collaborazione uomo-macchina in cui l’AI gestisce autonomamente correlazione, classificazione e risposta ai pattern ricorrenti, lasciando agli analisti i casi anomali, complessi o ad alto impatto strategico.

I sistemi che adottano AI-powered investigation raggiungono una copertura del 100% degli alert analizzati rispetto al 40-60% dei modelli tradizionali, con riduzioni documentate dei falsi positivi superiori al 70% nelle prime settimane di deployment. Il report IBM 2025 quantifica il vantaggio economico: le organizzazioni che utilizzano estensivamente AI e automazione nelle operazioni di sicurezza risparmiano in media 1,9 milioni di dollari sui costi di violazione e riducono il ciclo vita delle breach di 80 giorni.

Outsourcing SOC e modelli MDR

Non tutte le organizzazioni hanno la massa critica per costruire e mantenere un SOC interno di qualità. Per molte realtà, specialmente quelle medio-grandi che faticano a competere con le big tech nell’attrarre talenti, il ricorso a servizi di sicurezza gestiti (MSSP, MDR) non è una scorciatoia ma una scelta strategicamente razionale. Il report Sophos indica esplicitamente i servizi MDR come uno dei fattori più efficaci nel ridurre la cyber fatigue dei team interni.

Il trasferimento delle operazioni di monitoraggio continuativo a provider specializzati riduce il carico sui team interni, che possono concentrarsi su governance, architettura di sicurezza e gestione del rischio strategico. Questa redistribuzione dei ruoli, se ben progettata, non indebolisce la security posture: la rafforza, perché assegna ciascuna attività alla struttura che può sostenerla in modo sostenibile.

Ridisegno organizzativo e gestione del carico cognitivo

Le misure tecnologiche sono necessarie ma non sufficienti. Il problema del burnout nella cybersecurity è anche un problema di design organizzativo. Come analizzato su ICT Security Magazine nell’articolo sulle security operations aziendali, la tensione tra automazione massiva e mantenimento delle competenze umane è uno dei nodi irrisolti delle organizzazioni più mature.

La ricerca di Bitsight identifica nella visibilità sul rischio, vale a dire nella capacità di vedere, comprendere e priorizzare le minacce, il fattore che più di ogni altro correla con la resilienza psicologica dei team. Le organizzazioni dotate di asset discovery e risk monitoring strutturato mostrano un tasso di burnout del 44%, contro il 63% di quelle che ne sono prive. Sapere su cosa concentrarsi riduce l’ansia da omissione, quella paura costante di aver tralasciato qualcosa di critico, che è uno dei principali motori dell’esaurimento.

Sul piano operativo, il SANS 2025 SOC Survey ha rilevato che il 79% delle organizzazioni operative H24 sperimenta picchi di alert fatigue nelle transizioni di turno. Un dato che indica dove intervenire con processi strutturati di handover e contestualizzazione. Il monitoraggio sistematico dei carichi di lavoro degli analisti, la rotazione dei turni e la definizione esplicita di escalation path contribuiscono a distribuire la responsabilità e a ridurre il peso della vulnerabilità individuale percepita.

Cultura e responsabilità manageriale

L’ultimo, e forse più difficile, fronte di intervento è culturale. Il report Seemplicity 2026 rileva che il 43% dei CISO non riesce a prendere ferie senza accumulare stress aggiuntivo al rientro, e il 32% sperimenta regolarmente l’ansia anticipatoria della settimana lavorativa. Come ha sintetizzato Ravid Circus di Seemplicity: «This isn’t a talent retention story. It’s a system failure. The people aren’t leaving, but the system is breaking around them».

Invertire questo dato richiede che la leadership aziendale riconosca il burnout come un rischio operativo e non come un problema HR, inserendolo nel framework di gestione del rischio con la stessa serietà riservata alle minacce esterne. Questo significa metriche di benessere monitorate nei KPI di sicurezza, budget dedicati al dimensionamento adeguato dei team e una cultura che valorizzi la segnalazione precoce del sovraccarico anziché penalizzarla.

Cybersecurity burnout: una questione di sistema, non di resilienza individuale

È tentante leggere il burnout nella cybersecurity come un problema di persone che non reggono la pressione. È una lettura sbagliata e pericolosa. I professionisti della sicurezza affrontano un lavoro di guardia permanente su sistemi in costante espansione, in un panorama di minacce che si fa più sofisticato ogni anno, con organici spesso inadeguati, in un settore che non ammette errori e non dimentica quelli commessi.

Il vero rischio sistemico non è che qualcuno lasci la professione, anche se i dati sul turnover restano preoccupanti. È che migliaia di persone restino al loro posto, esaurite e desensibilizzate, gestendo le infrastrutture critiche di aziende, ospedali e istituzioni pubbliche con una frazione dell’attenzione che il loro lavoro richiede. Il SANS 2026 Workforce Report documenta con precisione questa escalation: tra le organizzazioni con significative lacune di skill, il 47% registra un aumento del burnout, il 57% subisce ritardi nei progetti critici e il 42% vede ridursi le proprie capacità di monitoraggio. Non è un problema di singoli individui: è una degradazione sistemica della security posture.

Il burnout dei team di sicurezza è una vulnerabilità. Una vulnerabilità che non compare nei rapporti di risk assessment, non viene patchata negli aggiornamenti software, non è nominata esplicitamente nei quadri normativi NIS2 o DORA. Ma che gli attaccanti, implicitamente e strutturalmente, sfruttano ogni giorno.

Affrontarla non è un atto di generosità verso i propri dipendenti. È un imperativo di sicurezza.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/cybersecurity-burnout/




AI agentica: rischi, vulnerabilità e governance dell’AI autonoma nell’era post-generativa

I sistemi di intelligenza artificiale agentica, capaci di pianificare, agire e delegare in modo autonomo, stanno ridisegnando la superficie d’attacco delle organizzazioni a una velocità che i modelli di sicurezza tradizionali non riescono a seguire. Due ricerche peer-reviewed pubblicate all’inizio del 2026, rispettivamente sull’International Journal of Information Security di Springer e come preprint IEEE su arXiv, forniscono per la prima volta un framework sistematico per la valutazione di questi rischi.

I dati di mercato confermano l’urgenza: l’88% delle organizzazioni ha già subito incidenti legati ad agenti AI, mentre la quota di deployment approvati dai team di sicurezza non supera il 15%. L’articolo analizza i vettori d’attacco emergenti, le lacune strutturali nella governance e le implicazioni operative per CISO, security architect e compliance officer.

Oltre la generazione: quando l’AI comincia ad agire

Per anni il dibattito sulla sicurezza dell’intelligenza artificiale si è concentrato sui modelli linguistici nel loro senso più semplice: sistemi che ricevono un input e producono un output, sotto supervisione umana, in un ciclo chiuso. Quella stagione è finita.

I sistemi di AI agentica, detti anche AI agents, rappresentano una discontinuità qualitativa rispetto ai chatbot e ai modelli generativi di prima generazione. Non si limitano a rispondere: pianificano sequenze di azioni, utilizzano strumenti esterni, interrogano database, scrivono ed eseguono codice, coordinano altri agenti subordinati, aggiornano i propri piani in base ai risultati intermedi. Operano su orizzonti temporali estesi, spesso senza che un essere umano intervenga tra un’azione e la successiva. Sono, a tutti gli effetti, partecipanti attivi nell’infrastruttura aziendale.

Questa autonomia è esattamente ciò che li rende preziosi per le imprese e pericolosamente esposti agli attaccanti.

La ricerca scientifica inquadra il problema

Due contributi pubblicati nei primi mesi del 2026 hanno il merito di portare rigore scientifico in un campo che, fino ad oggi, era dominato principalmente da report di vendor e analisi di mercato.

Il primo, firmato da Leo, Tan, Miao e Anand, è apparso sull’International Journal of Information Security di Springer il 4 gennaio 2026 (vol. 25, art. 23).

Il lavoro costruisce il primo framework sistematico per la valutazione del rischio specifico dei sistemi agentici. I ricercatori identificano vettori d’attacco che non trovano corrispondenza nella tassonomia tradizionale della cybersecurity: la prompt injection indiretta, in cui istruzioni malevole vengono iniettate nei dati che l’agente consuma durante l’esecuzione; il memory poisoning, che altera la memoria a lungo termine del sistema compromettendone le decisioni future; la privilege escalation non autorizzata tra agenti, che sfrutta la fiducia implicita nei protocolli di comunicazione multi-agente. Il paper si concentra in particolare sui settori ad alto rischio, finanza e infrastrutture critiche, dove l’autonomia degli agenti si combina con l’accesso a sistemi di importanza sistemica.

Il secondo contributo, di Jiang, Yang, Yang e colleghi, è disponibile come preprint arXiv con copyright IEEE (arXiv:2602.19555, sottomesso il 23 febbraio 2026). I ricercatori analizzano come i sistemi agentici basati su LLM estendano la superficie d’attacco al runtime, il momento vivo dell’esecuzione, attraverso le dipendenze da strumenti e protocolli esterni.

Tra i dati più rilevanti del paper vi è la situazione dei registri MCP (Model Context Protocol), lo standard emergente per connettere i modelli a tool e sorgenti dati: i registri non ufficiali indicizzano, secondo le analisi disponibili a inizio 2026, una quantità di server circa otto volte superiore a quella del registro ufficiale, e la distinzione tra server verificati e non è spesso tutt’altro che immediata. La supply chain degli agenti è, per larga parte, opaca.

I due paper convergono su una diagnosi comune: la sicurezza agentica richiede framework dinamici, orientati al comportamento in esecuzione, che i modelli attuali, progettati per software statico, non sono in grado di fornire.

I numeri di un’adozione senza governance

I dati di mercato del primo semestre 2026 restituiscono un quadro che, nelle sue proporzioni, non ha precedenti in nessun altro ciclo tecnologico.

Il 48% dei professionisti della sicurezza identifica l’AI agentica e i sistemi autonomi come il principale vettore d’attacco emergente del 2026, superando deepfake, identità non-human e adozione del passwordless: è quanto emerge da un sondaggio condotto da Dark Reading. L’80,9% dei team tecnici ha già superato la fase di pianificazione, passando al testing attivo o al deployment in produzione; tuttavia, solo il 14,4% di questi agenti è andato live con la piena approvazione dei team di sicurezza e IT (fonte: State of AI Agent Security 2026, Gravitee).

Il gap tra fiducia manageriale e controllo operativo è uno dei dati più rilevanti. L’82% dei dirigenti dichiara di ritenere che le policy esistenti proteggano adeguatamente l’organizzazione da azioni non autorizzate degli agenti. I dati sul campo raccontano una storia diversa: oltre la metà degli agenti in produzione opera senza supervisione di sicurezza né logging (AGAT Software, 2026). Il 48,9% delle organizzazioni non è in grado di monitorare il traffico machine-to-machine generato dai propri agenti; il 48,3% non riesce a distinguere agenti AI legittimi da bot malevoli (fonte: 1H 2026 State of AI and API Security Report, Salt Security).

L’88% delle organizzazioni ha registrato incidenti di sicurezza confermati o sospetti legati ad agenti AI nell’ultimo anno; nel settore sanitario, la percentuale sale al 92,7% (Gravitee, State of AI Agent Security 2026). Non sono scenari ipotetici che vivono nei paper accademici: sono violazioni già avvenute.

I vettori d’attacco che ridisegnano il threat model

Comprendere perché l’AI agentica sia strutturalmente più esposta rispetto alle applicazioni tradizionali richiede un cambio di prospettiva sul threat modeling.

Prompt injection indiretta e tool poisoning. Un agente non consuma solo l’input dell’utente: legge documenti, naviga pagine web, interroga API, processa output di altri sistemi. Qualunque di questi canali può veicolare istruzioni malevole. Come approfondito nella nostra analisi sulla prompt injection negli agenti AI, Invariant Labs ha documentato nel maggio 2025 un caso esemplare: il server MCP ufficiale di GitHub ha permesso a una issue malevola, inserita in un repository pubblico, di iniettare istruzioni nascoste che hanno dirottato un agente attivando l’esfiltrazione di dati da repository privati. Il punto critico è che l’agente ha eseguito l’azione attraverso un tool legittimo: nessun firewall tradizionale avrebbe potuto intercettarla.

Memory poisoning e persistenza dell’attacco. I sistemi agentici mantengono memoria a lungo termine per supportare ragionamenti complessi su sessioni estese. La corruzione di questa memoria non produce effetti immediati visibili: altera silenziosamente le premesse su cui l’agente fonda le decisioni future. È un vettore particolarmente insidioso perché i suoi effetti emergono gradualmente e sono difficili da attribuire a una singola causa.

Escalation tra agenti e cascading failure. In architetture multi-agente, un agente orchestratore può detenere le credenziali di più agenti subordinati: se viene compromesso, l’attaccante ottiene accesso a tutti i sistemi downstream. Il paper di Jiang et al. illustra come un agente ricercatore compromesso possa inserire istruzioni nascoste nell’output consumato da un agente finanziario, che quindi esegue operazioni non autorizzate. La propagazione dei fallimenti è sistemica: simulazioni condotte da Galileo AI nel dicembre 2025 hanno documentato che un singolo agente compromesso può avvelenare l’87% del processo decisionale downstream entro quattro ore.

Shadow AI e identità non-human. Studi recenti indicano che circa tre quarti delle organizzazioni devono fare i conti con utilizzo non governato di strumenti AI da parte dei propri team. Sviluppatori e product manager deployano agenti autonomamente, connettendoli a tool, server MCP e API esterne che il team di sicurezza non ha mai mappato né approvato. Ogni agente introdotto è anche una nuova identità non-human che richiede credenziali, token OAuth, accesso API: sfide che i sistemi di identity management legacy non sono stati progettati per gestire.

Il problema strutturale: sicurezza progettata per artefatti statici

La diagnosi più profonda che emerge dalla letteratura recente è di natura architettonica.

La sicurezza informatica si è sviluppata, nei suoi decenni di storia, intorno a un presupposto implicito: i sistemi da proteggere sono sostanzialmente stabili. Un’applicazione ha una configurazione, un perimetro, un insieme definito di comportamenti possibili. Le policy di sicurezza si applicano a questi confini noti.

I sistemi agentici violano questo presupposto alla radice. Non hanno comportamenti fissi: apprendono dal contesto, si adattano agli ambienti che cambiano, prendono decisioni che non erano state anticipate dai loro sviluppatori. Il perimetro da difendere non è statico: si ridisegna ad ogni ciclo di inferenza, ad ogni interazione con un tool esterno, ad ogni messaggio scambiato con un agente coordinato.

Un firewall non ferma una prompt injection. Un API gateway non impedisce a un agente sovra-privilegiato di esfiltrare dati attraverso una chiamata a tool legittima. Le categorie della sicurezza tradizionale (perimetro, accesso, autenticazione) rimangono necessarie ma non sufficienti. Richiedono un complemento: visibilità comportamentale in tempo reale sull’esecuzione degli agenti. Su questo tema si innesta anche la lettura del cybercrime 2026, che documenta come gli attaccanti stiano già sfruttando sistematicamente questa lacuna.

Le implicazioni per il quadro regolatorio europeo

L’AI agentica non è un fenomeno che si sviluppa in un vuoto normativo. Il quadro europeo in costruzione, EU AI Act, NIS2 e DORA, pone requisiti che intersecano direttamente le caratteristiche di questi sistemi, anche se nessuno di questi strumenti è stato progettato specificamente per l’agenticità.

L’EU AI Act classifica come ad alto rischio i sistemi AI che operano in settori critici (infrastrutture, finanza, salute), con obblighi di trasparenza, supervisione umana e tracciabilità delle decisioni. Un agente che opera autonomamente su sistemi finanziari o sanitari rientra in questa classificazione, con tutto ciò che ne consegue in termini di documentazione e governance del ciclo di vita. Come abbiamo già analizzato nel nostro approfondimento sull’EU AI Act e il GPAI, la scadenza del 2 agosto 2026 per i sistemi ad alto rischio è ormai prossima.

La NIS2 impone la gestione del rischio della supply chain: e la supply chain degli agenti (modelli, plugin, server MCP, dataset di training) è esattamente il vettore che la ricerca identifica come più esposto. DORA richiede test di resilienza operativa per le entità finanziarie: requisito che include, implicitamente, i sistemi AI agentici integrati nelle operazioni core.

Una singola violazione su un agente AI dispiegato in un’istituzione finanziaria potrebbe attivare simultaneamente obblighi di notifica sotto tutti e tre i regimi, con tempistiche, soglie di materialità e autorità competenti differenti. È la sfida che i compliance officer stanno iniziando ad affrontare, spesso senza gli strumenti adeguati, come mostra la convergenza normativa NIS2, DORA e CER.

Verso una security posture agentica: principi operativi

La letteratura scientifica e i dati operativi convergono su un insieme di principi che, pur non esaustivi, possono orientare l’approccio delle organizzazioni.

Il primo è il least privilege per gli agenti: ogni sistema agentico dovrebbe operare con le autorizzazioni minime necessarie per completare il proprio task. Agenti sovra-privilegiati trasformano una singola prompt injection in una compromissione dell’intero ambiente. Il secondo è la visibilità sul runtime: il monitoraggio degli agenti non può limitarsi al momento del deployment, ma deve essere continuo, comportamentale, capace di rilevare derive rispetto al comportamento atteso.

Il terzo è la governance della supply chain agentica: ogni tool, server MCP, plugin o modello esterno integrato nell’ecosistema degli agenti è un potenziale vettore e richiede lo stesso processo di vetting applicato ai vendor software tradizionali. Il quarto è la tracciabilità delle decisioni: in un contesto regolatorio che richiede audit trail, ogni azione significativa di un agente deve essere loggata con sufficiente granularità da permetterne la ricostruzione post-incidente.

Questi principi non risolvono il problema, che ha radici strutturali profonde, ma definiscono il perimetro minimo di una postura difensiva consapevole.

Conclusione

C’è una tentazione, davanti a tecnologie che si diffondono così rapidamente, di considerare i rischi come un costo accettabile dell’innovazione, come un problema che si risolverà da solo con la maturazione del mercato. La storia della cybersecurity insegna che questa scommessa raramente paga.

I sistemi agentici stanno entrando nelle infrastrutture critiche, nelle operazioni finanziarie, nelle catene di fornitura software con una velocità che non ha precedenti. La ricerca scientifica, per sua natura più lenta del mercato, sta iniziando solo ora a produrre i framework concettuali necessari per comprenderne i rischi in modo sistematico. Il divario tra adozione e governo è reale, misurabile e si sta allargando.

La domanda rilevante non è se fermare questa transizione. È se le organizzazioni, e il sistema normativo che le inquadra, saranno in grado di colmare quel divario prima che diventi la prossima grande crisi della sicurezza digitale.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/ai-agentica/