L’art. 82 del GDPR riconosce il diritto al risarcimento del danno, materiale e immateriale, derivante da violazione del Regolamento europeo sulla protezione dei dati personali. La giurisprudenza italiana, consolidata dall’ordinanza della Cassazione n. 13073/2023, subordina tuttavia il risarcimento alla prova della “serietà” della lesione, escludendo il danno in re ipsa ed esigendo il superamento di una soglia minima di gravità.

In apparente contraddizione con detto orientamento, la Corte di giustizia dell’Unione europea – da ultimo con la sentenza C-655/23 del 4 settembre 2025 – ha ribadito che l’art. 82 GDPR non richiede alcuna soglia di rilevanza: anche la semplice perdita di controllo sui dati personali o il timore di un loro uso abusivo possono integrare un danno immateriale risarcibile, purché effettivamente dimostrati.

L’articolo esamina questa contraddizione tra i due orientamenti, analizza il regime probatorio applicabile, con particolare attenzione al principio di accountability e al modello dell’art. 2050 c.c., e approfondisce, attraverso i recenti provvedimenti del Garante Privacy nei casi Postel S.p.A. (2024) e Poste Vita S.p.A. (2025), quali standard di adeguatezza delle misure di sicurezza tecniche e organizzative possano risultare determinanti sia in sede amministrativa sia in sede civile.

Introduzione

L’interpretazione della giurisprudenza sulla responsabilità civile derivante dall’illecito trattamento dei dati personali disciplinata dall’art. 82 GDPR, si rivela contraddittoria alla luce di recenti sentenze domestiche ed europee. Sullo sfondo rimangono le sentenze fondate sul previgente art. 15 cod. privacy e l’accostamento all’art. 2050 c.c. (responsabilità per attività pericolose) che la dottrina dominante (anche e soprattutto con il prepotente avvento delle applicazioni di intelligenza artificiale) continua a ritenere applicabile.

In sintesi l’art. 2050 c.c. (responsabilità per esercizio di attività pericolosa) prevede un’inversione dell’onere della prova: il danneggiato deve provare danno e nesso causale, mentre il convenuto deve fornire la prova liberatoria di aver adottato tutte le misure idonee a evitare il danno. La dottrina civilistica ha ricostruito la natura dell’art. 2050 in termini non univoci (colpa lievissima/colpa presunta/semi‑oggettiva od oggettiva), ma convergendo sul particolare rigore della prova liberatoria e sulla funzione di bilanciamento tra utilità sociale di attività rischiose e tutela dei terzi. È inoltre valorizzata l’estensione dell’art. 2050 anche a omissioni «qualificate», quando il danno derivi dal mancato approntamento di misure preventive dovute.

Nel quadro previgente, l’art. 15 del Codice privacy richiamava espressamente l’art. 2050 c.c.; pur essendo stato abrogato, la giurisprudenza di legittimità ha ribadito il modello probatorio, affermando che il danneggiato deve provare danno e nesso causale, mentre sul convenuto grava la prova di aver adottato tutte le misure idonee ad evitare il danno.

Parte della dottrina osserva che l’art. 82 GDPR, pur senza richiamo espresso all’art. 2050 c.c., tende a riprodurne la logica funzionale: centralità della gestione del rischio e della capacità organizzativa del titolare (accountability) e conseguente severità della prova liberatoria. In questa prospettiva, l’accountability non è solo un principio di governance, ma diviene anche un criterio probatorio: la qualità della documentazione (audit trail), delle procedure e dei controlli può risultare decisiva nel superare – o non superare – la presunzione di imputabilità.

Il fondamento normativo: art 82 GDPR – interpretazione giurisprudenza italiana: “occorre la prova della serietà del danno”

Nel dibattito dottrinale, anche l’art. 82 GDPR è stato letto come una responsabilità «speciale», in cui il momento organizzativo (misure tecniche e organizzative, governance dei processi e dei fornitori, tracciabilità delle decisioni) diventa decisivo sia sul piano sostanziale sia sul piano probatorio. La giurisprudenza interna sembra convergere su questa interpretazione in continuità, pur con qualche discontinuità.

L’art. 82 GDPR prevede il diritto al risarcimento del danno (materiale o immateriale) causato da una violazione del Regolamento. La responsabilità viene differenziata fra Titolare e Responsabile del trattamento.

Il Titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il regolamento. Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. Entrambi sono esonerati da responsabilità se dimostrano che l’evento dannoso non è loro in alcun modo imputabile.

Il Considerando 146 del GDPR ulteriormente precisa che “Il concetto di danno dovrebbe essere interpretato in senso lato alla luce della giurisprudenza della Corte di giustizia in modo tale da rispecchiare pienamente gli obiettivi del presente regolamento”; sicché “gli interessati dovrebbero ottenere pieno ed effettivo risarcimento per il danno subito”.

A fronte del dettato normativo appena descritto, la Cassazione (ord. 12 maggio 2023, n. 13073) ha chiarito e reinterpretato il senso di alcune anteriori posizioni espresse a proposito dell’art. 15 del previgente Codice della Privacy: “vige ancora il principio per cui il danno non può dirsi in re ipsa (v. Cass. Sez. 6-1 n. 17383-20, Cass. Sez. 3 n. 16133-14)”, La Corte prosegue evidenziando che il diritto al risarcimento è soggetto alla verifica della gravità della lesione e della serietà del danno, intesa come perdita di natura personale effettivamente patita dall’interessato. Questo principio si fonda sul bilanciamento con il principio di solidarietà sancito dall’art. 2 della Costituzione, cui consegue l’obbligo di tollerare la lesione minima.

In altre parole, occorre un danno di non lievissima entità ed in caso di danno non lieve occorre una prova rigorosa dello stesso, va da sé che non si può dar luogo al risarcimento se – pur in presenza di violazione del GDPR – l’interessato non ha subito alcun danno.

Anche il Tribunale civile di Oristano (sent. 176/2024), ha ribadito che il danno non patrimoniale da illecito trattamento dei dati personali è risarcibile solo se la lesione alla riservatezza è grave e concreta, non per la semplice violazione formale delle norme, e a condizione che la lesione superi la soglia di tolleranza prevista dal principio di solidarietà.

Il Tribunale di Oristano prosegue affermando che:“La legittimazione attiva al risarcimento del danno da violazione della privacy spetta esclusivamente al soggetto i cui dati personali sono stati illecitamente trattati, non estendendosi ai familiari che, pur subendo conseguenze dannose indirette, non hanno visto diffusi i propri dati identificativi. Ai fini della liquidazione equitativa del danno non patrimoniale da illecito trattamento dei dati personali possono trovare applicazione, con procedimento analogico, i criteri orientativi per la quantificazione del danno da diffamazione elaborati dalla giurisprudenza di merito.”

La sentenza del Tribunale ripete concetti espressi dalla Corte di legittimità, fornendo anche un valido parametro per l’eventuale quantificazione del danno di tipo non patrimoniale, mostrando simpatia per la quantificazione del danno operata in caso di diffamazione.

Le condizioni del risarcimento secondo la recente Corte di giustizia dell’Unione europea

La sintesi dell’interpretazione giurisprudenziale “europea” sull’art. 82 del GDPR è rappresentata dalla recente CGUE, sez. IV, 4 settembre 2025, causa C-655/23.

Alla Corte di giustizia dell’Unione europea era stato richiesto, dal Bundesgerichtshof (Corte federale di giustizia tedesca), una interpretazione dell’articolo 82, paragrafo 1, del GDPR, nel senso che nella nozione di «danno immateriale» contenuta in tale disposizione si dovessero ricomprendere anche sentimenti negativi provati dalla “persona interessata” a seguito di una comunicazione non autorizzata dei suoi dati personali ad un terzo, quali il timore o l’insoddisfazione, che sono suscitati da una perdita di controllo su tali dati, da una potenziale utilizzazione abusiva degli stessi o da un pregiudizio alla sua reputazione.

La Corte ha risposto in maniera netta ed analitica, precisando che la nozione di danno ai sensi dell’art. 82 GDPR, deve ricevere una definizione ricavata specificamente dal diritto dell’Unione, in autonomia rispetto ai diritti interni (v., in tal senso, sentenze del 25 gennaio 2024, MediaMarktSaturn, C‑687/21, EU:C:2024:72, punto 64, e del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punto 139 nonché giurisprudenza citata).

Quale premessa la Corte ha ribadito che la semplice violazione del Regolamento europeo non è sufficiente per conferire un diritto al risarcimento. Le condizioni che deve soddisfare l’interessato per ottenere il diritto al risarcimento sono:

• provare di aver subito un «danno» (materiale o immateriale);
• provare la violazione di una norma del regolamento da parte di Titolare o Responsabile del trattamento;
• provare il nesso di causalità tra tale danno e detta violazione.

Le tre condizioni erano già state fissate da numerose sentenze [sent. 4 maggio 2023, Österreichische Post (Danno immateriale inerente al trattamento di dati personali), C‑300/21, EU:C:2023:370, punti 32, 33, 37 e 42; sent. 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti da 140 a 142, nonché sent 4 ottobre 2024, Patērētāju tiesību aizsardzības centrs, C‑507/23, EU:C:2024:854, punti 24 e 25].

Fino a qui vengono ribaditi concetti cari anche alla giurisprudenza italiana. La discontinuità riguarda la questione della “serietà del danno”, illustrata in precedenza e ripetutamente ribadita da Cassazione e giudici di merito.

Risarcimento del danno immateriale anche in presenza di “semplice” paura o insoddisfazione a seguito di illecito trattamento

La Corte di giustizia dell’Unione europea era chiamata ad esprimere un parere sulla sussistenza del danno immateriale qualora vengano allegati e provati: “sentimenti negativi, come rabbia, contrarietà, insoddisfazione, inquietudine e paura”, che derivano dal “timore della divulgazione dei dati a terzi che lavorano nel medesimo settore, il fatto che una persona abbia appreso informazioni riguardo a circostanze per le quali vale una regola di discrezione, [nonché] l’umiliazione per il mancato accoglimento delle sue pretese salariali e per la conoscenza di tale circostanza da parte di terzi”.

Nel rispondere, la Corte precisa che l’art. 82 GDPR è sempre stato interpretato nel senso di non fissare livelli di gravità del pregiudizio subito dall’interessato. “La disposizione suddetta non esige che un danno immateriale fatto valere dall’interessato debba raggiungere una «soglia di rilevanza” perché tale danno possa essere risarcito (v. in tal senso, sentenze del 4 maggio 2023, Österreichische Post, C‑300/21, EU:C:2023:370, punto 51, nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 147 e 149).

In secondo luogo, come rilevato dalla Commissione europea nelle sue osservazioni scritte, situazioni, quali quelle invocate nel procedimento principale, attinenti ad un “pregiudizio alla reputazione” derivante da una violazione di dati personali o ad una “perdita del controllo” su dati siffatti, figurano esplicitamente tra gli esempi di possibili danni che sono elencati nei considerando 75 e 85 del GDPR. In particolare, la Corte ha sottolineato che il legislatore dell’Unione ha inteso includere la semplice “perdita del controllo” sui dati personali nell’elenco esemplificativo dei “danni” o dei “pregiudizi” che possono essere subiti dalle persone interessate (considerando 85 del GDPR), quand’anche non si sia concretamente verificato un uso abusivo dei dati in questione.

Una siffatta perdita del controllo può essere sufficiente per causare un «danno immateriale», ai sensi dell’articolo 82, paragrafo 1, del GDPR, purché l’interessato dimostri di aver effettivamente subìto un danno di tal genere, fosse pure minimo, senza che tale nozione di «danno immateriale» esiga la dimostrazione dell’esistenza di tangibili conseguenze negative supplementari (v., in tal senso, sentenza del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 145, 150 e 156 nonché giurisprudenza citata).

Ancora, la Corte ha statuito che la paura, provata dall’interessato, che i suoi dati personali siano oggetto di utilizzazione abusiva in futuro, a seguito di una violazione del GDPR, è idonea a costituire, di per sé solo, un «danno immateriale», a condizione che tale timore, con le sue conseguenze negative, sia debitamente dimostrato, aspetto questo la cui verifica incombe al giudice nazionale adito [v., in tal senso, sentenze del 20 giugno 2024, PS (Indirizzo errato), C‑590/22, EU:C:2024:536, punti 32, 35 e 36, nonché del 4 ottobre 2024, Agentsia po vpisvaniyata, C‑200/23, EU:C:2024:827, punti 143, 144 e 155 nonché giurisprudenza citata].

Pertanto, sebbene i sentimenti menzionati, in particolare il timore o l’insoddisfazione, possano far parte dei rischi inerenti alla normale esperienza di vita, simili sentimenti negativi sono suscettibili di costituire un «danno immateriale», purché, conformemente al requisito dell’esistenza di un nesso di causalità, la persona interessata dimostri che prova sentimenti siffatti, con le loro conseguenze negative, proprio in ragione della violazione del suddetto regolamento di cui trattasi, come ad esempio una trasmissione non autorizzata dei suoi dati personali ad un terzo che ingeneri il rischio di un uso abusivo di questi ultimi, aspetto questo che deve essere valutato dai giudici nazionali aditi.

I principi sin qui esaminati – risarcibilità del danno immateriale anche in assenza di una soglia minima di gravità, sufficienza della perdita di controllo sui dati e del timore di un uso abusivo futuro – trovano un banco di prova particolarmente significativo nelle ipotesi in cui la violazione dei dati personali non derivi da una condotta diretta del titolare del trattamento, bensì dall’attività dolosa di soggetti terzi, come accade tipicamente negli attacchi ransomware. In queste fattispecie al tema della prova del danno si affianca quello, altrettanto decisivo, dell’adeguatezza delle misure di sicurezza adottate e della conseguente ripartizione dell’onere probatorio tra interessato e titolare.

Data breach derivante da attività dolosa altrui e misure di sicurezza: controllo sull’adeguatezza e onere della prova

A questo punto merita un approfondimento la questione della risarcibilità del danno in presenza di data breach provocato da attività dolosa di terze parti, come ad esempio nella fattispecie del ransomware. La sentenza C-340/21 (VB c. NAP) affronta in modo diretto il rapporto tra data breach, adeguatezza delle misure tecniche e organizzative (artt. 24 e 32 GDPR) e diritto al risarcimento (art. 82). La Corte ha chiarito che i giudici non possono dedurre automaticamente l’inadeguatezza delle misure dal solo fatto dell’accesso/divulgazione non autorizzati; occorre una valutazione concreta dell’adeguatezza.

La stessa decisione evidenzia che il titolare può essere chiamato a risarcire anche quando l’evento deriva da terzi, salvo prova della non imputabilità; comunque il timore di un potenziale uso abusivo dei dati può integrare un danno immateriale.

La dottrina ha letto questa linea come pienamente coerente con l’accountability: l’onere di dimostrare l’adeguatezza delle misure grava sul titolare e diventa centrale la documentazione delle scelte e dei presidi adottati ex ante.

Quali misure di sicurezza ed organizzative per sfuggire alla responsabilità: casi del Garante, Postel (2024) e Poste Vita (2025)

I provvedimenti del Garante costituiscono un osservatorio privilegiato per individuare, in concreto, cosa significhi «misure adeguate» e quale sia la soglia di diligenza esigibile.

Nel provvedimento del 4 luglio 2024 (Registro n. 572/2024; doc. web 10063782), relativo a un procedimento sanzionatorio contro Postel S.p.A. concluso con una importante sanzione a carico del titolare del trattamento (sanzione amministrativa pari a 900.000,00 euro), il Garante ha preso in esame un attacco ransomware rivendicato dalla cybergang “Medusa”, con esfiltrazione e pubblicazione nel dark web di file contenenti dati personali e perdita di disponibilità per alcuni file. Il provvedimento dà conto anche delle vulnerabilità sfruttate (CVE-2022-41040 e CVE-2022-41082) e dell’avvio del procedimento con contestazioni, tra l’altro, su artt. 5, 25, 28, 32 e 33 GDPR.

Il valore pratico del caso sta nel fatto che l’istruttoria si concentra su profili organizzativi tipici (gestione delle vulnerabilità e delle patch, processi interni, completezza e qualità della notifica e dei flussi informativi verso i titolari committenti), cioè esattamente sui profili che, in sede civile, possono incidere sulla prova liberatoria richiesta dall’art. 2050 c.c. e dall’art. 82 GDPR.

Un caso complementare riguarda il procedimento sanzionatorio contro Poste Vita S.p.A., avviato da un reclamo del 24 ottobre 2024 e definito con provvedimento del 10 luglio 2025 (Registro n. 389/2025; doc. web 10154110). Il Garante prende in esame una illecita comunicazione di dati relativi a polizze vita a un soggetto terzo non autorizzato, avvenuta tramite risposte a richieste pervenute via e-mail e apparentemente corredate da firma autografa e dettagli idonei a indurre in errore gli operatori.

All’esito dell’istruttoria, il Garante evidenzia che – in assenza, agli atti della compagnia, di un indirizzo e-mail fornito dall’interessata – la società avrebbe dovuto porre in atto ogni misura idonea a verificare l’effettiva rispondenza dell’indirizzo di posta elettronica all’identità della (presunta) cliente, prima di inviare documentazione e informazioni.

Il provvedimento rileva inoltre un profilo di ritardo nella notifica ex art. 33 GDPR, precisando che, a fronte del disconoscimento dell’indirizzo e-mail, il titolare aveva la “ragionevole evidenza” della compromissione, con conseguente obbligo di notificare senza ingiustificato ritardo e, ove possibile, entro 72 ore, richiamando le Linee guida EDPB 9/2022 sul concetto di “conoscenza” della violazione.

I provvedimenti del Garante sommariamente descritti possono svolgere una funzione di «standard setting» e risultare rilevanti anche in sede civile come elementi fattuali per valutare l’adeguatezza delle misure organizzative e di sicurezza e la richiesta prova liberatoria per sfuggire alla responsabilità civilistica.

Conclusioni

L’analisi condotta evidenzia una frattura significativa tra l’orientamento della giurisprudenza italiana e quello della Corte di giustizia dell’Unione europea in materia di risarcimento del danno immateriale per violazione del GDPR.

Da un lato, la Cassazione italiana, con l’ordinanza n. 13073/2023 confermata dai giudici di merito, richiede la prova della “serietà” della lesione (il danno non deve consistere in meri disagi o fastidi) come condizione necessaria per il risarcimento, applicando un filtro di gravità che affonda le radici nel principio di solidarietà sociale (art. 2 Cost.) e nella tradizione civilistica della tolleranza della lesione minima.

Dall’altro lato, la CGUE – con una giurisprudenza ormai consolidata attraverso le sentenze Österreichische Post (C-300/21), MediaMarktSaturn (C-687/21), Agentsia po vpisvaniyata (C-200/23) e, da ultimo, la causa C-655/23 del settembre 2025 – ha stabilito in modo inequivocabile che l’art. 82 GDPR non contempla alcuna soglia minima di rilevanza del danno. La semplice perdita di controllo sui propri dati personali, il timore fondato di un utilizzo abusivo, finanche sentimenti negativi quali paura o insoddisfazione, possono costituire danno immateriale risarcibile, a condizione che l’interessato ne fornisca dimostrazione e provi il nesso causale con la violazione.

Questa contraddizione non è puramente teorica. L’interpretazione del giudice italiano, apparentemente divergente da quello europeo, ha come conseguenza pratica quella di diminuire la possibilità di risarcimento del danno per l’interessato, con pregiudizio per l’uniformità di applicazione del GDPR. Tuttavia occorre ricordare il considerando 146 del Regolamento (citato nel primo paragrafo del presente articolo) che esplicitamente rimanda alla (sola) giurisprudenza della Corte di giustizia europea la facoltà di interpretazione del concetto di danno E’ pertanto ragionevole ritenere che la difformità oggi evidenziata possa essere ricomposta e che quindi anche la giurisprudenza italiana si adegui al modello descritto dalla Corte di giustizia dell’Unione Europea.

Sul versante dell’onere della prova, l’analisi dei provvedimenti sanzionatori del Garante Privacy, in particolare i casi Postel S.p.A. (provv. 4 luglio 2024) e Poste Vita S.p.A. (provv. 10 luglio 2025), conferma che il principio di accountability opera come vero e proprio criterio probatorio: la documentazione delle scelte organizzative, la tempestività nella gestione delle vulnerabilità, la qualità delle procedure di notifica e i flussi informativi interni costituiscono gli elementi sui quali il titolare del trattamento è chiamato a costruire la propria prova liberatoria, tanto in sede amministrativa quanto, come si è argomentato, in sede civile, secondo il modello dell’art. 2050 c.c.

Il quadro che emerge impone ai titolari e ai responsabili del trattamento un duplice livello di attenzione: non soltanto l’adozione di misure tecniche e organizzative adeguate al rischio, ma anche la loro rigorosa documentazione e tracciabilità, nella consapevolezza che l’accountability non è soltanto un obbligo di compliance, ma rappresenta lo strumento decisivo per resistere a una pretesa risarcitoria in sede giudiziaria. In attesa di un auspicabile allineamento della giurisprudenza italiana a quella europea – che appare, alla luce del primato del diritto dell’Unione, inevitabile – la gestione proattiva e documentata del rischio resta la migliore forma di prevenzione anche sul piano della responsabilità civile.

https://www.ictsecuritymagazine.com/articoli/art-82-gdpr/

Gli attori non statali filo-iraniani sfruttano i cyber proxies come strumenti strategici per proiettare potere, condurre operazioni cibernetiche e perseguire obiettivi politici regionali. Questo testo inaugura una serie di approfondimenti sul tema Cyber Proxies. Capacità Cibernetiche degli Attori Non Statali Filo-Iraniani, analizzando come l’Iran coordini reti di proxy, dall’organizzazione di Hezbollah e Hamas fino alle unità cyber dedicate, per espandere la propria influenza e influenzare dinamiche geopolitiche complesse. La lettura offre un quadro chiaro e dettagliato delle infrastrutture, delle strategie operative e delle metodologie impiegate, introducendo i lettori al mondo dei cyber proxies filo-iraniani.

Introduzione ai cyber proxies e attori non statali filo-iraniani

Nell’attuale panorama geopolitico si assiste ad una progressiva proliferazione di entità che, parallelamente agli stati, svolgono un ruolo significativo nella determinazione delle dinamiche internazionali e trasformando i vuoti di potere in opportunità. Allo stesso tempo, sempre più stati-nazione fanno uso di queste entità per supportare i propri interessi politici, economici e di sicurezza in tutto il mondo, talvolta mettendo in discussione i perimetri giuridici globali. Come accennato, sempre più spesso gli Stati demandano attività storicamente prerogative della compagine statale ad attori non statali di vario titolo, al punto da configurare dei veri e propri proxy.

Il concetto di proxy è ampiamente utilizzato in letteratura per indicare quell’insieme di entità che sono controllate ed agiscono per conto di un’altra entità gerarchicamente superiore. L’impiego di questi attori permette agli stati di raggiungere obiettivi nazionali limitando i costi, riducendo il rischio di conflitti diretti, appaltando a tutti gli effetti compiti ad organismi spesso tecnicamente preparati (e organizzati) e, dissipando la responsabilità delle loro azioni certe a un certo grado di distacco dalle azioni di questi attori nel caso fosse necessario negare mantenendo una plausibile negabilità. Questo significa che, nonostante questi attori perseguano precisamente le agende politiche degli stati padrone, quest’ultimi possano sempre smentire ogni tipo di responsabilità sulle azioni dei proxy.

Questo tipo di dinamica trova un terreno fertile nel panorama delle minacce, dove il concetto di operazione informatica offensiva mercenaria è ampiamente diffuso. Gli attori di minaccia offrono ad attori statali e non diverse tipologie di operazioni e strumenti “as a Service”.

Un esempio chiave in questo ecosistema è quello dei Ransomware-as-a-Service (RaaS), ovvero quell’insieme di attori di minaccia sviluppatori del ransomware che forniscono il ransomware (e talvolta anche l’infrastruttura e supporto tecnico) ad altri attori (detti “affiliati”) per svolgere attività di estorsione economica delle vittime. Ancora, un altro esempio è costituito dagli Initial Access Broker. Questi attori di minaccia sono specializzati nella compromissione iniziale e, una volta ottenuto l’accesso a reti aziendali (o delle istituzioni), rivendono questi accessi ad altri attori (esempio per la distribuzione di ransomware) o a vere e proprie entità statali (per svolgere attività di sorveglianza).

A questi si aggiungono tutta una serie di attori coinvolti nell’erogazione di:

• Phishing-as-a-Service: pacchetti completi per campagne di phishing che possono includere template, pagine clone di siti bancari o aziendali, strumenti per inviare mail massive. L’obiettivo è appaltare la parte di delivery della catena di attacco informatico.
• Malware-as-a-Service (MaaS): può essere intesa come versione malevola del Software-as-a-Service (SaaS). Esistono diversi market in cui è possibile acquistare strumenti malevoli pronti all’uso come trojan, spyware o RAT, completi di interfacce grafiche, pannelli di controllo e guide all’uso. Questi strumenti possono essere impiegati per lo spionaggio aziendale, la raccolta intelligence o per azioni distruttive.
• DDoS-as-a-Service: come i precedenti, ma in questo caso è possibile arruolare dei veri e propri attacchi DDoS contro le infrastrutture designate dell’acquirente (sito web o un server), per vendetta, competizione o semplice attivismo.

Parallelamente al mondo del cybercrime si inserisce quell’insieme di attori di minaccia direttamente sponsorizzati da attori statali per perseguire le proprie agende politiche. Questi attori possono condurre o contribuire (attivamente o passivamente) a operazioni informatiche offensive, di spionaggio o anche distruttive in funzione delle necessità dello Stato sponsor.

Questo li rende particolarmente preziosi nel raggiungimento di specifici bisogni informativi (favoriti anche dalla progressiva digitalizzazione delle pubbliche amministrazioni) o anche come parte integrata della strategia bellica di un paese. Questo tipo di attività ha tipicamente costi notevolmente inferiori rispetto agli strumenti di guerra convenzionale e tutte le criticità di un attacco frontale sul campo di battaglia. Come la maggior parte delle strategie del conflitto asimmetrico, si sposa perfettamente la sua caratteristica intrinseca: eludere la capacità muscolare dell’avversario per spostarla su un terreno di confronto più favorevole.

Inoltre, analogamente al fenomeno dei proxy nel mondo reale, questo fenomeno pone una nuova sfida per il diritto internazionale nel determinare precisamente i confini di responsabilità e di applicazione del diritto internazionale nel cyberspazio. Infatti, quando si tratta di operazioni clandestine o di sorveglianza, il processo di attribuzione è spesso molto complicato. Una volta individuato il cluster o l’attore di minaccia dietro le attività tracciate diventa ancora più complesso attribuire l’operazione a uno Stato sponsor. Questi attori potrebbero operare indipendentemente (es per attivismo politico) o essere assoldati in modo confidenziale da intermediari.

Proxy iraniani: asse della resistenza

Dalla rivoluzione khomeinista del 1979 e la conseguente nascita della Repubblica islamica, l’Iran si è proiettato nella scena medio orientale come una teocrazia sciita orientata a: espandere geopoliticamente ed ideologicamente la sua sfera di influenza e perpetrare una costante politica di destabilizzazione e contrasto verso Stati Uniti e alleati regionali. Infatti, in quarantacinque anni, la politica regionale dell’Iran è ruotata in modo persistente principalmente attorno tre obiettivi:

• cacciare gli Stati Uniti dal Medio Oriente,
• eliminare Israele, considerata una entità illegittima e principale avversario ideologico
• affermarsi come attore egemone nell’area.

Per perseguire queste ambizioni, l’Iran è riuscito a creare quello che viene definito un vero e proprio “Asse della Resistenza”, ovvero una rete di attori proxy che comprende Hamas nella Striscia di Gaza, Hezbollah in Libano, gli Houthi in Yemen e diverse milizie sciite in Iraq. Questo “asse” si configura come un vero e proprio strumento di proiezione di potenza regionale, coordinato dalle Forze Quds del Corpo delle Guardie della rivoluzione islamica (IRGC) ed alimentato attraverso un incessante flusso di erogazione di fondi, armamenti, addestramento e guida strategica.

In altre parole, la politica estera iraniana si regge su un equilibrio di deterrenza e proiezione indiretta, fondato su attori non-statali che moltiplicano la pressione su avversari regionali e potenze esterne. Sebbene singoli fronti (come in Siria e Libano) conoscano battute d’arresto e mutamenti, la vera capacità di Teheran è stata quella di ridisegnare costantemente l’ordine mediorientale attraverso la creazione di attori, partiti o milizie pronti ad allinearsi alla sua direzione politica e strategica.

Dagli anni ’80, l’IRGC ha sponsorizzato gruppi armati non statali in Afghanistan, Iraq, Libano, Territori Palestinesi, Yemen e altri paesi, fornendo loro addestramento, armamenti, dotazioni militari, denaro e, come vedremo in alcuni casi anche le competenze per dotarsi di apparati cyber offensivi. Sebbene alcuni di questi attori operino anche indipendentemente dall’Iran (e dagli altri), possono essere considerati a tutti gli effetti come parte di un ”asse della resistenza” sotto la direzione strategica iraniana, in chiave anti-occidentale e anti-israeliana. Infatti, sponsorizzando questi gruppi, l’obiettivo iraniano è stato quello di esportare la sua rivoluzione, ma allo stesso tempo, di scoraggiare le aggressioni dei paesi stranieri e del suo principale avversario Israele.

Il primo esperimento di proiezione extra-statale fu Hezbollah. Con l’aiuto siriano, la Forza Quds riuscì a strutturare un prototipo di organizzazione altamente specializzata, fortemente allineata all’ideologia e agli interessi politici iraniani, che condivideva un’ostilità endemica verso Stati Uniti e Israele. Dal 1982, le Forze Quds hanno addestrato, armato e finanziato un complesso insieme di milizie sciite nel Libano meridionale, da impiegare per liberare il paese dall’occupazione israeliana. Nel tempo Hezbollah, soprattutto grazie al finanziamento iraniano, oltre al ruolo di difensore del Libano dall’invasore, è riuscito a penetrare capillarmente nel territorio, sostituirsi progressivamente nel vuoto statale come fornitore di servizi essenziali ai cittadini fino a diventare parte attiva della politica nazionale.

Negli anni ’90, Hamas, nonostante emergesse come branca jihadista sunnita dei Fratelli Musulmani egiziani, redasse una carta formale che sanciva gli obiettivi di distruggere Israele. In questo periodo, il gruppo iniziò a sviluppare contatti di alto livello con l’Iran e ad acquisire notorietà partecipando all’intifada palestinese contro Israele, spingendo nel 1992 il governo israeliano a deportare in Libano 418 figure di spicco di Hamas. L’IRGC e Hezbollah ospitarono questi deportati e cominciarono ad addestrarli alle tattiche sulla base della strategia consolidata da Hezbollah e, l’Iran inizierà a finanziare il gruppo, permettendogli di strutturarsi come partner pragmatico dell’asse di resistenza iraniano[1].

In seguito alla Primavera araba del 2011, le Forza Quds spostarono le proprie competenze in Siria, formalmente a difesa dei santuari sciiti, ma di fatto fornendo aiuto all’ex-presidente siriano Bashar al-Assad a reprimere i disordini tra la popolazione a maggioranza sunnita. Quando scoppiò la guerra civile, la Forza Quds ed Hezbollah (e altre milizie proxy) svolsero un ruolo cruciale, combattendo in prima linea a fianco delle forze del regime siriano. Parallelamente, le rivolte arabe scatenarono la guerra civile anche in Yemen.

Le rivolte del 2011 saranno anche il contesto di affermazione di un altro membro dell’asse, gli Houthi. In seguito al rovesciamento del presidente yemenita Ali Abdullah Salih, l’Iran fornì il suo supporto al gruppo, permettendogli di prendere il controllo del governo a Sana’a[2]. In tale contesto, l’IRGC svolse un ruolo di primo piano nel supporto intelligence, di addestramento e armando il movimento ribelle Houthi contro le forze congiunte del governo del paese e l’Arabia Saudita[3].

Dal 2013, in risposta all’ascesa dello Stato Islamico, le Forze Quds aumentarono la loro presenza in Iraq e Siria. In Iraq ci fu una forte mobilitazione di miliziani sciiti, molti dei quali avevano già collaborato con le Forze Quds durante l’occupazione statunitense. Molte di queste milizie che giurarono fedeltà alla Guida Suprema fornirono un importante contributo (da partner tacito) agli Stati Uniti a respingere lo Stato Islamico. Tuttavia, questa “partnership” si concluse intorno al 2019 con la sconfitta dello Stato Islamico. Da quel momento gli Stati Uniti iniziarono a cercare di sopprimere la forte influenza regionale creata dall’Iran.

Infatti, a gennaio 2020 attraverso un attacco con drone gli Stati Uniti eliminarono Abu Mahdi al-Muhandis, vice capo delle Forze di Mobilitazione Popolare e Qasem Soleimani comandante della Forza Quds dal 1997, entrambi protagonisti dell’opera di contrasto dello Stato islamico. Dalla morte di Soleimani, l’Iran e i suoi alleati giurarono vendetta e il complesso di attori sponsorizzati intensificarono gli attacchi contro le forze della coalizione statunitense in Iraq e Siria.

Tra il 2016 e il 2022 l’asse della resistenza raggiunge la maturità. Dalla Striscia di Gaza al Golfo di Aden, gruppi alleati furono finanziati e armati come eserciti convenzionali. Inoltre, legami tra IRGC e la sua rete regionale di proxy diventano ancora più evidente nell’attacco del 7 ottobre 2023 contro Israele. Sebbene la Guida Suprema abbia negato ogni forma di coinvolgimento con l’attacco di Hamas, diverse fonti sostengono che l’Iran fosse a conoscenza dell’offensiva e che abbia contribuito a facilitarla attraverso i decenni di sostegno ai combattenti palestinesi.

Mentre Israele concentrava la sua offensiva su Gaza, Hezbollah apriva il fronte settentrionale, le milizie irachene colpivano basi statunitensi in Siria e gli Houthi minacciavano le rotte marittime. La direzione strategica iraniana fu ancora più chiara nell’aprile 2024, quando per la prima volta l’IRGC, in risposta al bombardamento israeliano all’ambasciata iraniana a Damasco, lanciò un attacco con circa 300 droni e numerosi missili balistici sul territorio israeliano.

Ad oggi, la rete di proxy costruita dall’IRGC in quattro decenni costituisce il fulcro della strategia iraniana. Questa infrastruttura gli consente un approccio flessibile, in grado di modulare il coinvolgimento in un conflitto, passare da un ruolo offuscato ad operazioni frontali, tenendo la guerra sempre distante dal suo territorio.

Questo significa che il baricentro del potere iraniano non è all’interno dei suoi confini nazionali ma è disseminato in una galassia di attori che agiscono a doppio filo tra autonomia operativa e fedeltà all’ideologia della Guida Suprema. Questo significa che per comprendere l’attribuzione e la previsione delle intenzioni politiche di questo paese, occorre tener conto della sua infrastruttura nel suo insieme, ma anche delle singole parti che la compongono. Complessivamente, la Repubblica islamica iraniana può contare sui seguenti attori proxy[4]:

• Bahrein: Brigate Al-Ashtar
• Iraq: Kata’ib Hezbollah, Organizzazione Badr, Asa’ib Ahl al-Haq, Hezbollah Harakat al-Nujaba e Kata’ib Sayyed al-Shuhada.
• Libano: Hezbollah
• Palestina: Hamas e Jihad islamica palestinese.
• Siria: Brigata Fatemiyoun, Brigata Zainabiyoun, Quwat al-Ridha e Brigata Baqir
• Yemen: movimento Houthi

Negli anni la rete costruita dall’Iran si è strutturata attraverso ingenti finanziamenti orientati innanzitutto a rafforzarne la forza militare e la capacità operativa, ma anche a consolidare la loro posizione infiltrandosi capillarmente come entità politiche ed economiche nei rispettivi paesi. A loro volta, questi attori sono riusciti nel tempo a strutturarsi e a generare diverse forme di entrate per sostentarsi, soprattutto quando questi finanziamenti subivano battute di arresto. Questo approccio ha permesso agli attori dell’asse della resistenza di poter operare senza soluzione di continuità nei settori formali e informali delle rispettive economie (a livello nazionale e transnazionale), spesso usufruendo della rete clientelare locale, eludendo le regolamentazioni e mantenendo l’impunità[5].

L’accesso a questi flussi finanziari diviene un pilastro dell’autorità dell’Asse, sia a livello nazionale che transnazionale. Infatti, l’interconnessione della rete gli ha consentito una fluida circolazione di denaro, armi, risorse e competenze attraverso i confini.

Questi trasferimenti transfrontalieri rafforzarono la resilienza alle pressioni esterne come le sanzioni, gli permettono di inserirsi in modo parassitario nell’economia degli Stati e, di svilupparsi in ambito di dotazioni e capacità militari. In ogni paese, imprenditori, burocrati governativi, funzionari locali e attori armati collaborarono per facilitare il trasferimento (sia virtuale che fisico) di denaro attraverso i confini. La rete impiegata per questi trasferimenti è composta da individui che operano sia nel settore formale (come banche, agenzie, servizi pubblici etc.), sia in quello informale (es. contrabbandieri di denaro).

Come accennato precedentemente, in seguito al celebre caso Stuxnet, l’Iran ha progressivamente rafforzato le proprie dotazioni e strutture delegate alle operazioni informatiche e di sorveglianza. Infatti, già nel 2015 il governo iraniano aveva aumentato il budget destinato alla cybersicurezza dell’1.200% in un biennio.

La letteratura esaminata mostra come questo investimento nella strutturazione di capacità cyber si sia esteso anche al suo “asse della resistenza”. La formazione e l’impiego di proxy nella cyberwar conferisce a Teheran un doppio vantaggio in termini strategici:

• Ampliamento di alleati coinvolti in azioni coerenti con gli obiettivi strategici iraniani;
• Un certo grado di deresponsabilizzazione a livello internazionale per le azioni compiute da questi attori;
• È possibile che le potenze straniere colpite decidano di non colpire obiettivi iraniani in seguito ad un attacco proveniente da uno di questi attori. Inoltre, non essendo attori statali, i loro asset rappresentano bersagli limitati in caso di rappresaglia da parte di un governo straniero.

Struttura e funzionamento dei cyber proxy di Hezbollah

Il primo proxy iraniano a strutturarsi come partner strategico anche nel dominio cyber sarà proprio Hezbollah. Le Forze Quds contribuirono fornendo formazione e dotazioni tecnologiche, alla nascita e strutturazione di una unità di controspionaggio informatico. Alcune fonti indicano che questa unità fosse localizzata nel quartiere meridionale di Dahieh, a Beirut, e disponesse di dotazioni informatiche simili a quelle dell’Università Sharif di Teheran. Dalla sua nascita, sotto la direzione dei Pasdaran, questa unità fu incaricata principalmente di raccogliere informazioni sulle istituzioni statali libanesi, straniere in particolare nei paesi del Golfo[6].

Questa sorta di partenariato cyber tra Iran e Hezbollah determinerà un’evoluzione significativa nello sviluppo delle capacità operative del proxy, poiché implica non solo la condivisione di competenze ma anche di infrastrutture cyber da impiegare come parte di un’alleanza per specifiche finalità d’interesse geopolitico.

Nel 2018, Carnegie Endowment for Peace, un think tank statunitense, segnalava come “ci fossero poche prove di un trasferimento diretto di strumenti informatici” tra l’Iran e Hezbollah. Dopo il crollo del califfato dello Stato Islamico, Hezbollah ha assunto il ruolo di organizzazione terroristica mediorientale più sofisticata e influente nel cyberspazio. Gli attacchi informatici condotti da Lebanese Cedar APT, come vedremo, hanno interessato numerosi paesi, infiltrandosi nelle reti attraverso strumenti e metodologie sofisticate e qualificando l’attore come uno delle minacce ibride più tecnologicamente avanzate al mondo.

Tra i proxy iraniani, Hezbollah ha una reputazione consolidata per le proprie PsyOps, che si sono rivelate cruciali nei conflitti del 2002, 2006 e anche recentemente. Il gruppo ha compreso l’importanza di documentare le proprie operazioni militari al punto di rendere celebre la frase “Se non hai filmato, non hai combattuto”. Hezbollah mantiene un’unità dedicata esclusivamente alla guerra psicologica specializzata nel gestire l’immagine pubblica di Hezbollah e dei suoi avversari. Inoltre, possiede un complesso sistema di giornali, social media, siti internet e programmazione televisiva che gli permettono sia di riverberare la propria propaganda (e quindi di socializzazione della popolazione), sia di alimentare il ventaglio operativo di guerra informativa.

A riprova dell’elevato livello di specializzazione, alcune fonti sostengono che, durante la pandemia di Covid-19, Hezbollah ha fornito corsi di formazione in materia di propaganda e disinformazione finalizzati a promuovere i propri interessi strategici. L’obiettivo, oltre quello di reperire fondi, sembra essere quello di ampliare l’influenza regionale dell’Iran, diffondendone la strategia espansiva attraverso la sponsorizzazione di attori non statali in Paesi instabili come l’Iraq. Infatti, molti degli “allievi” di Hezbollah in ambito cyber provengono dall’Iraq e sostengono il gruppo terroristico pro-iraniano iracheno Kata’ib Hezbollah[7].

Grazie all’importante dose di risorse fornite dall’Iran, Hezbollah ha nel tempo dato prova di elevate capacità cyber offensive, consentendogli importanti risultati in termini strategici. Nel 2006, durante la seconda guerra israelo-libanese, gli hacker israeliani hanno interrotto il servizio sui siti web del Partito di Dio. In risposta, gli hacker di Hezbollah hanno attacchi informatici contro siti web in diversi paesi che hanno supportato Israele durante la guerra[8]. Negli Stati Uniti rete sono riusciti ad appropriarsi di siti e canali di comunicazione in diverse località (dal Texas alla Virginia, fino a provider di hosting a Delhi, Montreal, Brooklyn e nel New Jersey) con l’obiettivo di trasmettere messaggi e contenuti di Al-Manar, principale emittente televisivo portavoce del gruppo (ancora in attiva).

Questa strategia, definita “whack-a-mole”: ogni volta che un sito collegato ad Al-Manar o ad altre piattaforme di propaganda di Hezbollah veniva chiuso (“whacked down”), ne compariva subito uno nuovo (“pops up”) su un altro server o con un diverso indirizzo IP. Un esempio è stato l’hijacking di una piccola società via cavo nel sud del Texas, avvenuto grazie a un “collegamento improprio” all’interno della catena di distribuzione di un aggregatore di contenuti satellitari a New York. In questo modo Hezbollah ha collegato il proprio traffico all’indirizzo IP dell’operatore texano, invitando via e-mail e blog a seguire i contenuti di Al-Manar su quel portale[9].

In definitiva, oggi l’asse della resistenza può contare non solo su una complessa infrastruttura di divisioni cyber dipendenti dallo Stato, ma anche su una serie di attori di minaccia, direttamente parte di divisioni, o associati ai principali attori non statali della rete. La letteratura esaminata mi ha permesso di individuare cinque principali attori di minaccia, a tutti gli effetti “sponsorizzati” da Hezbollah, Hamas e ribelli Houthi. Nelle sezioni successive andremo a ricostruire la storia delle attività di questi attori dalla loro nascita ad oggi, cercando di identificarne le intenzioni, le metodologie e gli strumenti tipicamente impiegati.

Come vedremo, questi cyber-proxy non costituiscono un’unica entità monolitica, ma una costellazione di gruppi altamente specializzati nell’uso del dominio cyber per svolgere attività di spionaggio e sabotaggio. L’elemento centrale è l’appartenenza ideologica che, pur con distinzioni religiose, trova nella sfera di influenza iraniana l’universo simbolico condiviso, spingendo tali gruppi ad agire come parte integrante del medesimo Asse della Resistenza. La capacità di adattarsi nel tempo e l’enorme supporto fornito dall’Iran per lo sviluppo di questo network rende questi attori uno strumento estremamente pericoloso che alimenta il panorama globale delle minacce.

	Lebanese Cedar	Gaza Cybergang	OilAlpha
Affiliation:	Hezbollah	Hamas	Houthi
Structure:	Threat actor	Group of Threat Actors (Molerats, Arid Viper, Wirte)	Threat actor
Firs seen:	2012	· Molerats 2012 · Arid Viper 2012 · Wirte 2018	2023
Targeted Regions:	Middle East, North America, UE.	Middle East.	Yemen, Saudi Arabia.
Common Vector of Infection:	Scanning server web.	Spear phishing, Smishing, Social network catfishing.	Smishing
Operational frequency:	Low-frequency but prolonged attacks over time, interspersed with long periods of inactivity.	High frequency	Growing since 2022, with potential for expansion.

Hezbollah cyber-unit: Lebanese Cedar

Threat actor name:	Lebanese Cedar
Aliases:	DeftTorero, Volatile Cedar, Dancing Salome.
Location:	Lebanon.
Motivation:	Political (espionage).
Threat actor type:	State-sponsored (Hezbollah).
Targeted Countries:	Afghanistan, Canada, Egypt, Europe, France, Germany, Iran, Israel, Jordan, Lebanon, Middle East, Palestine, Russia, Saudi Arabia, Turkey, UAE, United Kingdom, United States.
Target Industries:	Education, Government, Defense, finance, Telecommunication, Internet Service Provider, Media, Entertainment, Civil Services, Technology, Education.
Malware:	Explosive (RAT), Madi, Tempting Cedar, Caterpillar, Mamad Warning Sheller, SharPyShell, ASPXSpy, Devilzshell, Lazagne.
TTP:	Reconnaissance	T1590, T1595.002, T1595.003
	Initial Access	T1190
	Persistence	T1505.003
	Discovery	T1083
	Collection	T1213, T1005, T1105
	C&C	T1008

Lebanese Cedar, attivo almeno dal 2012, è probabilmente l’attore più sofisticato e meglio supportato di quelli presi in analisi. Per quanto riguarda la vittimologia, l’attore ha concentrato le sue attività di spionaggio prevalentemente nel Medio Oriente (Israele, Libano, Arabia Saudita, Giordania, Emirati), Nord America e in alcuni Paesi europei, soprattutto nei settori telecomunicazione e governativi.

A differenza dei cluster legati ad Hamas, Lebanese Cedar conta poche ma durature campagne, intervallate da lunghi periodi di silenzio. Il “basso profilo” mantenuto nel tempo gli ha permesso di esfiltrare dati per mesi, se non per anni, restando quasi del tutto invisibile alla stampa specializzata.

Dal 2022 non sono emerse ulteriori informazioni su questo attore di minaccia, ma si ritiene che continui a operare in linea con gli obiettivi strategici di Hezbollah. A gennaio 2024, la National Cyber Directorate (NCD) israeliana ha dichiarato che l’attacco condotto a novembre 2023 dall’attore AGRIUS (soggetto collegato al MOISE) contro il Safed Ziv Medical Center è avvenuto con il supporto di Lebanese Cedar. Tale evento suggerisce che il gruppo sia ancora attivo e che stia svolgendo un ruolo anche nel conflitto con Hamas, poiché lo scopo dell’operazione era interrompere le attività ospedaliere israeliane[10].

Catena di attacco e metodologie operative dei cyber proxies

Per quanto riguarda le catene di attacco tipicamente impiegate, fino al 2015, Lebanese Cedar ha sperimentato varie tecniche di ingegneria sociale attraverso la diffusione di documenti malevoli (prevalentemente PowerPoint) compressi in archivi RAR (e protetti da password). Questi documenti includevano una serie di immagini e contenuti esca di vario genere (come paesaggi con scritte motivazionali, immagini religiose o illusioni ottiche).

Una volta abilitato il contenuto dei file, veniva eseguito automaticamente il payload che recuperava e installava i componenti essenziali del backdoor. In questo periodo, la catena di attacco portava alla distribuzione di “Madi”, un dropper scritto in Delphi. Una volta eseguito il dropper, venivano caricati diversi componenti aggiuntivi con funzionalità infostealer per raccogliere credenziali, documenti e altri dati sensibili. Infine, il dropper caricava anche il backdoor vero e proprio, che includeva funzionalità di:

• Keylogging;
• Catturare screenshot a intervalli regolari o quando la vittima usa specifici servizi (come webmail, social network, messaggistica);
• Registrazione dell’audio via microfono;
• Recupero di vari tipi di file;
• Enumerazione dei dischi;
• Cancellazione di file.

È importante notare che le prime attività di questo attore non erano direttamente riconducibili a un attore specifico. Tuttavia, dal 2015, il pattern di selezione dei target ha iniziato a sovrapporsi in modo evidente a interessi geopolitici di Stati-nazione o gruppi politici, escludendo la pista di attori mossi da fini economici e portando gli analisti a collegare queste attività alla Cyber Unit di Hezbollah[11].

Dal 2015, la metodologia di infezione di Lebanese Cedar inizia a prendere forma, consolidandosi come il modello principale per gli attacchi successivi. La catena di attacco iniziava con un’attenta attività di information gathering, con l’obiettivo di personalizzare ogni infezione al target. In questo contesto l’attore cominciava lo scanning prendendo di mira i server web pubblicamente accessibili (come Atlassian Confluence o Oracle Web Application), con l’obiettivo di individuare (in modo sia automatico che manuale) vulnerabilità. Secondo i ricercatori è probabile che l’attore effettuasse le ricognizioni, usando strumenti pubblici di scansione come Shodan, Censys, ZoomEye. Successivamente vengono impiegati tool di brute force (GoBuster, DirBuster) per identificare directory esposte per installare la WebShell.

Spesso questi server erano impiegati per funzionalità aziendali comuni e la loro sicurezza veniva sacrificata in funzione della produttività, rendendoli un bersaglio facile per gli attaccanti. Inoltre, una volta preso il controllo di un server, questo può essere usato come punto di pivot per esplorare, identificare e attaccare ulteriori target all’interno della rete interna[12].

Tipicamente, una volta trovata una vulnerabilità sfruttabile, l’attore la usa per iniettare codice web shell nel server. La web shell viene poi utilizzata per controllare il server della vittima e per inoculare il RAT. Questo approccio, meno rumoroso del phishing, consente di mimetizzarsi nelle reti bersaglio per lunghi periodi, puntando ad esfiltrare informazioni di rilevanza strategica. Nel dettaglio, gli strumenti impiegati in queste campagne di spionaggio sono[13]:

• Explosive RAT (presente in diverse infezioni dal 2015);
• WebShell custom “Caterpillar” (principalmente dal 2019);
• WebShell open source come Mamad Warning Sheller[14], SharPyShell, ASPXSpy e devilzshell (dal 2019)

Una volta installata la webshell, l’attore esegue vari comandi per comprendere meglio il sistema compromesso e la rete circostante. Tra cui:

• Verifica della connettività (ping di siti esterni);
• Elenco di cartelle e file locali;
• Rilevamento dei privilegi utente;
• Enumerazione di utenti locali e di dominio;
• Individuazione dei siti web ospitati dal server;
• Enumerazione delle relazioni di trust del dominio.

Queste informazioni sono propedeutiche per le fasi successive dell’attacco e forniscono un contesto per caricare diversi strumenti. Dal 2020 la catena di attacco dell’attore è rimasta invariata. Tuttavia, l’analisi storica e la documentazione disponibile non hanno portato alla luce nuove rilevazioni di Explosive RAT, ma solo vecchi set di strumenti leggermente modificati, suggerendo un potenziale spostamento di Lebanese Cedar verso tecniche più fileless/LOLBINS e l’uso di strumenti offensivi noti/comuni disponibili su Internet (come ASPXSpy o devilzshell) utilizzati in versione originale o con piccole modifiche [15].

La variazione più significativa (ed unica eccezione) del modus operandi di Lebanese Cedar è stata individuata nella campagna del 2017. Un elemento interessante di questa campagna è stato proprio l’impiego di catene di infezione tipicamente adottate dagli attori associati ad Hamas[16].

In questo caso, la catena di infezione iniziava attraverso il tentativo di adescamento dei target su Facebook attraverso falsi profili di giovani donne attraenti. Una volta ottenuta la fiducia della vittima e spostato i toni della conversazione su tematiche “sessuali”, il catfish la invitava a installare una versione malevola dell’app di messaggistica “Kik Messenger”. Una volta interagito con il link, le vittime venivano indirizzate a un sito web di phishing e, successivamente ad installare l’APK dell’app trojanizzata. Una volta installato, l’APK richiede l’accesso ad una serie di autorizzazioni intrusive e all’installazione dello spyware.

Questa campagna è particolarmente importante nell’analisi di questo attore, in quanto l’infrastruttura impiegata confermò l’ipotesi che il gruppo fosse localizzato in Libano[17]. Tuttavia, secondo quanto riferito dai servizi segreti della Repubblica Ceca (BIS), alcuni dei server C2 erano in Repubblica Ceca. Inoltre, successivamente sono stati individuati altri server localizzati in varie parti dell’Unione Europea e negli Stati Uniti[18].

Questo approfondimento ha mostrato come l’Iran strutturi e utilizzi i cyber proxies per perseguire obiettivi strategici, dalla raccolta intelligence alle operazioni offensive cibernetiche, integrando attori non statali nell’Asse della Resistenza. Il lettore è invitato a proseguire con il prossimo articolo dedicato agli attori di minaccia di Hamas tra cui Gaza Cybergang, Molerats e Arid Viper per comprendere meglio le strategie operative dei proxy palestinesi. Per una visione completa, è possibile scaricare gratuitamente il white paper di Ivano Chiumarulo “Cyber Proxies. Capacità Cibernetiche degli Attori Non Statali Filo-Iraniani”, che raccoglie tutte le informazioni analizzate e ulteriori dettagli sul dominio cyber degli attori filo-iraniani.

Note

[1] https://www.washingtoninstitute.org/policy-analysis/how-iran-fuels-hamas-terrorism

[2] https://www.chathamhouse.org/2025/03/shape-shifting-axis-resistance/02-how-axis-was-formed-and-how-it-has-evolved

[3] https://www.cfr.org/backgrounder/irans-revolutionary-guards

[4] https://www.cfr.org/backgrounder/irans-revolutionary-guards

[5] https://www.chathamhouse.org/2025/03/shape-shifting-axis-resistance/03-uncovering-axiss-economic-support-networks

[6] https://nationalinterest.org/blog/techland-when-great-power-competition-meets-digital-world/how-iran-built-hezbollah-top-cyber/

[7] Ivi.

[8] Addis C. L., Blanchard C. M., Hezbollah: Background and Issues for Congress, 2010.

[9] https://web.archive.org/web/20220128225409/http://content.time.com/time/world/article/0,8599,1224273,00.html

https://time.com/archive/6939536/how-hizballah-hijacks-the-internet/

[10] https://oodaloop.com/analysis/ooda-original/critical-infrastructure-remains-the-brass-ring-for-cyber-attackers-in-2024/

[11] https://blog.checkpoint.com/security/volatilecedar/

[12] https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2015/03/20082004/volatile-cedar-technical-report.pdf

https://threatpost.com/volatile-cedar-apt-group-first-operating-out-of-lebanon/111895/

[13] Ivi.

[14] Mamad Warning Sheller è WebShell associata all’hacker Mamad Warning (o Bax 026”5), noto per attività di defacement di siti web (soprattutto governativi) in Medio Oriente, probabilmente affiliato al gruppo hacktivist iraniano “Persian Hacker”.

[15] https://nationalinterest.org/blog/techland-when-great-power-competition-meets-digital-world/how-iran-built-hezbollah-top-cyber/

[16] https://blog.avast.com/avast-tracks-down-tempting-cedar-spyware

[17] https://blog.avast.com/avast-tracks-down-tempting-cedar-spyware

[18] https://www.binarydefense.com/resources/threat-watch/hezbollahs-cyber-operations-killed-by-czech-authorities/

https://www.ictsecuritymagazine.com/articoli/cyber-proxies/

Le estensioni Chrome AI malevole stanno emergendo come uno dei vettori di compromissione più insidiosi nell’ecosistema enterprise, accanto al phishing tradizionale e alle tecniche di social engineering come ClickFix. La settimana tra l’11 e il 16 febbraio 2026 ha reso questa realtà difficile da contestare: in soli cinque giorni, tre campagne distinte e indipendenti hanno dimostrato che il browser non è più un semplice strumento di navigazione, ma un ambiente di esecuzione ad alto privilegio che gli attaccanti stanno imparando a sfruttare con precisione industriale.

Il 12 febbraio, i ricercatori di LayerX hanno rivelato la campagna AiFrame: almeno 30 estensioni Chrome mascherate da assistenti AI – con nomi come “Gemini AI Sidebar”, “AI Assistant”, “ChatGPT Translate” – che hanno compromesso oltre 260.000 utenti (con alcune testate che riportano cifre fino a 300.000), sottraendo credenziali, contenuto delle email e cronologia di navigazione. L’11 febbraio, Koi Security aveva documentato il primo add-in Outlook malevolo mai rilevato in natura – AgreeTo, un tool di scheduling abbandonato dal suo sviluppatore e rilevato da un attaccante che ne ha preso il controllo per rubare oltre 4.000 credenziali Microsoft. E nella stessa settimana, Koi Security ha smascherato anche VK Styles, una rete di cinque estensioni che aveva silenziosamente dirottato oltre 500.000 account VKontakte.

Tre campagne. Due ecosistemi diversi – Chrome e Outlook. Un unico pattern strutturale: la fiducia implicita che utenti e organizzazioni ripongono nei marketplace ufficiali è diventata l’arma principale degli attaccanti.

Questo articolo non è un bollettino di sicurezza. È l’analisi di come il modello di distribuzione delle estensioni browser sia diventato strutturalmente vulnerabile e di cosa questo significhi per chi difende reti aziendali nel 2026.

Il browser come superficie d’attacco privilegiata: perché le estensioni Chrome AI malevole funzionano

Per comprendere la gravità di quanto accaduto, occorre partire da un dato architetturale che la maggior parte dei professionisti della sicurezza conosce in teoria ma sottovaluta in pratica: le estensioni browser operano con privilegi che pochi altri componenti software possono vantare.

Un’estensione Chrome con i permessi giusti può leggere e modificare il contenuto di qualsiasi pagina web visitata dall’utente, accedere ai cookie di sessione, intercettare le richieste di rete, catturare il contenuto degli appunti e persino registrare audio attraverso l’API Web Speech. Il tutto in background, senza che l’utente noti nulla di anomalo. E la portata del fenomeno è tutt’altro che marginale: secondo il LayerX Enterprise Browser Extension Security Report 2025, il 99% dei dipendenti enterprise ha almeno un’estensione browser installata, il che rende questa superficie d’attacco virtualmente universale negli ambienti aziendali.

Nel framework MITRE ATT&CK, le tecniche sfruttate dalle campagne di febbraio 2026 si mappano con precisione: T1176 – Browser Extensions per l’installazione del componente malevolo, T1539 – Steal Web Session Cookie per l’esfiltrazione dei cookie di sessione, T1185 – Browser Session Hijacking per l’intercettazione in tempo reale del contenuto delle pagine autenticate, e T1557 – Adversary-in-the-Middle per l’architettura iframe che si interpone tra utente e servizio. Comprendere questa mappatura è essenziale per i SOC analyst che devono tradurre l’intelligence sulle minacce in regole di detection operative.

Secondo una ricerca di Cybernews, 86 delle 100 estensioni Chrome analizzate (selezionate tra le più diffuse e raccomandate) richiedono permessi classificabili come ad alto rischio al momento dell’installazione: scripting, accesso esteso agli host, monitoraggio delle tab. Un’analisi condotta da Incogni nel gennaio 2026 su 442 estensioni AI ha rilevato che il 52% raccoglie almeno un tipo di dato utente e il 29% raccoglie informazioni personali identificabili.

Il problema non risiede nei permessi in sé – molte estensioni legittime ne necessitano di ampi per funzionare correttamente. Il problema è che il modello di sicurezza del Chrome Web Store si basa su una revisione che avviene al momento della pubblicazione, non durante l’esecuzione. Ciò che viene ispezionato al momento dell’approvazione non corrisponde necessariamente a ciò che viene eseguito successivamente sul dispositivo dell’utente. Ed è esattamente questa asimmetria che la campagna AiFrame ha sfruttato con efficacia chirurgica.

AiFrame: l’architettura di una campagna coordinata

La campagna AiFrame scoperta da LayerX non è l’opera di un dilettante opportunista. È un’operazione coordinata, industriale nella sua organizzazione, che ha impiegato la tecnica dell’extension spraying – la pubblicazione simultanea di decine di estensioni con nomi e branding diversi ma con identica infrastruttura backend – per massimizzare la superficie di distribuzione e garantire la resilienza contro i takedown.

Tutte le estensioni identificate condividevano lo stesso codebase JavaScript, gli stessi permessi e comunicavano con un’unica infrastruttura backend ospitata sotto il dominio tapnetic[.]pro. L’estensione più diffusa, Gemini AI Sidebar, aveva raggiunto 80.000 installazioni prima della rimozione dal Chrome Web Store. Altre estensioni di rilievo includevano AI Sidebar (70.000 utenti), AI Assistant (60.000 utenti) e ChatGPT Translate (30.000 utenti).

Ma il dettaglio tecnico più rilevante riguarda l’architettura di esecuzione. Le estensioni non implementavano localmente alcuna funzionalità AI. Al loro posto, caricavano un iframe a schermo intero puntato verso sottodomini remoti dell’infrastruttura dell’attaccante – come claude[.]tapnetic[.]pro – che sovrapponeva una finta interfaccia alla pagina web corrente. Per l’utente, l’esperienza appariva identica a quella di un assistente AI legittimo. In realtà, l’intera interfaccia era controllata dall’attaccante, che poteva modificarne il comportamento in qualsiasi momento senza dover sottoporre aggiornamenti al Chrome Web Store.

Questa architettura è particolarmente insidiosa perché sfrutta un punto cieco fondamentale del processo di revisione: Google verifica il codice al momento della pubblicazione, ma il contenuto servito dagli iframe remoti può cambiare liberamente in qualsiasi momento successivo.

Come ha dichiarato la ricercatrice Natalie Zargarov di LayerX a eSecurity Planet, la campagna sfrutta la natura conversazionale delle interazioni con gli assistenti AI, che ha condizionato gli utenti a condividere informazioni dettagliate e sensibili in modo naturale. L’iframe malevolo intercettava questi dati prima ancora che raggiungessero qualsiasi servizio AI legittimo, creando di fatto un attacco man-in-the-middle invisibile tra l’utente e l’interfaccia che credeva autentica.

Cosa rubavano le estensioni Chrome AI malevole: un’analisi dei vettori di esfiltrazione

L’arsenale di raccolta dati della campagna AiFrame operava su quattro livelli distinti, ciascuno con obiettivi specifici.

Il primo livello riguardava l’estrazione del contenuto delle pagine. Le estensioni utilizzavano la libreria Readability di Mozilla per estrarre titoli, testo e metadati da qualsiasi sito visitato dall’utente, incluse pagine autenticate come home banking, pannelli di amministrazione cloud e piattaforme SaaS aziendali. Il contenuto estratto veniva trasmesso all’infrastruttura backend controllata dall’operatore della campagna.

Il secondo livello, forse il più dannoso dal punto di vista enterprise, era dedicato specificamente alla compromissione di Gmail. Quindici delle 30 estensioni includevano uno script di contenuto dedicato che si attivava su mail.google.com al caricamento del documento, iniettava elementi nell’interfaccia utente e utilizzava un MutationObserver per mantenere la persistenza e catturare continuamente il testo dei thread email. Persino le bozze non inviate potevano essere intercettate.

Il terzo livello coinvolgeva un meccanismo di riconoscimento vocale attivabile da remoto. Quando abilitato dall’operatore, questo modulo utilizzava l’API Web Speech del browser per registrare conversazioni reali dall’ambiente fisico dell’utente e generare trascrizioni, trasformando il computer compromesso in un dispositivo di sorveglianza ambientale.

Il quarto livello era la raccolta passiva e continua di credenziali, cookie di sessione e cronologia di navigazione, destinata ad alimentare il mercato degli infostealer e dei credential marketplace nel dark web.

Il risultato complessivo è che queste estensioni funzionavano come broker di accesso generalisti, capaci di raccogliere dati, monitorare il comportamento degli utenti ed evolvere silenziosamente nel tempo – esattamente la definizione che LayerX ha utilizzato nel proprio report.

AgreeToSteal: il primo add-in Outlook malevolo e il problema delle dipendenze dinamiche abbandonate

Se la campagna AiFrame ha dimostrato il rischio delle estensioni Chrome AI malevole distribuite attraverso marketplace ufficiali, il caso AgreeToSteal scoperto da Koi Security ha rivelato un rischio parallelo e forse ancora più subdolo: quello delle dipendenze dinamiche abbandonate.

AgreeTo era un add-in di scheduling per Outlook perfettamente legittimo, sviluppato da un programmatore indipendente e pubblicato nel Microsoft Office Add-in Store nel dicembre 2022. L’add-in funzionava, aveva buone recensioni e puntava a un URL ospitato su Vercel (outlook-one.vercel[.]app) da cui caricava la propria interfaccia. Quando lo sviluppatore ha abbandonato il progetto, l’URL su Vercel è diventato rivendicabile. Un attaccante lo ha rivendicato, vi ha installato un kit di phishing, e l’infrastruttura di Microsoft ha iniziato a servire la pagina malevola direttamente nella barra laterale di Outlook a chiunque avesse ancora l’add-in installato.

Gli add-in di Office non sono software scaricabili nel senso tradizionale. Sono essenzialmente URL che puntano a contenuti caricati nel prodotto Microsoft dal server dello sviluppatore. Questo significa che, come ha dichiarato Idan Dardikman, cofondatore e CTO di Koi Security, a The Hacker News, un add-in che è sicuro il lunedì può servire una pagina di phishing il martedì – o, come in questo caso, anni dopo. Microsoft verifica il manifest XML al momento della sottomissione, ma il contenuto effettivo può cambiare in qualsiasi momento senza ulteriore revisione.

Accedendo al canale di esfiltrazione dell’attaccante – un bot Telegram – i ricercatori di Koi hanno recuperato l’intera portata dell’operazione: oltre 4.000 credenziali Microsoft rubate, numeri di carte di credito e risposte a domande di sicurezza bancaria. L’attaccante stava attivamente testando le credenziali rubate nel momento in cui è stato scoperto e gestiva almeno una dozzina di kit di phishing aggiuntivi destinati a banche e provider di webmail.

Ciò che rende questo caso particolarmente significativo è che la vulnerabilità sfruttata non è tecnica in senso stretto: è architetturale. MDSec aveva identificato gli add-in di Office come superficie d’attacco già nel 2019, concludendo il proprio post con un avvertimento esplicito sulla possibilità che gli sviluppatori potessero distribuire add-in attraverso lo store ufficiale e sulle implicazioni di sicurezza di questa architettura. Sette anni dopo, AgreeTo è esattamente lo scenario che avevano previsto.

VK Styles e il pattern emergente: quando l’estensione diventa un’infrastruttura di comando

La terza campagna della “settimana nera” delle estensioni browser – VK Styles, scoperta sempre da Koi Security – aggiunge un ulteriore livello di complessità al quadro. Cinque estensioni Chrome mascherate da strumenti di personalizzazione per VKontakte (il social network russo da oltre 650 milioni di utenti) avevano silenziosamente dirottato oltre 500.000 account, mantenendo il controllo persistente per oltre sette mesi, da giugno 2025 a gennaio 2026.

La sofisticazione di questa campagna risiede nella sua architettura di command-and-control. Invece di comunicare con server esterni facilmente bloccabili, il malware utilizzava i tag metadata HTML di un profilo VKontakte come dead drop resolver – una tecnica mutuata dall’intelligence tradizionale in cui un punto di scambio apparentemente innocuo viene utilizzato come intermediario per nascondere le comunicazioni operative – celando gli URL dei payload di secondo stadio all’interno di contenuti che, per qualsiasi sistema di sicurezza, apparivano come normali metadati di un profilo social. Il codice malevolo era ospitato in un repository GitHub pubblico associato all’utente 2vk, con 17 commit documentati che mostravano un’evoluzione deliberata e sistematica delle funzionalità.

Come riportato nell’analisi di Koi Security, questa non è opera approssimativa: è un progetto software mantenuto con controllo di versione, testing e miglioramenti iterativi. Ogni aggiornamento ampliava le capacità del malware: manipolazione dei cookie CSRF per bypassare le protezioni di sicurezza di VK, iscrizione automatica delle vittime a gruppi controllati dall’attaccante (con probabilità del 75% a ogni sessione), reset forzato delle impostazioni dell’account ogni 30 giorni e tracciamento delle donazioni tramite l’API VK Donut per monetizzare direttamente le vittime.

Il contesto strutturale: un problema che non riguarda solo febbraio 2026

La concentrazione di eventi della seconda settimana di febbraio 2026 potrebbe dare l’impressione di un picco anomalo. In realtà, è la manifestazione visibile di un trend strutturale in accelerazione.

A dicembre 2024, un attacco alla supply chain aveva compromesso l’estensione Chrome di Cyberhaven, un’azienda di cybersecurity specializzata in data loss prevention. Un attacco di phishing aveva indotto uno sviluppatore a concedere l’accesso a un’applicazione OAuth malevola denominata “Privacy Policy Extension” – senza che le credenziali Google dello sviluppatore fossero effettivamente compromesse -, consentendo agli attaccanti di pubblicare una versione malevola dell’estensione che esfiltrò cookie e sessioni autenticate per circa 24 ore. L’incidente faceva parte di una campagna più ampia che aveva compromesso almeno 35 estensioni Chrome, esponendo oltre 2,6 milioni di utenti, come documentato dai ricercatori di Hunters Security e Sekoia.

A febbraio 2026, il ricercatore indipendente Q Continuum ha pubblicato un’analisi sistematica che ha identificato 287 estensioni Chrome coinvolte nell’esfiltrazione della cronologia di navigazione verso data broker, per un totale di 37,4 milioni di installazioni – circa l’1% dell’intera base utenti globale di Chrome. Le entità coinvolte nella raccolta dei dati spaziavano da Similarweb ad Alibaba Group, da ByteDance a numerosi broker di dati minori.

Secondo un’analisi di Barracuda Networks pubblicata il 25 febbraio 2026, le estensioni browser non sono più minacce marginali o fastidi di basso livello: sono ora un vettore di attacco scalabile, furtivo e capace di condurre sorveglianza su milioni di utenti, rubare dati sensibili e compromettere silenziosamente la sicurezza organizzativa. Uno studio condotto dalla Stanford University e dal CISPA Helmholtz Center for Information Security aveva già identificato migliaia di estensioni classificabili come security-noteworthy – contenenti malware, violazioni delle policy sulla privacy o vulnerabilità note – che rimanevano disponibili per anni, accumulando milioni di installazioni.

Estensioni Chrome AI malevole: perché il brand “intelligenza artificiale” è il cavallo di Troia perfetto

C’è un motivo specifico per cui la campagna AiFrame ha scelto di mascherarsi da assistente AI, e non è casuale. L’adozione massiva di strumenti come ChatGPT, Claude, Gemini e Grok ha creato un fenomeno comportamentale senza precedenti: gli utenti sono disposti a installare qualsiasi cosa prometta funzionalità AI, con una soglia di verifica significativamente più bassa rispetto ad altri tipi di software.

L’analisi di Incogni del gennaio 2026 su 442 estensioni AI nel Chrome Web Store ha documentato che il 42% utilizza il permesso di scripting – potenzialmente in grado di influenzare 92 milioni di utenti – e il 31,4% raccoglie contenuti dei siti web visitati. Tra le estensioni con oltre 2 milioni di download, anche strumenti legittimi e noti come Grammarly e QuillBot sono stati classificati come potenzialmente ad alto impatto sulla privacy, per la combinazione di dati raccolti e permessi richiesti – pur presentando, come nota Incogni, una bassa probabilità di utilizzo malevolo.

Il brand AI funziona come leva di fiducia perché opera su tre livelli psicologici simultanei. Il primo è l’urgenza dell’adozione: in un contesto lavorativo dove l’AI è percepita come vantaggio competitivo, il ritardo nell’adozione viene vissuto come rischio professionale. Il secondo è la normalizzazione della condivisione: le interfacce conversazionali addestrano gli utenti a condividere informazioni dettagliate – codice proprietario, documenti riservati, credenziali – come parte naturale del flusso di lavoro.

Il terzo è la fiducia nel marketplace: la presenza sul Chrome Web Store, con badge “Featured” e migliaia di recensioni, crea un’apparenza di legittimità che pochi utenti contestano. Alcune delle estensioni AiFrame erano addirittura contrassegnate come “Featured” dallo store, come evidenziato sia da LayerX che da Infosecurity Magazine, aumentando ulteriormente la fiducia degli utenti e accelerandone l’adozione.

Il modello di sicurezza rotto: “approva una volta, fidati per sempre”

Il filo rosso che collega AiFrame, AgreeToSteal e VK Styles non è il tipo di dati rubati o il vettore di distribuzione specifico. È un difetto architetturale comune a tutti i marketplace di estensioni e add-in: il modello “approva una volta, fidati per sempre”.

Google verifica il codice di un’estensione al momento della pubblicazione. Microsoft verifica il manifest XML di un add-in al momento della sottomissione. Ma nessuno dei due verifica sistematicamente che cosa viene effettivamente eseguito in seguito. Nel caso di AiFrame, il codice approvato era tecnicamente benigno: caricava un iframe. Il contenuto dell’iframe, controllato dall’attaccante, poteva cambiare in qualsiasi momento. Nel caso di AgreeToSteal, il manifest dell’add-in non era mai cambiato: era l’URL di destinazione a essere stato dirottato. Nel caso di VK Styles, i payload malevoli erano ospitati su un profilo VKontakte e un repository GitHub, completamente al di fuori del perimetro di monitoraggio del Chrome Web Store.

Come ha dichiarato Dardikman di Koi Security a The Hacker News, il problema strutturale è identico in tutti i marketplace che ospitano dipendenze remote dinamiche: approvazione una tantum e fiducia perenne. I dettagli specifici variano per piattaforma, ma il gap fondamentale che ha reso possibile AgreeToSteal esiste ovunque un marketplace verifichi un manifest al momento della sottomissione senza monitorare ciò che gli URL referenziati servono effettivamente in seguito.

Vale la pena osservare che Google non è rimasta inerte. La transizione da Manifest V2 a Manifest V3, avviata nel 2023 e progressivamente imposta nel Chrome Web Store, ha introdotto restrizioni significative: i background script persistenti sono stati sostituiti da service worker con ciclo di vita limitato, i permessi devono essere dichiarati esplicitamente e le capacità di intercettazione delle richieste di rete sono state ridotte.

In teoria, MV3 avrebbe dovuto ridurre drasticamente la superficie d’attacco delle estensioni. In pratica, la campagna AiFrame dimostra i limiti di questo approccio: spostando l’intera logica malevola in un iframe remoto caricato dal server dell’attaccante, l’estensione opera in un territorio che MV3 non è progettato per governare. Il codice esaminabile al momento della pubblicazione è minimo e tecnicamente benigno; è il contenuto servito a runtime dall’infrastruttura esterna che compie le azioni malevole. MV3 ha alzato l’asticella, ma non ha risolto il problema fondamentale delle dipendenze dinamiche non monitorate.

Questo non è un bug. È un difetto di progettazione che trasforma ogni estensione browser e ogni add-in Office in una potenziale backdoor dormiente, attivabile dall’attaccante nel momento che ritiene più opportuno.

Implicazioni operative per i professionisti della sicurezza

La domanda che ogni CISO dovrebbe porsi dopo la settimana dell’11-16 febbraio 2026 non è “come impedisco agli utenti di installare estensioni malevole” – una battaglia persa in partenza. La domanda corretta è: “tratto il browser come parte della superficie d’attacco enterprise con la stessa governance che applico agli endpoint e ai servizi cloud?”.

Le contromisure efficaci operano su diversi piani complementari.

Sul piano della governance delle estensioni, le organizzazioni devono implementare policy di allowlisting che consentano l’installazione solo di estensioni specificamente approvate. Chrome Enterprise offre controlli gestiti che permettono agli amministratori IT di curare liste di estensioni sicure, bloccare minacce note e rimuovere add-on compromessi. La revisione deve essere un processo continuo, non un’approvazione una tantum: ogni aggiornamento di un’estensione autorizzata dovrebbe innescare una nuova valutazione.

Sul piano del monitoraggio comportamentale, è necessario implementare soluzioni che osservino il comportamento delle estensioni in tempo reale – trasferimenti di dati anomali, comunicazioni frequenti con server esterni, alterazione delle impostazioni del browser – piuttosto che affidarsi esclusivamente alla reputazione al momento dell’installazione. Le estensioni vanno trattate come componenti software privilegiati che richiedono sorveglianza continua.

Sul piano della detection operativa, i SOC analyst dovrebbero implementare regole specifiche per identificare i pattern documentati in queste campagne. Per la campagna AiFrame, gli indicatori critici includono: connessioni in uscita verso il dominio tapnetic[.]pro e relativi sottodomini, la presenza di iframe full-screen iniettati da estensioni che sovrappongono contenuti remoti alle pagine web attive, e l’attivazione non autorizzata dell’API Web Speech da processi collegati a estensioni.

Per AgreeToSteal, l’indicatore principale è l’add-in con ID WA200004949 e connessioni verso outlook-one.vercel[.]app. Le regole Sigma per la detection di esfiltrazione via estensioni browser dovrebbero monitorare volumi anomali di traffico HTTPS in uscita correlati ai processi del browser, in particolare verso domini registrati di recente o con bassa reputazione, e l’accesso programmatico ai contenuti di Gmail (letture DOM ripetute su mail.google.com con pattern temporali regolari). La lista completa degli indicatori di compromissione per la campagna AiFrame è disponibile nel report tecnico di LayerX.

Sul piano della riduzione della superficie d’attacco, occorre valutare criticamente i permessi richiesti da ogni estensione. Un’estensione di presa appunti che richiede accesso a tutti i dati su tutti i siti web è un segnale d’allarme. Le wildcard nei permessi host dovrebbero essere bloccate salvo giustificazione documentata. L’accesso alle API sensibili come Web Speech, clipboard e storage dovrebbe essere limitato al minimo indispensabile.

Sul piano della protezione dell’identità, il caso AiFrame dimostra che i cookie di sessione rubati tramite estensioni malevole alimentano direttamente la catena infostealer – credential marketplace – attacco ransomware. L’adozione di autenticazione FIDO2/WebAuthn, la revoca automatica delle sessioni e il monitoraggio continuo delle sessioni attive diventano essenziali quando il browser è un vettore di compromissione primario.

Sul piano della gestione degli add-in Office, il caso AgreeToSteal impone un audit sistematico di tutti gli add-in installati in ambiente Microsoft 365, con attenzione particolare a quelli non più mantenuti dallo sviluppatore originale. Gli add-in abbandonati con URL potenzialmente rivendicabili rappresentano un rischio specifico che richiede inventariazione e bonifica proattiva.

La dimensione normativa: NIS2, DORA e la responsabilità dell’organizzazione

Le implicazioni di quanto documentato non sono esclusivamente tecniche. La direttiva NIS2, in vigore nell’Unione Europea, impone alle entità essenziali e importanti l’adozione di misure di gestione del rischio cybersecurity che comprendano la sicurezza della supply chain, inclusa la gestione delle vulnerabilità nei componenti software forniti da terze parti. Le estensioni browser installate sui dispositivi aziendali rientrano pienamente in questa definizione.

Il Regolamento DORA (Digital Operational Resilience Act), applicabile al settore finanziario europeo, richiede esplicitamente la gestione del rischio ICT legato a fornitori terzi e la verifica continua della resilienza operativa digitale. Un’estensione Chrome che esfiltra il contenuto delle email aziendali e le credenziali di accesso ai servizi cloud rappresenta un incidente che rientra negli obblighi di segnalazione previsti dal regolamento.

Per le organizzazioni soggette al GDPR, la raccolta non autorizzata di email, credenziali e cronologia di navigazione attraverso estensioni malevole costituisce una violazione dei dati personali che richiede notifica all’autorità di controllo entro 72 ore dalla scoperta. Il fatto che la compromissione sia avvenuta attraverso un componente software installato dall’utente non esime l’organizzazione dalla responsabilità: la mancata governance delle estensioni browser sui dispositivi aziendali può essere contestata come inadeguatezza delle misure tecniche e organizzative previste dall’articolo 32.

Prospettive e scenari evolutivi

La traiettoria delle estensioni Chrome AI malevole nel 2026 suggerisce tre sviluppi che i professionisti della sicurezza dovrebbero anticipare.

Il primo è la convergenza tra estensioni malevole e agenti AI. Con l’adozione crescente di agenti AI che operano attraverso il browser – navigando siti, compilando moduli, interagendo con servizi web – le estensioni malevole possono intercettare, manipolare o reindirizzare le azioni degli agenti. Un’estensione che modifica silenziosamente il contenuto di una pagina prima che un agente AI lo processi può avvelenare le decisioni a valle senza lasciare tracce visibili.

Il secondo è la weaponization dei marketplace come canale di distribuzione. Il modello AiFrame dimostra che i marketplace ufficiali possono essere utilizzati come infrastruttura di distribuzione affidabile per campagne malevole su larga scala. La combinazione di extension spraying, iframe remoti e aggiornamenti server-side crea un modello di attacco altamente resiliente che le attuali policy di revisione degli store non sono in grado di contrastare efficacemente.

Il terzo è l’estensione del pattern ad altri ecosistemi. AgreeToSteal ha dimostrato che il medesimo modello di attacco – dipendenze remote dinamiche il cui contenuto può cambiare dopo l’approvazione – si applica agli add-in di Microsoft Office, ai plugin degli IDE come Visual Studio Code e potenzialmente a qualsiasi piattaforma che distribuisca componenti con dipendenze esterne non monitorate.

Conclusione: il browser non è più un’applicazione – è un perimetro

La settimana dell’11-16 febbraio 2026 ha reso evidente ciò che molti professionisti della sicurezza sospettavano da tempo: il browser è diventato un ambiente di esecuzione ad alto privilegio che opera al di fuori della governance tradizionale di endpoint e rete. Le estensioni Chrome AI malevole della campagna AiFrame, il dirottamento dell’add-in Outlook AgreeToSteal e la compromissione di massa di VK Styles non sono incidenti isolati. Sono manifestazioni di un problema architetturale che riguarda l’intero ecosistema dei marketplace software: il modello “approva una volta, fidati per sempre” è strutturalmente incompatibile con un panorama di minacce in cui gli attaccanti possono modificare il comportamento di un componente approvato in qualsiasi momento successivo alla revisione.

Per i CISO e i responsabili della sicurezza, la lezione operativa è chiara: il browser va trattato come parte integrante della superficie d’attacco enterprise, con governance, visibilità e capacità di risposta equivalenti a quelle applicate agli endpoint e ai servizi cloud. Senza questo cambio di paradigma, strumenti apparentemente innocui di produttività e personalizzazione continueranno a trasformarsi in canali di compromissione persistente che operano in piena vista.

Le estensioni Chrome AI malevole non sono una minaccia emergente. Sono una minaccia strutturale che richiede una risposta strutturale.

Fonti principali

LayerX Security – AiFrame: Fake AI Assistant Extensions Targeting 260,000 Chrome Users (febbraio 2026)

Koi Security – AgreeToSteal: The First Malicious Outlook Add-In (febbraio 2026)

Koi Security – VK Styles: 500K Users Infected (febbraio 2026)

BleepingComputer – Fake AI Chrome Extensions with 300K Users (febbraio 2026)

The Hacker News – Malicious Chrome Extensions Caught Stealing Business Data (febbraio 2026)

The Hacker News – First Malicious Outlook Add-In Found (febbraio 2026)

eSecurity Planet – 260K Users Exposed in AI Extension Scam (febbraio 2026)

The Record – Over 500,000 VKontakte Accounts Hijacked (febbraio 2026)

Cyberhaven – Chrome Extension Security Incident (dicembre 2024)

Hunters Security – Chrome Extension Threat Campaign (gennaio 2025)

Sekoia – Targeted Supply Chain Attack Against Chrome Browser Extensions (marzo 2025)

Q Continuum – Spying Chrome Extensions: 287 Extensions (febbraio 2026)

Barracuda Networks – The Hidden Cybersecurity Risk in Browser Extensions (25 febbraio 2026)

Incogni – Ranking AI-Powered Chrome Extensions by Privacy Risk 2026 (gennaio 2026)

Cybernews – Chrome Extensions: Too Many Dangerous Permissions (2025)

Infosecurity Magazine – Fake AI Assistants in Google Chrome Web Store (febbraio 2026)

LayerX Security – Enterprise Browser Extension Security Report 2025 (aprile 2025)

Stanford University e CISPA – What is in the Chrome Web Store? Investigating Security-Noteworthy Browser Extensions (giugno 2024)

MDSec – Abusing Office Web Add-ins (gennaio 2019)

MITRE ATT&CK – T1176 Browser Extensions

MITRE ATT&CK – T1539 Steal Web Session Cookie

MITRE ATT&CK – T1185 Browser Session Hijacking

MITRE ATT&CK – T1557 Adversary-in-the-Middle

https://www.ictsecuritymagazine.com/articoli/estensioni-chrome-ai-malevole/

Negli ultimi tempi il threat hunting “hypothesis-driven” è diventato la forma più evoluta di difesa proattiva.

Non si tratta semplicemente di cercare indicatori nei log o di fare ricerche casuali in un SIEM, l’idea di fondo è proprio diversa: partire da un’ipotesi concreta su come potrebbe agire un avversario e verificare, in modo strutturato, se nei nostri sistemi esistano tracce compatibili con quel comportamento.

In questo approccio il Threat hunter non aspetta un alert dato da una console. Non reagisce: anticipa.

Parte da una domanda investigativa costruita sulla base di intelligence, conoscenza delle TTP di tutti i Threat Actor (noti e non noti) e la reale comprensione dell’infrastruttura aziendale. L’obiettivo non è trovare “qualcosa di strano”, ma cercare evidenze coerenti con uno scenario d’attacco plausibile, anche se mai ancora intercettato dai meccanismi di detection tradizionali.

Threat Hunting Hypothesis-Driven: l’evoluzione dell’hunting proattivo

La maturità di un programma di threat hunting non si costruisce in un giorno, è un percorso evolutivo piuttosto chiaro (e prolungato).

All’inizio, molte organizzazioni svolgono attività sporadiche, spesso legate a IOC statici o a esigenze spot. Il logging a disposizione è spesso limitato, le analisi sono manuali e guidate dal buon senso, di conseguenza, non esiste un processo formalizzato. In questa fase l’hunting è più un’iniziativa individuale che un servizio strutturato.

Con il tempo, però, l’approccio può maturare grazie ad esperienza e lesson learned (se viene svolto anch’esso in modo strutturato). L’Hunting Maturity Model (https://www.sans.org/tools/hunting-maturity- model) descrive questa evoluzione considerando diversi fattori: qualità e ampiezza delle fonti dati, formalizzazione delle ipotesi e scopes, competenze analitiche del team e integrazione con il detection engineering del SOC o dell’Incident Response Team.

Quando la maturità aumenta, crescono anche le fonti disponibili: endpoint telemetry, network data, identity logs, audit trail cloud. Framework come MITRE ATT&CK o MITRE D3FEND iniziano a essere usati per modellare le ipotesi e strutturare i report. Nei livelli più avanzati, l’hunting diventa ciclico, misurabile e integrato nel miglioramento continuo: ogni attività produce nuove regole, identifica gap di visibilità o rafforza la copertura esistente.

Un passaggio cruciale in questo percorso è l’abbandono dell’approccio “IOC driven” statico in favore di quello “TTP driven”. Gli indicatori sono fragili, cambiano rapidamente e possono essere facilmente aggirati. Le tecniche, invece, riflettono il modus operandi dell’avversario e tendono a essere più stabili nel tempo.

Ma lavorare sulle TTP richiede esperienza reale e conoscenza degli attori, esposizione a casi concreti, capacità di riconoscere varianti e polimorfismi delle tecniche durante attacchi effettivi.

Un hunting efficace non nasce nel vuoto. Senza intelligence, l’ipotesi rischia di essere astratta o scollegata dal contesto reale.

La Cyber Threat Intelligence fornisce il punto di partenza: attori attivi, campagne in corso, tecniche emergenti, pattern infrastrutturali. Tuttavia, il valore non sta nel report in sé, ma nella capacità di trasformarlo in una domanda operativa.

Se un report descrive l’abuso di token OAuth in ambienti cloud, non è sufficiente conoscere hash o domini. La domanda diventa: “Se un attore con queste capacità stesse operando nel nostro tenant, quali tracce comportamentali dovremmo osservare?”

Da qui nascono query su anomalie nei consensi applicativi, uso atipico di API, persistenza tramite service principal o comportamenti anomali su identity logs.

L’integrazione deve essere bidirezionale. La CTI alimenta l’hunting, ma i risultati dell’hunting evidenze, falsi positivi ricorrenti, nuove tecniche osservate devono a loro volta arricchire il ciclo di intelligence. Solo così si crea un ecosistema realmente dinamico.

Proviamo a vedere assieme un esempio applicato:

Un report CTI segnala che un gruppo sta abusando di service principal in Microsoft 365 per ottenere persistenza tramite permessi API elevati.

Il team di Threat Hunting parte da questa informazione e verifica creazioni recenti di service principal, assegnazioni anomale di privilegi e autenticazioni sospette. Durante l’analisi emergono però due aspetti inattesi: un’applicazione legittima che replica parte di quel comportamento (falso positivo ricorrente) e una tecnica non documentata di assegnazione temporanea dei permessi seguita da revoca immediata. Queste evidenze vengono condivise con il team CTI, che aggiorna il proprio dataset inserendo il nuovo pattern e riclassificando alcuni indicatori come deboli.

In questo modo l’intelligence genera l’hunting, ma è l’hunting stesso a renderla più precisa e aderente al contesto reale.

Il “TTP driven” hunting si basa su una struttura logica chiara:

• scope
• comportamento atteso
• artefatti generati
• fonti dati disponibili
• criteri di validazione

Prendiamo un caso classico: LSASS memory dumping. L’errore sarebbe cercare direttamente “Mimikatz” “mimi*”.

L’ipotesi corretta per questo tipo d’attività è più ampia: “Un attore che intende effettuare credential access potrebbe generare accessi sospetti al processo LSASS, creare handle privilegiati o produrre dump di memoria anomali.”

L’analisi si concentra quindi su eventi EDR relativi a process access, creazione di file dump, utilizzo inconsueto di API di debugging, e se il logging lo permette (difficile) valutare le syscalls utilizzate nella finestra temporale in scope. Non si cerca uno strumento specifico, ma un comportamento.

In scenari più complessi, ad esempio lateral movement tramite WebDAV combinato con NTLM relay in ambienti ibridi, l’ipotesi diventa molto più articolata. Non si cerca “ntlmrelayx”, ma si formula una correlazione comportamentale.

Nella mente del threat hunter potrebbe esserci una frase di questo tipo:

“Se un attore stesse tentando un relay NTLM via WebDAV, potremmo trovare autenticazioni NTLM anomale verso servizi interni, precedute da traffico WebDAV outbound atipico.”

L’attività di hunting si sposta quindi sulla correlazione temporale tra:

• richieste HTTP con metodo PROPFIND o traffico WebDAV inconsueto,
• autenticazioni NTLM verso target interni non usuali,
• accessi SMB o HTTP privi di signing

Anche in assenza di compromissione confermata, un’attività del genere può portare alla scoperta di debolezze strutturali: SMB signing non abilitato, Extended Protection non enforced, logging insufficiente. Il valore, quindi, non è solo individuare un attacco, ma rafforzare l’architettura.

Architettura e strumenti: la base tecnica

Un approccio hypothesis driven richiede una base dati coerente e realmente interrogabile. Se, ad esempio, i log di identity vengono conservati solo per 7 giorni, un’ipotesi su una persistenza di 30 giorni diventa semplicemente non verificabile. Allo stesso modo, un SIEM con parsing incompleto dei log cloud può impedire di correlare un’attività sospetta su Azure AD con un evento su endpoint, frammentando l’analisi.

In ambienti più complessi, un’architettura data lake-oriented consente di centralizzare log eterogenei (endpoint, network, SaaS, IaaS) e di normalizzarli. Questo permette, ad esempio, di testare un’ipotesi che correli autenticazioni anomale, creazione di nuove VM e traffico verso ASN a rischio in un’unica query, anziché tramite analisi manuali separate.

La scelta degli strumenti incide direttamente sulla profondità dell’hunting: senza EDR con visibilità su process tree e command-line, non è possibile validare ipotesi su tecniche di “living off the land”; senza NDR, un beacon a basso rumore su protocollo DNS può rimanere invisibile; senza strumenti di identity analytics, pattern di privilege escalation graduale possono sembrare attività amministrative legittime.

Anche il linguaggio di query è parte dell’architettura: un ambiente che supporta KQL o SPL con join efficienti e funzioni di aggregazione avanzate consente pivot rapidi e analisi iterative. Se invece il motore non gestisce correlazioni complesse o soffre di latenze elevate, l’hunting perde profondità e diventa superficiale.

Nei contesti più maturi, la disponibilità di modelli comportamentali e baseline storiche abilita analisi di deviazione reali: ad esempio, identificare un service account che accede per la prima volta a una risorsa sensibile fuori dal proprio perimetro abituale.

L’automazione accelera enrichment, contestualizzazione e raccolta di indicatori, ma non sostituisce il ragionamento. Quando l’ipotesi riguarda una tecnica emergente o un comportamento ambiguo, è la qualità dell’architettura sottostante retention, normalizzazione, capacità di correlazione a determinare se l’hunter potrà davvero dimostrarla o dovrà fermarsi a un sospetto.

Elementi infrastrutturali fondamentali per il Threat Hunting

• Retention adeguata dei log
  • almeno 6–12 mesi per identity, endpoint e cloud activities
• Normalizzazione e data modeling coerente tra fonti diverse
• Visibilità endpoint avanzata
  • process tree, command-line, registry, scheduled task, network connections
• Telemetria di rete est–ovest e north–south
  • con capacità di analisi comportamentale
• Logging completo del piano di controllo cloud
  • audit log, API call, IAM changes
• Identity telemetry dettagliata
  • token issuance, conditional access, MFA events, service principal activity
• Motore di query performante e flessibile
  • con supporto a join, aggregazioni e funzioni temporali
• Integrazione CTI strutturata
  • con indicator scoring e gestione della qualità degli IOC
• Capacità di enrichment automatizzato
  • WHOIS, passive DNS, reputation, asset context
• Baseline comportamentali e dataset storici
  • Anche se questo elemento solitamente è molto complesso da ottenere ed indica una grande maturità aziendale, per le analisi di deviazione strutturate resta un asset fondamentale

In assenza completa o parziale di questi elementi, l’hunting tende a ridursi a ricerca reattiva di indicatori; con essi, diventa un’attività esplorativa e realmente orientata alla scoperta.

Uno degli errori più comuni è considerare l’hunting un esercizio teorico. In realtà, ogni ciclo deve produrre risultati tangibili.

Gli output principali si possono ricondurre a tre categorie:

1. Compromissioni identificate
2. Miglioramenti al detection engineering
3. Aumento della visibilità del rischio

Anche un hunting che non rileva incidenti può avere grande valore. Ad esempio, può evidenziare che una tecnica ATT&CK non è coperta da alcuna telemetria disponibile.

La formalizzazione è fondamentale: descrizione dell’ipotesi, dataset analizzati, query utilizzate, risultati ottenuti e decisioni operative. Questo garantisce tracciabilità, auditability e, in contesti regolamentati, dimostrazione di due diligence.

Il threat hunting hypothesis-driven è, per natura, iterativo. Ogni attività alimenta la successiva.

Se un’ipotesi si rivela valida e genera una nuova detection rule (ad esempio implementata anche tramite Sigma o Yara), quella tecnica entra nel monitoraggio continuo, riducendo la necessità di future analisi manuali sullo stesso pattern.

Se emergono gap come l’assenza di logging su specifici eventi, questi devono tradursi in remediation tecnica. In questo modo l’hunting diventa uno strumento diretto di crescita della maturità complessiva.

Il feedback coinvolge anche il team: le tecniche analizzate, le query sviluppate e i casi reali diventano materiale per esercitazioni e tabletop, rafforzando il pensiero analitico e la capacità di modellare ipotesi.

Gli strumenti sono importanti, ma non sono l’elemento decisivo.

Un threat hunter efficace deve saper ragionare per ipotesi, evitare bias cognitivi e comprendere a fondo il funzionamento reale di sistemi operativi, protocolli di rete, Active Directory e workload cloud. Senza una chiara percezione del comportamento “normale” dell’infrastruttura, è impossibile riconoscere l’anomalia significativa.

Serve padronanza dei linguaggi di query, capacità di correlare fonti eterogenee e lettura critica della telemetria. Ma soprattutto serve metodo nel trasformare un insight di CTI o una TTP in una domanda tecnica verificabile sui dati.

Il valore del threat hunting non dipende solo dalla tecnologia adottata (anzi, la tecnologia in questi casi rappresenta solo una parte del valore legata a questo tipo d’attività). Il risultato, infatti, dipende dalla qualità analitica di chi la utilizza e dalla capacità dell’organizzazione di integrare l’hunting in un processo strutturato, misurabile e orientato al miglioramento continuo.

Stay Safe. Be Proactive.

https://www.ictsecuritymagazine.com/articoli/threat-hunting-hypothesis-driven/

La frode occupazionale nordcoreana assistita dall’intelligenza artificiale ha superato la soglia dell’episodio isolato. È diventata un’operazione industriale, sistematica, globale, e sorprendentemente efficace.

Nel luglio 2024, KnowBe4 – una delle aziende più note nel settore della security awareness – ha rivelato pubblicamente di aver assunto un ingegnere software che si è rivelato essere un operativo nordcoreano. Il candidato aveva superato quattro colloqui video, verifiche referenziali, background check. La sua foto era un’immagine stock modificata con AI. Quando il laptop aziendale è arrivato all’indirizzo indicato, il SOC team ha rilevato attività sospette: caricamento di malware, manipolazione dei file di sessione, esecuzione di software non autorizzato. Come ha scritto il CEO Stu Sjouwerman con disarmante onestà: se è successo a noi, può succedere a chiunque.

Un anno dopo, sappiamo che è successo a molti. A moltissimi. Secondo quanto riportato da Axios nell’agosto 2025, nove responsabili della sicurezza su nove intervistati hanno dichiarato di non aver ancora incontrato un’azienda Fortune 500 che non abbia inconsapevolmente assunto almeno un lavoratore IT nordcoreano. CrowdStrike, nel suo Threat Hunting Report 2025, ha documentato un incremento del 220% delle infiltrazioni nell’ultimo anno, con oltre 320 aziende compromesse – attività attribuita al cluster che l’azienda traccia come Famous Chollima, attivo almeno dal 2018. Google stessa ha ammesso alla RSA Conference di maggio 2025 di aver ricevuto candidature nordcoreane. SentinelOne idem. Il fenomeno non è un’anomalia: è una condizione strutturale del mercato del lavoro tecnologico remoto.

Ma è il Threat Intelligence Report di Anthropic dell’agosto 2025 ad aver introdotto la dimensione che trasforma questa minaccia da problema HR a questione di sicurezza nazionale e di paradigma: la dipendenza totale dall’AI. Gli operativi nordcoreani documentati da Anthropic non sono programmatori competenti che usano l’intelligenza artificiale per lavorare più velocemente. Sono persone che non sanno scrivere codice, non parlano inglese in modo professionale, non comprendono i riferimenti culturali americani – eppure mantengono impieghi a tempo pieno come ingegneri software in aziende Fortune 500. L’AI non amplifica le loro competenze: le sostituisce integralmente.

Questo articolo ricostruisce l’intero ciclo della frode occupazionale nordcoreana nell’era dell’AI – dalla costruzione dell’identità alla monetizzazione per i programmi di armamento – e ne analizza le implicazioni per chi deve ripensare i processi di hiring, compliance e sicurezza interna.

Dal Dipartimento 53 all’AI: lo shift paradigmatico

Per comprendere cosa l’AI ha cambiato, occorre prima comprendere cosa c’era prima.

La Corea del Nord ha reso la tecnologia informatica una priorità nazionale sotto Kim Jong Un a partire dal 2011. Secondo il National Intelligence Service sudcoreano, il personale nelle divisioni cyber della DPRK è cresciuto da 6.800 unità nel 2022 a 8.400 nel 2024, includendo infiltratori IT, ladri di criptovalute e hacker militari. Le operazioni IT fraudolente sono gestite dal Dipartimento 53 dell’Ufficio Generale di Ricognizione (RGB – Reconnaissance General Bureau), l’agenzia di intelligence militare nordcoreana, specializzato nell’evasione delle sanzioni attraverso il lavoro IT. Il programma opera in parallelo con i più noti gruppi cyber offensivi nordcoreani – Labyrinth Chollima (spionaggio), Stardust Chollima (furto finanziario) – ma con un mandato distinto: generazione di valuta estera attraverso l’impiego fraudolento.

Il modello tradizionale funzionava così: giovani selezionati venivano formati in scuole d’élite a Pyongyang e dintorni, acquisivano competenze tecniche reali nell’arco di anni, e venivano poi dispiegati in team di quattro o cinque persone in Cina, Russia, Nigeria, Cambogia, Emirati Arabi Uniti. Il collo di bottiglia era la formazione. Per generare un operativo funzionale servivano anni di investimento in addestramento specialistico, e la capacità formativa del regime era il vincolo operativo principale che limitava la scala delle operazioni.

L’AI ha eliminato quel vincolo.

Come ha sintetizzato il team di threat intelligence di Anthropic: non serve conoscere l’inglese, non serve conoscere il contesto culturale degli Stati Uniti, non servono competenze tecniche – perché l’AI può aiutarti a superare ciascuna di queste barriere. Il passaggio è da un modello training-intensive (formazione pluriennale d’élite) a un modello AI-augmented (operativi con competenze minime potenziati dall’assistenza AI in tempo reale). La capacità formativa del regime non è più il fattore limitante. Lo è la disponibilità di modelli linguistici sufficientemente capaci – una risorsa che, per definizione, è abbondante e in rapida crescita.

L’anatomia della frode: quattro fasi, un solo obiettivo

L’operazione di frode occupazionale nordcoreana nell’era dell’AI si articola in quattro fasi distinte, ciascuna trasformata in modo radicale dall’integrazione dell’intelligenza artificiale. La nomenclatura dei threat actor varia tra i vendor di threat intelligence: CrowdStrike traccia questa attività come Famous Chollima (precedentemente BadClone), Microsoft come Jasper Sleet (in precedenza Storm-0287), Secureworks come Nickel Tapestry, Mandiant/Google come UNC5267. Sebbene le tassonomie differiscano, i cluster si sovrappongono sostanzialmente nella descrizione delle tattiche e dell’infrastruttura operativa.

Fase 1 – Persona development: identità sintetiche su scala industriale

La prima fase è la costruzione dell’identità. Gli operativi utilizzano identità rubate o sintetiche di cittadini statunitensi, corredate da documentazione fraudolenta: passaporti, patenti, Social Security Number. Microsoft, nella sua analisi del cluster Jasper Sleet, ha documentato il ritrovamento di un repository contenente immagini migliorate con AI di sospetti operativi nordcoreani, insieme a curriculum, account email e infrastrutture VPN. Il report dettaglia l’uso di software di alterazione vocale e strumenti di video AI per mascherare l’identità durante i colloqui.

L’AI interviene a ogni livello di questo processo. Genera foto profilo professionali a partire da immagini stock (come nel caso KnowBe4, dove un’immagine stock è stata trasformata in una foto professionale convincente tramite AI). Crea profili LinkedIn coerenti con carriere plausibili. Produce portfolio tecnici su GitHub con progetti credibili. Elabora narrative professionali consistenti che reggono al vaglio dei recruiter. Un singolo operativo può gestire identità multiple: Google GTIG ha identificato un individuo che operava almeno 12 personae distinte contemporaneamente, candidandosi per ruoli in Europa e negli Stati Uniti, incluse posizioni nel settore della difesa e in enti governativi.

La rete di supporto comprende i “facilitatori” – cittadini statunitensi o di altri Paesi che gestiscono le cosiddette laptop farm: stanze piene di laptop aziendali, ciascuno associato a un’identità e a un’azienda diversa, controllati da remoto dagli operativi tramite strumenti RMM (Remote Monitoring and Management) come AnyDesk, RustDesk e Google Chrome Remote Desktop. Christina Marie Chapman, una donna dell’Arizona, ha gestito fino a 90 laptop contemporaneamente prima di essere condannata nel 2025 a otto anni di reclusione. Il DOJ ha annunciato nel giugno 2025 operazioni coordinate in 16 stati, con perquisizioni di 29 laptop farm, sequestro di 29 conti bancari e 21 siti web fraudolenti.

Fase 2 – Application e interview: l’esame che supera l’esaminatore

La seconda fase è il processo di selezione. È qui che la frode occupazionale nordcoreana raggiunge il suo paradosso più inquietante: candidati che non possiedono le competenze per il ruolo superano processi di selezione tecnica progettati per verificare esattamente quelle competenze.

I dati del report Anthropic rivelano la distribuzione dell’utilizzo di AI da parte degli operativi nordcoreani durante le interazioni documentate:

La concentrazione sul frontend (61%) non è casuale. I ruoli di sviluppo frontend – React, Vue.js, Angular – offrono tre vantaggi operativi specifici: sono tra le posizioni remote più richieste e disponibili nel mercato tech, producono output visivamente verificabili (un’interfaccia che funziona è una prova tangibile di competenza), e sono sufficientemente modulari da poter essere gestiti con assistenza AI per singoli componenti senza necessità di comprendere l’architettura complessiva del sistema.

Per superare i coding assessment, gli operativi si affidano all’AI in tempo reale. L’AI risolve problemi algoritmici, genera codice funzionale, e produce risposte tecniche convincenti. Ma il supporto non si limita all’aspetto tecnico: l’AI assiste anche nella comprensione dei riferimenti culturali americani – una necessità operativa che rivela la profondità della dipendenza. In un caso documentato, un operativo ha chiesto all’AI spiegazioni su cosa fosse un muffin. In un altro, su come rispondere a domande informali sui piani per il weekend.

Le strutture di interview sono spesso organizzate gerarchicamente. Come ha spiegato Trevor Hilligoss di SpyCloud Labs ad Axios: esiste una gerarchia, un gruppo di persone che sono gli intervistatori specializzati con competenze linguistiche in inglese. Quando ottengono l’assunzione, il ruolo viene trasferito a qualcuno che è uno sviluppatore. Quegli sviluppatori gestiscono spesso più impieghi e più identità simultaneamente.

Fase 3 – Employment maintenance: l’80% che sostiene la finzione

La terza fase è il mantenimento dell’impiego. Ed è forse la più rivelatrice, perché dimostra che la frode non si esaurisce con l’assunzione: richiede un sostegno continuo, sessione dopo sessione, giorno dopo giorno.

Secondo l’analisi di Anthropic, circa l’80% dell’utilizzo di AI da parte degli operativi nordcoreani è compatibile con il mantenimento di un impiego attivo: risolvere bug, implementare feature, rispondere a richieste dei colleghi, partecipare alle code review, gestire la comunicazione professionale quotidiana. Non si tratta di un uso sporadico o di un supporto marginale. È una dipendenza operativa totale: senza l’AI, queste persone non potrebbero svolgere il lavoro per cui sono pagate.

Come ha osservato Okta Threat Intelligence nella sua analisi dell’aprile 2025, l’AI generativa svolge un ruolo integrale nel modo in cui gli operativi nordcoreani ottengono e mantengono impieghi tecnici remoti. I servizi AI vengono utilizzati per gestire le comunicazioni di personae multiple e i loro numerosi account telefonici, di messaggistica istantanea, email e chat; per tradurre, trascrivere e riassumere comunicazioni; e per assistere nella produzione tecnica quotidiana.

Okta ha tracciato oltre 130 identità collegate a facilitatori e operativi DPRK, associandole a oltre 6.500 colloqui iniziali presso più di 5.000 aziende distinte fino alla metà del 2025. Il dato sulla percentuale di successo, per quanto limitato al campione analizzato, è allarmante: anche una piccola percentuale di candidature che raggiungono il secondo o terzo colloquio rappresenta una minaccia significativa, perché basta una singola assunzione compromessa – particolarmente in un ruolo remoto con accesso privilegiato – per consentire furti di dati, disruption di sistemi o danni reputazionali.

Un aspetto particolarmente insidioso è l’auto-disruption involontaria. Nel caso ribattezzato “Sneer Review” dalla comunità di sicurezza, operativi nordcoreani hanno chiesto all’AI di scrivere le proprie performance review aziendali – includendo inavvertitamente dettagli che descrivevano le attività criminali sottostanti. L’eccessiva dipendenza dall’AI genera errori operativi che, al momento, rappresentano una vulnerabilità sfruttabile. Ma come ha osservato l’analisi di IronScales, questa finestra di rilevamento è temporanea: man mano che gli operativi diventano più sofisticati nell’uso dell’AI, o l’AI diventa più capace di operational security, questo vantaggio difensivo svanisce.

Fase 4 – Revenue generation: centinaia di milioni per i programmi di armamento

La quarta fase è la monetizzazione. Ed è qui che la frode occupazionale nordcoreana trascende il perimetro del cybercrime e diventa una questione di sicurezza internazionale.

La dimensione finanziaria è documentata con granularità crescente. Secondo l’advisory congiunto del 2022 di FBI, Dipartimento di Stato e Dipartimento del Tesoro USA, i singoli lavoratori IT possono guadagnare fino a 300.000 dollari annui, generando collettivamente centinaia di milioni di dollari ogni anno per conto di entità designate, incluso il Ministero della Difesa nordcoreano.

Un dato più granulare proviene dall’incriminazione DOJ dell’11 dicembre 2024: 14 cittadini nordcoreani, dipendenti delle società controllate dal regime Yanbian Silverstar (Cina) e Volasys Silverstar (Russia), hanno generato almeno 88 milioni di dollari in sei anni (aprile 2017 – marzo 2023) attraverso impieghi IT fraudolenti presso aziende e organizzazioni non-profit statunitensi. Le due società impiegavano almeno 130 “IT Warriors” – lavoratori sottoposti a “socialism competitions” che premiavano chi generava il maggior fatturato. Ciascun imputato rischia fino a 27 anni di reclusione per cospirazione in violazione dell’International Emergency Economic Powers Act (IEEPA), frode telematica, riciclaggio e furto d’identità.

Il Dipartimento del Tesoro USA ha specificato nel novembre 2025 che i proventi vengono incanalati verso i programmi nucleari e balistici del regime – il governo nordcoreano trattiene fino al 90% degli stipendi. Non è un’astrazione: negli ultimi tre anni, i cybercriminali affiliati alla Corea del Nord hanno rubato oltre 3 miliardi di dollari, prevalentemente in criptovalute. Nel primo semestre 2025, secondo Chainalysis, gli hacker nordcoreani sono stati responsabili di furti per circa 1,5 miliardi di dollari su un totale globale di oltre 2 miliardi.

Il flusso finanziario segue percorsi multipli: stipendi incanalati attraverso conti bancari gestiti dai facilitatori, pagamenti in criptovaluta per oscurare origine e destinazione dei fondi, sfruttamento di piattaforme come Payoneer e Wise (già TransferWise) per i trasferimenti internazionali. Ma la frode occupazionale non genera solo reddito diretto. In un numero crescente di casi, come documentato da GTIG nell’aprile 2025, gli operativi licenziati hanno iniziato a praticare estorsione: minacciano di rilasciare dati proprietari e codice sorgente rubati durante l’impiego se le richieste di riscatto non vengono soddisfatte. L’incriminazione DOJ conferma questa escalation: più di un datore di lavoro ha subito danni per centinaia di migliaia di dollari dopo aver rifiutato il pagamento.

L’espansione globale: dall’America all’Europa, la frode occupazionale nordcoreana cambia geografia

La pressione investigativa statunitense ha prodotto un effetto collaterale prevedibile: la frode si è globalizzata.

Il report GTIG dell’aprile 2025 ha documentato un incremento significativo delle operazioni in Europa, con focus particolare su Germania, Portogallo e Regno Unito. Gli operativi si presentano come cittadini di Paesi diversi – Italia, Giappone, Malesia, Singapore, Ucraina, Vietnam – e vengono reclutati attraverso piattaforme come Upwork, Freelancer e Telegram. Nel Regno Unito, GTIG ha osservato un portafoglio diversificato di progetti: sviluppo web, bot development, sistemi di gestione dei contenuti, applicazioni blockchain e AI – inclusi smart contract Solana in Anchor/Rust e piattaforme di hosting token costruite con Next.js e CosmosSDK.

Per l’Europa, questa espansione assume una rilevanza strategica ulteriore. ENISA, nel suo Threat Landscape 2025, ha classificato le intrusioni cyber nordcoreane come la terza minaccia più significativa per i Paesi dell’UE – sopra l’Iran. Con l’avvio del piano ReArm Europe e l’impegno NATO al 5% di spesa per la difesa, le aziende europee del settore difesa e aerospazio diventano target ad alto valore non solo per la monetizzazione, ma per lo spionaggio industriale: almeno 12 personae nordcoreane sono state identificate da GTIG mentre cercavano attivamente impiego in entità del settore difesa e governativo europeo.

Il quadro normativo: NIS2, AI Act e regime sanzionatorio UE

Per le organizzazioni italiane ed europee, l’espansione della frode occupazionale nordcoreana introduce un intreccio di rischi normativi che merita un’analisi puntuale.

Regime sanzionatorio UE. Il Regolamento (UE) 2017/1509, che recepisce e amplia le risoluzioni del Consiglio di Sicurezza ONU, vieta esplicitamente la fornitura di servizi informatici alla DPRK e il congelamento dei beni di persone ed entità designate. L’articolo 52 proibisce la partecipazione consapevole e intenzionale ad attività che eludano le sanzioni.

Per le aziende europee che assumono inconsapevolmente operativi DPRK, il rischio risiede nella strict liability che caratterizza molti regimi sanzionatori: la mancata due diligence nell’identificazione del beneficiario effettivo dei pagamenti può configurare una violazione anche in assenza di dolo. A maggio 2024, il Consiglio ha ulteriormente ampliato le designazioni, portando il totale a 77 individui e 20 entità sanzionate autonomamente dall’UE. Negli Stati Uniti, l’Office of Foreign Assets Control (OFAC) del Tesoro applica un approccio analogo: le aziende che effettuano pagamenti a beneficio di entità DPRK – anche indirettamente, attraverso stipendi a operativi sotto falsa identità – si espongono a sanzioni civili e penali.

NIS2 (Direttiva UE 2022/2555). L’articolo 21 della direttiva, recepita in Italia con il D.lgs. 138/2024, impone obblighi stringenti di gestione del rischio che includono esplicitamente la sicurezza delle risorse umane (articolo 21, comma 2, lettera g) e la sicurezza della supply chain (articolo 21, comma 2, lettera d). L’assunzione inconsapevole di un operativo DPRK interseca entrambe le dimensioni.

Quanto agli obblighi di notifica, l’articolo 23 (articolo 25 nel D.lgs. 138/2024) richiede la segnalazione di incidenti significativi al CSIRT Italia. L’obbligo è operativo dal 15 gennaio 2026, secondo la Determina ACN n. 379887 del 19 dicembre 2025. Un incidente è significativo quando soddisfa almeno uno di due criteri alternativi (articolo 23, paragrafo 3): (a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; (b) si è ripercosso o è in grado di ripercuotersi su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

Il Regolamento di esecuzione della Commissione europea specifica ulteriormente: un incidente è significativo se, tra l’altro, ha causato o è in grado di causare una perdita finanziaria superiore a 500.000 euro o al 5% del fatturato annuo, oppure ha comportato un accesso non autorizzato a sistemi informativi sospettato di essere doloso.

È fondamentale una precisazione operativa: la mera scoperta di un operativo DPRK tra i dipendenti non attiva automaticamente l’obbligo di notifica. L’obbligo scatta se l’operativo ha effettivamente causato o è in grado di causare un impatto significativo – ad esempio attraverso esfiltrazione di dati sensibili, accesso non autorizzato a sistemi critici, o compromissione della disponibilità dei servizi. La valutazione è contestuale e richiede un’analisi dell’impatto effettivo, non della mera presenza dell’insider. Tuttavia, data la tendenza documentata all’estorsione post-licenziamento e all’esfiltrazione proattiva durante l’impiego, il rischio che la scoperta evolva in un incidente significativo è concreto e richiede una gestione proattiva.

AI Act (Regolamento UE 2024/1689). In un contesto in cui l’AI Act richiede governance e trasparenza nell’uso dei sistemi AI, la presenza di un operativo che utilizza AI non governata su infrastrutture aziendali crea una superficie di rischio normativo inedita. I sistemi AI utilizzati per la gestione delle risorse umane – inclusi screening e selezione dei candidati – sono classificati come “ad alto rischio” dall’Allegato III, con requisiti di conformità pienamente applicabili da agosto 2026.

Contagious Interview: l’altra faccia della medaglia nordcoreana

La frode occupazionale nordcoreana non opera in un vuoto. Si inserisce in un ecosistema più ampio di operazioni DPRK che include la campagna Contagious Interview, documentata da Unit 42 di Palo Alto Networks fin dal 2023 e attribuita al cluster Famous Chollima (che gestisce sia le operazioni di infiltrazione occupazionale sia la campagna Contagious Interview, pur con sotto-cluster distinti).

Se la frode occupazionale vede gli operativi nordcoreani candidarsi come lavoratori, Contagious Interview ribalta lo schema: gli operativi si fingono recruiter e attirano sviluppatori legittimi a installare malware mascherato da tool per colloqui o test di codifica. I vettori primari includono le famiglie malware BeaverTail (info-stealer JavaScript) e InvisibleFerret (backdoor Python). Le due campagne sono complementari e talvolta interconnesse. SentinelOne ha identificato oltre 230 vittime nel solo periodo gennaio-marzo 2025, con il numero reale probabilmente molto più elevato. La campagna ha continuato a evolversi: nel luglio 2025, Socket Research ha scoperto 67 nuovi pacchetti npm malevoli contenenti il malware loader XORIndex, con oltre 9.000 download complessivi – un attacco alla supply chain software che colpisce sviluppatori ignari.

Anthropic ha documentato nel suo report di agosto 2025 la disruption proattiva della campagna Contagious Interview sulla propria piattaforma: gli account associati sono stati identificati e bannati automaticamente prima che gli operativi potessero eseguire qualsiasi prompt. Questo intervento ha potenzialmente impedito lo sfruttamento di Claude per potenziare una campagna che ha successivamente compromesso oltre 140 vittime globali secondo la ricerca esterna di sicurezza.

La coesistenza di queste due campagne – una che infiltra le aziende attraverso il processo di assunzione, l’altra che colpisce gli sviluppatori attraverso falsi processi di selezione – crea un doppio vettore di minaccia che satura l’intero ecosistema del recruiting tecnologico.

Limiti dell’analisi e controargomentazioni

Un’analisi rigorosa della frode occupazionale nordcoreana AI-assisted richiede di considerare anche i limiti della narrazione e le controargomentazioni emerse dalla ricerca.

L’efficacia operativa reale è incerta. I dati disponibili documentano la scala delle candidature e delle assunzioni, ma offrono meno visibilità sulla qualità effettiva del lavoro prodotto. KnowBe4 ha riportato che l’operativo individuato non ha avuto accesso a dati sensibili grazie al rilevamento tempestivo del SOC team. Altre aziende hanno ammesso informalmente che il lavoro prodotto dagli operativi era sufficiente – a volte persino buono. La dipendenza dall’AI non implica necessariamente output scadente: implica che l’output non riflette competenze genuinamente possedute dall’operatore.

Le difese funzionano – quando implementate. L’incremento delle azioni del DOJ (cinque guilty plea e oltre 15 milioni di dollari in forfeiture solo nel novembre 2025), le sanzioni OFAC, e la crescente consapevolezza del settore privato stanno producendo risultati. Gli operativi incontrano difficoltà crescenti negli Stati Uniti, il che ha determinato lo spostamento verso l’Europa. La pressione funziona – ma sposta il problema anziché risolverlo.

L’AI è un amplificatore, non un creatore di minacce nuove. Come ha osservato il Google Threat Intelligence Group nel report di febbraio 2026, l’AI potenzia e accelera tecniche esistenti senza crearne di inedite. La frode occupazionale nordcoreana esisteva prima dell’AI generativa. L’AI l’ha resa più scalabile, più convincente e meno dipendente dalla formazione specialistica – ma il vettore fondamentale resta l’ingegneria sociale applicata al processo di assunzione, non una capacità tecnologica rivoluzionaria.

Il rischio dell’overreaction. Esiste il pericolo concreto che la risposta alla minaccia DPRK produca processi di hiring eccessivamente restrittivi che penalizzino candidati legittimi, in particolare quelli provenienti da contesti internazionali. Qualsiasi misura di mitigazione deve bilanciare sicurezza e inclusività, evitando forme di profilazione che sarebbero tanto inefficaci quanto discriminatorie.

Implicazioni operative: cosa deve cambiare nei processi di hiring e compliance

La frode occupazionale nordcoreana impone un ripensamento strutturale che attraversa HR, sicurezza informatica, compliance e governance aziendale.

Verifica dell’identità oltre il background check tradizionale. I background check convenzionali non sono progettati per rilevare identità sintetiche supportate da AI. L’FBI raccomanda di richiedere durante i colloqui video che il candidato compia gesti davanti al viso per verificare eventuali malfunzionamenti di video AI-generated.

Catturare immagini per confronto con incontri futuri è altrettanto critico, poiché in molti casi chi sostiene il colloquio non è la stessa persona che svolge poi il lavoro. Inviare l’hardware esclusivamente all’indirizzo presente nei documenti di identità – e richiedere documentazione aggiuntiva per qualsiasi richiesta di modifica dell’indirizzo – è una misura semplice ma efficace. La verifica deve includere anche il confronto delle credenziali con database di identità compromesse e la validazione incrociata dei dati fiscali (SSN negli USA, codice fiscale in Italia).

Monitoraggio comportamentale post-assunzione. La detection non può limitarsi alla fase di hiring. Pattern di accesso in orari anomali (lavoro notturno mascherato da fuso orario diverso), utilizzo di software RMM non autorizzato (AnyDesk, RustDesk – gli stessi strumenti documentati da CrowdStrike nelle indagini Famous Chollima), modifiche frequenti dei conti bancari per la ricezione dello stipendio, discrepanze tra geolocalizzazione dichiarata e reale – sono tutti indicatori che richiedono monitoraggio continuo e correlazione. CrowdStrike raccomanda specificamente di verificare che i dipendenti remoti appaiano in camera il più frequentemente possibile e di correlare i log di accesso con le informazioni di geolocalizzazione.

Policy BYOD e ambienti virtualizzati. GTIG ha evidenziato che gli operativi DPRK hanno identificato gli ambienti BYOD (Bring Your Own Device) come particolarmente vulnerabili, poiché spesso mancano di strumenti di endpoint detection e monitoraggio. Le organizzazioni che consentono BYOD per ruoli IT remoti devono valutare se i controlli di sicurezza siano adeguati a questo specifico profilo di minaccia. L’invio di dispositivi aziendali gestiti, con EDR preinstallato e policy di accesso condizionato, riduce significativamente la superficie di attacco.

Cross-functional response team. La risposta alla minaccia DPRK non può essere responsabilità esclusiva del CISO o dell’HR. Richiede un team interfunzionale che includa sicurezza informatica, risorse umane, ufficio legale, compliance e, nelle organizzazioni soggette a sanzioni o controlli all’esportazione, il responsabile export control. Come ha sottolineato Crowell & Moring nella sua analisi degli enforcement action del DOJ, le aziende che assumono inconsapevolmente operativi DPRK si espongono a rischi che spaziano dalle violazioni delle sanzioni OFAC (negli USA) e del Regolamento 2017/1509 (nell’UE) al furto di proprietà intellettuale, fino a potenziali responsabilità penali ai sensi dell’IEEPA.

Screening delle sanzioni. Il DOJ ha chiarito che la DPRK RevGen: Domestic Enabler Initiative perseguirà sia gli operativi nordcoreani sia chi fornisce loro supporto materiale, inclusi facilitatori che agiscono consapevolmente o meno. Per le aziende europee, questo si interseca con gli obblighi di due diligence della NIS2 sulla supply chain (articolo 21, comma 2, lettera d), con le normative antiriciclaggio applicabili (Direttiva UE 2015/849 e successive modifiche), e con il regime sanzionatorio UE sulla DPRK.

Lo scenario prossimo: la frode occupazionale nordcoreana come minaccia persistente

La traiettoria è chiara e non accenna a rallentare. Gli operativi nordcoreani stanno diventando più sofisticati nell’uso degli strumenti AI, espandendo le operazioni a nuove geografie, e diversificando le tattiche con l’aggiunta dell’estorsione post-licenziamento. Secondo CrowdStrike, viene segnalata circa una nuova assunzione nordcoreana sospetta al giorno tra i propri clienti – e nel 2024, quasi il 40% degli incidenti Famous Chollima gestiti da Falcon OverWatch ha comportato operazioni di insider threat attive, non semplice raccolta di stipendi.

La nascita di un’unità dedicata – il Research Center 227, una nuova struttura di ricerca AI all’interno dell’agenzia di intelligence nordcoreana – segnala l’intenzione del regime di costruire capacità AI proprietarie. Se e quando gli operativi DPRK potranno contare su modelli AI self-hosted, privi di guardrail e monitoraggio, l’ultimo meccanismo di rilevamento basato sul provider (quello che ha consentito ad Anthropic di identificare e documentare le operazioni) verrà meno.

La frode occupazionale nordcoreana non è un trend emergente da osservare con curiosità accademica. È un’operazione statale strutturata che genera centinaia di milioni di dollari per programmi nucleari, compromette la sicurezza delle infrastrutture tecnologiche occidentali, e sfrutta una vulnerabilità sistemica del mercato del lavoro remoto che nessun singolo attore – governativo o privato – può risolvere da solo.

Per i professionisti della sicurezza informatica, la lezione è duplice. Sul piano tattico, i processi di hiring devono essere trattati come una superficie di attacco, con controlli proporzionati al livello di accesso che il ruolo comporta. Sul piano strategico, la convergenza tra AI, geopolitica e cybercrime sta producendo minacce ibride che non rispettano i confini tradizionali tra sicurezza informatica, compliance normativa e intelligence – e che richiedono risposte altrettanto integrate.

L’AI ha eliminato il collo di bottiglia della formazione che per un decennio ha limitato le operazioni nordcoreane. Il prossimo collo di bottiglia – o la sua assenza – determinerà la scala di questa minaccia nei mesi e negli anni a venire.

Questo è il quarto articolo della serie “AI offensiva nella cybersecurity”. Il primo articolo ha introdotto il quadro generale delle minacce AI-driven e il framework normativo. Il secondo articolo ha ricostruito l’operazione GTG-2002 e il paradigma del vibe hacking. Il terzo articolo ha analizzato il no-code malware e il caso GTG-5004. Il prossimo articolo approfondirà le strategie di difesa AI-native contro le minacce AI-driven.

Fonti principali

Anthropic, Threat Intelligence Report: August 2025

Anthropic, Detecting and countering misuse of AI: August 2025 (PDF)

Google Threat Intelligence Group (GTIG), DPRK IT Workers Expanding in Scope and Scale, aprile 2025

Google Threat Intelligence Group (GTIG), AI Threat Tracker: Distillation, Experimentation, and Integration of AI for Adversarial Use, febbraio 2026

Microsoft Threat Intelligence, Jasper Sleet: North Korean remote IT workers’ evolving tactics, giugno 2025

CrowdStrike, Famous Chollima Adversary Profile

CrowdStrike, 2025 Threat Hunting Report, agosto 2025

Okta Threat Intelligence, How AI services power the DPRK’s IT contracting scams, aprile 2025

Okta Threat Intelligence, North Korea’s IT Workers expand beyond US big tech, settembre 2025

FBI/IC3, North Korean IT Worker Threats to U.S. Businesses – Public Service Announcement, luglio 2025

U.S. Department of Justice, Indictment of 14 North Korean Nationals – $88M IT Worker Scheme, dicembre 2024

U.S. Department of Justice, Coordinated Nationwide Actions to Combat North Korean Remote IT Workers, giugno 2025

U.S. Department of Justice, Nationwide Actions to Combat Illicit North Korean Government Revenue Generation, novembre 2025

U.S. Department of the Treasury, Sanctions against DPRK IT Worker Networks, novembre 2025

SentinelOne/SentinelLABS, Contagious Interview: North Korean Threat Actors Reveal Plans and Ops, settembre 2025

KnowBe4, How a North Korean Fake IT Worker Tried to Infiltrate Us, luglio 2024

ENISA, Threat Landscape 2025

Consiglio dell’Unione europea, Regolamento (UE) 2017/1509 – Misure restrittive DPRK

Commissione Europea, NIS2 Directive (Direttiva UE 2022/2555) e AI Act (Regolamento UE 2024/1689)

Crowell & Moring, From Deepfakes to Sanctions Violations: The Rise of North Korean Remote IT Worker Schemes

https://www.ictsecuritymagazine.com/articoli/frode-occupazionale-nordcoreana/

I jammer nelle carceri sono davvero la soluzione al problema dei telefoni cellulari non autorizzati? I dispositivi mobili rappresentano oggi una delle minacce più gravi alla sicurezza penitenziaria. Attraverso questi dispositivi, i detenuti coordinano traffici illeciti, impartiscono ordini a complici esterni, organizzano estorsioni e minacce a testimoni. Il fenomeno è in crescita esponenziale: i sequestri sono più che raddoppiati tra il 2022 e il 2024, passando da 1.084 a oltre 2.250 unità, mentre le modalità di introduzione si sono evolute con l’uso di droni, pacchi postali sofisticati e dispositivi miniaturizzati impossibili da individuare con i metal detector tradizionali.

In questo primo approfondimento a cura di Stefano Cangiano si ricostruisce la genesi della scelta dei jammer, analizzando il contesto storico, politico e operativo che portò all’adozione di questa tecnologia. Vengono esaminati i fattori che resero apparentemente ragionevole tale decisione: le pressioni mediatiche e sindacali, la necessità di una risposta rapida, i costi iniziali contenuti e la visibilità politica dell’intervento. Attraverso una cronologia dettagliata degli eventi dal 2018 al 2025, emerge però un quadro critico: investimenti largamente improduttivi, apparati che giacciono ancora imballati nei magazzini, e un sistema che si sta rivelando tecnicamente inadeguato di fronte all’evoluzione delle reti 4G e 5G.

Dati sui telefoni cellulari sequestrati in carcere: numeri, trend e reti criminali

Il fenomeno dei telefoni cellulari non autorizzati all’interno degli istituti penitenziari italiani è in costante e preoccupante crescita, e rappresenta oggi una delle sfide più complesse per l’amministrazione penitenziaria e per l’intero sistema della sicurezza nazionale. Dati interni del Dipartimento dell’Amministrazione Penitenziaria (DAP) mostrano che i sequestri di dispositivi mobili sono passati da circa 1.084 unità nel 2022 a oltre 2.250 nel 2024, con un aumento superiore al 100% in soli due anni. Questo trend esponenziale, oltre a indicare l’efficacia e la capillarità delle reti criminali nel far entrare telefonini occultati attraverso canali sempre più sofisticati, mette in luce l’impossibilità strutturale di contenere il fenomeno con semplici controlli manuali o perquisizioni periodiche.

Le modalità di introduzione dei dispositivi si sono evolute nel tempo, passando dai tradizionali metodi di occultamento durante i colloqui con i familiari a tecniche sempre più ingegnose: droni che sorvolano i cortili di passeggio, pacchi postali con doppi fondi, corruzione del personale, e persino il lancio di piccoli involucri oltre le mura perimetrali. La miniaturizzazione dei dispositivi ha ulteriormente complicato le operazioni di contrasto: oggi esistono telefoni delle dimensioni di un accendino, perfettamente funzionanti e dotati di connettività 4G, praticamente impossibili da individuare con i metal detector tradizionali.

L’impiego di telefoni di contrabbando consente ai detenuti di coordinare traffici illeciti con una facilità impensabile fino a pochi anni fa. Attraverso questi dispositivi vengono impartiti ordini a complici all’esterno, organizzate estorsioni ai danni di commercianti e imprenditori, gestite piazze di spaccio e persino pianificate intimidazioni a testimoni e magistrati. L’interazione con i social network ha aggiunto una dimensione ulteriore al problema: sono documentati casi di boss mafiosi che continuavano a gestire i propri profili Facebook dal carcere, inviando messaggi minacciosi e mantenendo viva la propria presenza simbolica nel territorio di riferimento.

In molti casi, le chiamate vengono effettuate in piena notte o in momenti di massima distrazione del personale, rendendo quasi impossibile l’intervento tempestivo. La carenza cronica di organico che affligge il sistema penitenziario italiano – con rapporti agente-detenuto tra i più sfavorevoli d’Europa – contribuisce a creare finestre di opportunità che i detenuti più scaltri sanno sfruttare con precisione quasi scientifica. Il problema assume inoltre rilievo di sicurezza nazionale quando cellule criminali o terroristiche cercano di contattare vittime o pianificare azioni esterne sfruttando la paradossale “libertà comunicativa” garantita dal carcere.

Jammer nelle carceri: cosa sono e perché sono stati adottati

Per arginare questo rischio, molte amministrazioni hanno valutato o implementato dispositivi di jamming, ossia disturbatori di segnale radio in grado di inibire le comunicazioni GSM, LTE e Wi-Fi. La promessa di questi apparati è apparentemente semplice: creare una “bolla” elettromagnetica attorno all’istituto penitenziario che renda impossibile qualsiasi comunicazione cellulare. Tuttavia, come emergerà nei capitoli successivi, queste soluzioni presentano criticità significative su più fronti, tali da renderle non solo inefficaci ma potenzialmente dannose.

Sul piano dell’inefficacia tecnica, i jammer non coprono in modo omogeneo tutte le bande di frequenza, lasciano inevitabili “zone d’ombra” dovute alla conformazione architettonica degli edifici, e richiedono costosi aggiornamenti per seguire l’evoluzione delle reti 4G/5G. I rischi operativi sono altrettanto rilevanti: questi dispositivi bloccano indiscriminatamente anche le linee di emergenza (112/118), le comunicazioni istituzionali del personale di polizia penitenziaria, e possono interferire con dispositivi medici salvavita come pacemaker e defibrillatori impiantabili. Non meno importanti sono i vincoli legali: in Italia i jammer sono vietati fuori da ambiti strettamente autorizzati e possono configurare i reati di “interruzione di pubblico servizio” (art. 340 c.p.) e di “installazione di apparecchiature per impedire comunicazioni altrui” (art. 617-bis c.p.).

Di fronte a queste criticità, emerge con forza la necessità di soluzioni alternative che superino la logica del disturbo indiscriminato in favore di un approccio più intelligente e mirato. I rilevatori di attività radio cellulare basati su analisi passiva dello spettro rappresentano oggi la frontiera più promettente. Tali sistemi non emettono segnali di disturbo, monitorano costantemente tutte le bande in uplink, catalogano ogni burst di traffico dati o voce, e permettono di localizzare con precisione il punto di trasmissione, consentendo interventi mirati e tempestivi.

Nel seguito di questo articolo esploreremo in dettaglio perché i jammer sono una risposta sbagliata, analizzando i loro limiti tecnici, operativi e normativi; i vantaggi dei rilevatori SDR passivi, con particolare attenzione a come funzionano, come interpretano i segnali e come si integrano nel complesso ecosistema della sicurezza penitenziaria; e infine un case study di un progetto sperimentale condotto in ambiente isolato, che dimostra concretamente l’efficacia del rilevamento passivo in condizioni analoghe a quelle di un vero istituto di pena.

Breve storia dei jammer nelle carceri

Le ragioni della scelta iniziale

Nel contesto temporale in cui maturò la decisione (2018), la scelta del Dipartimento dell’Amministrazione Penitenziaria di ricorrere ai jammer rispondeva a una combinazione di fattori concreti e contingenti che meritano di essere analizzati con attenzione per comprendere come si sia giunti alla situazione attuale. L’utilizzo di disturbatori di segnale appariva, in quel momento storico, come la soluzione più rapida da implementare per fronteggiare un fenomeno percepito come emergenziale, caratterizzato da un incremento costante dei sequestri di telefoni cellulari e da una crescente attenzione mediatica sul tema delle comunicazioni illecite dal carcere.

I jammer offrivano un approccio apparentemente “chiavi in mano”, con tempi di installazione relativamente brevi, costi iniziali contenuti e una promessa di efficacia immediata sulle tecnologie allora prevalenti, in particolare GSM e prime reti LTE. In un quadro segnato da forte pressione politica e sindacale – con i sindacati di polizia penitenziaria che denunciavano quotidianamente l’impossibilità di garantire la sicurezza con gli strumenti disponibili – tale scelta consentiva inoltre all’amministrazione di dimostrare un intervento visibile, facilmente comunicabile all’opinione pubblica e coerente con una linea di fermezza nei confronti della criminalità organizzata.

Il contesto politico dell’epoca non può essere sottovalutato. La questione delle comunicazioni illecite dal carcere era diventata un tema caldo nel dibattito pubblico, alimentato da inchieste giornalistiche che documentavano come boss mafiosi continuassero a gestire i propri affari criminali dalle celle di massima sicurezza. La pressione per una risposta immediata e visibile era fortissima, e i jammer sembravano offrire esattamente questo: una soluzione tecnologica tangibile, un investimento dimostrabile, un’azione concreta da poter esibire di fronte alle critiche.

A ciò si aggiungeva la limitata maturità, in quegli anni, di soluzioni alternative basate su analisi passiva dello spettro radio e sistemi di rilevazione selettiva. Queste tecnologie, pur esistendo già in ambito militare e di intelligence, richiedevano competenze altamente specialistiche raramente disponibili nel contesto dell’amministrazione penitenziaria, infrastrutture dedicate con costi di implementazione significativi, e soprattutto un cambio di paradigma operativo non immediato per un’organizzazione tradizionalmente orientata a soluzioni hardware piuttosto che a sistemi di analisi e intelligence.

In questo quadro si collocano anche le posizioni espresse pubblicamente dal Procuratore Nicola Gratteri, figura di riferimento nel contrasto alla ‘ndrangheta e voce autorevole nel dibattito sulla sicurezza penitenziaria. Gratteri, pur denunciando più volte l’inefficacia complessiva delle misure adottate e i ritardi strutturali dello Stato nel contrasto alle comunicazioni illecite dal carcere, ha in diverse occasioni riconosciuto l’utilità dei jammer almeno come strumento temporaneo nei reparti di alta sicurezza. In interviste e audizioni pubbliche, il Procuratore ha infatti sottolineato come, in assenza di soluzioni tecnologicamente più avanzate e strutturate, i jammer potessero rappresentare una risposta transitoria per limitare le comunicazioni dei detenuti più pericolosi, in attesa di un approccio più organico e duraturo.

Tali posizioni contribuiscono a chiarire come il tema dell’impiego dei jammer non sia riconducibile a una contrapposizione ideologica tra “falchi” e “colombe”, ma vada letto come il risultato di scelte contingenti, maturate in un contesto emergenziale e sotto la spinta di pressioni multiple. Oggi quel contesto appare superato dall’evoluzione tecnologica e dalla disponibilità di strumenti più efficaci, selettivi e sostenibili nel lungo periodo.

Cronologia dei jammer nelle carceri italiane: investimenti e fallimenti

La storia dell’adozione dei jammer nelle carceri italiane si snoda attraverso alcune tappe fondamentali che meritano di essere ricostruite con precisione documentale, anche per comprendere l’entità degli investimenti pubblici che rischiano oggi di rivelarsi largamente improduttivi.

Il 17 ottobre 2018 segna l’avvio formale della gara d’appalto per l’acquisto dei primi apparati jammer, con la firma del decreto da parte del Direttore generale Buffa e un ordinativo iniziale di circa 47 unità destinate agli istituti di massima sicurezza. La scelta di partire dai reparti ad alta sicurezza rispondeva a una logica di priorità: era lì che si concentravano i detenuti più pericolosi, i boss mafiosi e i terroristi per i quali l’isolamento comunicativo rappresentava un obiettivo strategico primario.

La documentazione di riferimento, non più accessibile attraverso l’archivio online del Ministero della Giustizia (che rende consultabili solo gli atti pubblicati a partire dal 2020), è ricostruita attraverso fonti DAP e Il Sole 24 Ore nel documento disponibile presso POLPENUIL – Blocco telefoni carcere jammer.

Nel maggio 2019 si procede alla consegna e installazione dei dispositivi in vari istituti ad alta sicurezza, accompagnata da un programma di formazione per gli operatori. Questa fase ha rivelato immediatamente alcune criticità: la complessità degli apparati richiedeva competenze tecniche che il personale penitenziario non possedeva, e l’integrazione con le infrastrutture esistenti si rivelava più problematica del previsto. Sono stati necessari interventi di adeguamento impiantistico, con costi aggiuntivi non previsti nel budget iniziale (Circolare acquisizione sistemi jammer).

Tra agosto e settembre 2023 vengono condotte prove pilota in 20 strutture, mirate a verificare l’efficacia dei sistemi su reti 4G e a condurre test preliminari su bande 5G, ormai in fase di diffusione capillare sul territorio nazionale. Da queste sperimentazioni emergono zone d’ombra significative e criticità tecniche che mettono in discussione l’intera strategia: i jammer, progettati per tecnologie ormai superate, faticano a contrastare le nuove frequenze, mentre la conformazione architettonica degli istituti – spesso edifici storici con muri spessi e strutture metalliche – crea sacche di copertura irregolare (Resoconto Camera dei Deputati).

Nel gennaio 2025 prende avvio la sperimentazione di un sistema alternativo di filtraggio passivo, volto a superare i problemi sanitari e di interferenza non selettiva che avevano caratterizzato l’esperienza con i jammer. L’abbandono di fatto del sistema jammer, dopo anni di investimenti largamente inutilizzati e con apparati che giacciono in molti casi ancora imballati nei magazzini degli istituti, è documentato da diverse fonti giornalistiche che parlano esplicitamente di “rottamazione” di un sistema mai realmente entrato in funzione (HuffPost e Ristretti Orizzonti).

Le ragioni dell’adozione

Le motivazioni che portarono alla scelta dei jammer possono essere ricondotte a quattro fattori principali, che vale la pena analizzare nel dettaglio per comprendere la razionalità (sia pure limitata) di quella decisione.

In primo luogo, le pressioni mediatiche e sindacali. Le segnalazioni frequenti di contatti illeciti tra detenuti e organizzazioni criminali esterne avevano creato un clima di urgenza che richiedeva risposte immediate. I media riportavano con cadenza quasi quotidiana episodi di boss che continuavano a impartire ordini dal carcere, di estorsioni coordinate via cellulare, di minacce a pentiti e testimoni. I sindacati di polizia penitenziaria denunciavano l’impossibilità di svolgere efficacemente il proprio lavoro senza strumenti tecnologici adeguati. La pressione convergente di questi attori rendeva politicamente insostenibile l’inazione.

In secondo luogo, la rapidità di implementazione. I jammer costituivano una soluzione apparentemente pronta all’uso, con tempi di installazione contenuti rispetto a sistemi passivi o reti di sorveglianza RF più sofisticate. In un contesto di emergenza percepita, la possibilità di “fare qualcosa subito” aveva un valore politico e comunicativo che superava considerazioni più ponderate sull’efficacia di lungo periodo.

Il costo iniziale contenuto rappresentava un terzo elemento di attrattiva. L’investimento per singolo apparato risultava inferiore a quello richiesto per infrastrutture di monitoring e analisi dati, che avrebbero comportato non solo l’acquisto di hardware sofisticato ma anche la formazione di personale specializzato, la creazione di sale operative dedicate, e costi di manutenzione e aggiornamento continuativi.

Infine, la visibilità politica. L’adozione dei jammer veniva percepita come un intervento risolutivo e “intransigente” contro l’illegalità nel carcere, facilmente comunicabile all’opinione pubblica. Un annuncio del tipo “abbiamo installato sistemi di disturbo in tutti i penitenziari di massima sicurezza” aveva un impatto mediatico immediato, molto più di discorsi complessi su sistemi di analisi dello spettro e algoritmi di rilevazione.

Cosa sono i jammer

Prima di procedere all’analisi delle criticità, è opportuno chiarire con precisione cosa siano i jammer e come funzionino dal punto di vista tecnico. I jammer sono dispositivi di disturbo radio progettati per emettere segnali nelle bande di frequenza utilizzate dai telefoni cellulari, creando un “rumore” elettromagnetico che impedisce la connessione tra il terminale e le celle di rete.

Le frequenze interessate includono tipicamente la banda 900 MHz (GSM), 1800 MHz (DCS), 2100 MHz (UMTS/3G), e nelle versioni più recenti anche le bande 800 MHz, 1800 MHz e 2600 MHz del 4G/LTE, fino ai 3,5 GHz necessari per disturbare le comunicazioni 5G. Il principio di funzionamento è relativamente semplice: il jammer emette un segnale di potenza superiore a quello della cella telefonica legittima sulla stessa frequenza, “sovrastando” il segnale utile e rendendo impossibile al telefono stabilire o mantenere una connessione.

Questa semplicità concettuale nasconde però una complessità operativa significativa. Per essere efficace, un jammer deve coprire tutte le bande utilizzate dagli operatori attivi sul territorio, deve emettere con potenza sufficiente a superare il segnale delle celle (che può variare significativamente in funzione della posizione geografica dell’istituto), e deve farlo in modo uniforme su tutta l’area da proteggere. Ognuno di questi requisiti presenta sfide tecniche non banali, come vedremo nel capitolo successivo.

L’aspetto più critico è che i jammer agiscono in modo totalmente indiscriminato: bloccano qualsiasi tipo di comunicazione RF nell’area di copertura, senza possibilità di distinguere fra traffico legale (comunicazioni del personale, sistemi di emergenza, dispositivi medici) e traffico illegale (telefoni dei detenuti). Questa caratteristica intrinseca rappresenta il limite fondamentale della tecnologia e la ragione principale per cui essa si sta rivelando inadeguata.

Questo primo approfondimento ha ricostruito la storia dell’adozione dei jammer nelle carceri italiane, dalla gara d’appalto del 2018 fino alla loro sostanziale dismissione nel 2025. Abbiamo visto come la scelta di questi dispositivi rispondesse a pressioni contingenti e a una logica emergenziale, offrendo una soluzione apparentemente rapida ed efficace per contrastare le comunicazioni illecite dei detenuti.
Tuttavia, come emerso dall’analisi cronologica e dalle evidenze documentali, i jammer si sono rivelati una risposta inadeguata: apparati progettati per tecnologie ormai superate, zone d’ombra significative nella copertura, costi aggiuntivi non previsti e criticità operative che hanno portato di fatto all’abbandono del sistema.

Nel prossimo articolo della serie approfondiremo in dettaglio i limiti tecnici, operativi e normativi dei jammer. Per una trattazione completa e approfondita del tema, Stefano Cangiano dal titolo “Jammer nelle carceri: limiti, rischi e alternative”.

https://www.ictsecuritymagazine.com/articoli/jammer-comunicazioni/

La Gen AI sta ridisegnando i confini della professione legale, ponendo l’Avvocatura europea di fronte a una scelta ineludibile: governare il cambiamento o subirne le conseguenze. In questo scenario, la Guida del CCBE sull’uso dell’intelligenza artificiale generativa da parte degli avvocati rappresenta la bussola con cui orientarsi tra obblighi normativi, principi deontologici e nuove opportunità operative.

Con l’entrata in vigore nell’ottobre 2025 della Legge n.132/2025 [1], per i professionisti, inclusi gli avvocati, si è sancito un nuovo esplicito onere informativo nei confronti dei clienti riguardo all’eventuale utilizzo di sistemi di IA nelle loro prestazioni[2].

Non di meno, a livello di regolamentazione UE a partire dal 2 febbraio 2025, l’IA Act – (Regolamento UE n. 2024/1689[3]) ha richiesto che tutte le Organizzazioni garantiscano che il proprio personale possieda conoscenze adeguate sull’IA, indipendentemente dal fatto che esse partecipino alla catena del valore dell’IA come fornitori o utenti (c.d. deployers).

In attuazione di ciò, in ambiente forense e per l’Italia, il CNF (Consiglio Nazionale Forense) – organismo istituzionale di vertice dell’Avvocatura italiana[4] – si è reso protagonista di una serie di iniziative importanti, finalizzate a garantire un uso consapevole e responsabile dei sistemi di IA in ambiente professionale forense.

In particolare, il CNF:

• ha elaborato un apposito schema di informativa che gli Avvocati possono adottare in adempimento all’obbligo di trasparenza nei confronti del Cliente;
• ha avviato una consultazione preliminare di mercato ex 77 D.Lgs. 36/2023[5] per l’acquisizione di servizi di IA destinati al supporto dell’attività professionale legale;
• ha recepito e diffuso la Guida del CCBE Conseil des Barreaux Européens (Consiglio degli Ordini Forensi d’Europa) sull’uso etico e trasparente dell’Intelligenza artificiale generativa da parte degli avvocati.

In questa sede, si ripropongono in chiave sintetica i principali passaggi di tale Guida secondo le interpretazioni del CNF, a valere quale fonte di natura autoregolamentare per l’utilizzo dei sistemi di IA, che ha come finalità dichiarata quella di “aumentare la consapevolezza su cosa sia in particolare la GenAI, illustrarne gli usi attuali nella pratica e mettere in evidenza opportunità e rischi potenzialmente connessi al suo impiego in ambiente professionale forense”[6].

La Guida può essere un utile supporto per Avvocati, Ordini e Associazioni forensi, Studi Legali e Organizzazioni professionali, per promuovere un uso responsabile dei sistemi di IA e GenAI.

Introduzione alla Guida CCBE – rimandi a fonti integrative

Il CCBE rappresenta oltre 1 milione di Avvocati europei attraverso i rispettivi Ordini nazionali di 45 Paesi; nell’ottobre 2025, ha emanato il documento “CCBE guide on the use of generative AI by Lawyers”.

Una Linea Guida (di seguito anche solo Guida) è volta ad illustrare all’avvocatura europea i concetti fondamentali in materia di IA e le sue evoluzioni, con enunciazione dei principali obblighi che si impongono in caso di ricorso a strumenti di IA e di GenAI nell’esercizio dell’attività forense.

Di seguito lo Schema della Guida CCBE:

CCBE Guide on the use of generative AI by Lawyers SCHEMA DELL’ ARTICOLATO
Art.1	Introduction
Art.2	AI – The basics 2.1. Key Characteristics of generative AI 2.2. How is generative AI legally defined? 2.3. Regulatory approces to GenAI
Art. 3	Generativa AI in legal practice – take up, benefits and risks 3.1. Take up of GenAI tools by lawyera 3.2. Benefits of generativa AI in legal practice 3.3. Risks of using generati AI 3.3.1. Privacy and data protection 3.3.2. Hallucinations 3.3.3. Bias and sycophancy 3.3.4. Lack of transparency 3.3.5. Intellectual property and related rights 3.3.6. Cybersecurity 3.3.7. Fraud
Art. 4	The use of genrative AI in legal practice and lawyers’ professional obligatione 4.1. Confidentiality 4.2. Professional Competence 4.3. Independence 4.4. Transparency and information to the client 4.5. Conflict of interest
Art. 5	Considerations for the future
Art. 6	Conclusion
Annex 1 -Resources on the use of generative AI by lawyers and/or judical professionals

Il rilievo del documento, non è solo nel suo contenuto testuale, ma anche nel richiamo a numerose fonti che – a livello nazionale, europeo ed internazionale ne integrano le previsioni e che costituiscono riferimento imprescindibile per un utilizzo corretto e consapevole dell’IA in ambiente forense[7].

Per l’Italia, spicca il rimando alla Carta dei principi per un uso consapevole di strumenti di intelligenza artificiale in ambiente forense – HOROS a cura del Consiglio dell’Ordine degli Avvocati (COA) di Milano (Dicembre 2024)[8].

Frutto del lavoro della Commissione Informatica del Consiglio, la Carta dei principi HOROS di Milano:

• è il primo disciplinare legale italiano che orienta nell’uso consapevole e sicuro delle nuove tecnologie, in chiave integrata con il diritto;
• persegue l’obiettivo di sviluppare un efficace modello di intervento in ambito forense, in conformità alle Linee Guida “Avvocati Europei nell’era di Chatgpt” – Fédération des Barreaux d’Europe di Giugno 2024 ed in allineamento al Regolamento UE sull’IA.

“HOROS”- La Carta dei principi del COA di Milano (brevi cenni)

La Carta dei principi per un uso consapevole di strumenti di intelligenza artificiale in ambiente forense– HOROS del COA di Milano risponde ora alle nuove esigenze di innovazione, ora alla necessità di garantire che la rivoluzione tecnologica rappresentata dall’IA (certamente foriera di grandi potenzialità, ma non di meno fonte di rischi concreti) non intacchi i fondamenti etici e deontologici della professione. Alla base della Carta sono in primis i principi generali di legalità, correttezza, trasparenza e responsabilità. Ciò in quanto (rif. parte introduttiva della Carta): “le tecnologie impiegate devono essere conformi alle normative europee e nazionali vigenti e l’uso dell’IA deve sempre essere finalizzato al miglioramento della qualità del servizio legale, senza compromettere i diritti e la fiducia dei clienti. Ogni adozione di IA deve essere attentamente per garantire che gli strumenti scelti siano adatti e proporzionati agli scopi specifici per cui ne è stato ipotizzato l’utilizzo”. Segue la declinazione dei seguenti principi specifici: Ø Dovere di competenza: l’uso consapevole dell’IA richiede che il professionista mantenga e sviluppi con continuità competenze tecnologiche; comprendendone funzionalità, limiti e rischiosità, evitando la dipendenza da risultati automatizzati; Ø Trasparenza dell’uso dell’IA: è fatto obbligo di informare il cliente dell’uso dell’IA, del possibile impatto sul servizio fornito, descrivendo metodi e tecnologie utilizzate; con informativa anche sulla possibilità di valutare validità ed affidabilità dei risultati; Ø Centralità della decisione umana: il professionista ha il compito di intervenire attivamente per valutare criticamente i risultati prodotti dall’IA, assicurando sia l’adeguatezza delle tecnologie IA adottate, sia che il loro processo di elaborazione non risulti negativamente condizionato dagli algoritmi (ciò significa applicare un “esame umano” al risultato IA per garantirne adeguatezza, accuratezza, conformità a principi etici e legali e per prevenire errori, pregiudizi, bias o decisioni ingiuste forieri di possibili ricadute significative sulla vita delle presone coinvolte); Ø Protezione dei dati e riservatezza: l’uso dell’IA deve avvenire nel pieno rispetto dei principi fondamentali di protezione dei dati personali di cui al GDPR, in allineamento agli approcci di “privacy by design” e “privacy by default” e con previsione di Data Protection Impact Assessment (DPIA) ove prevista dalla normativa applicabile; Ø Sicurezza informatica: l’adozione di strumenti IA richiede un’attenzione particolare alla sicurezza informatica per garantire che i dati trattati siano protetti e che i sistemi utilizzati siano sicuri ed affidabili; Ø Valutazione del rischio dell’utilizzo di sistemi di IA: il professionista è tenuto a: i) una valutazione su base continua dei rischi legati all’uso IA nel proprio ambito di attività; ii) adozione di azioni correttive (AC) in presenza di rischi significativi, così da mitigarli tempestivamente; iii) documentare le misure adottate; iv) verificare periodicamente l’efficacia delle AC intraprese per garantirne uso responsabile e conforme alla normativa vigente; v) informare in modo adeguato e trasparente Cliente e Stakeholder; Ø Diversità e sostenibilità ambientale: l’uso dell’IA deve avvenire nel rispetto dei principi di diversità, sostenibilità ambientale e non discriminazione; promuovendone un approccio responsabile; Ø Formazione continua e Re-skilling: il professionista è tenuto a partecipare a corsi di aggiornamento delle proprie competenze in materia di nuove tecnologie, protezione e dati e sicurezza informatica, nonché sui relativi rischi ed implicazioni legali; Ø Tutela del diritto d’autore: è fatto obbligo di garantire la conformità alla normativa a tutela di copyright, PI e diritti d’autore nell’uso di IA generativa di opere, contenuti, immagini.

Al documento del COA Milano, hanno fatto seguito altri provvedimenti Ordinistici nazionali.

Meritano una menzione:

• il “Breve Vademecum per Avvocati sull’utilizzo dell’intelligenza artificiale” emanato nel Dicembre 2024 dalla Commissione Procedura Civile del COA di Roma, che integra il quadro normativo vigente in materia di IA con indicazioni pratiche per l’uso dei sistemi in ambiente forense;
• il “Promemoria sulle principali norme deontologiche da rispettare nell’uso dell’IA” del 29 Ottobre 2025, a cura del COA di Genova che specifica i principali obblighi e doveri di deontologia applicabili e da osservarsi, per un corretto utilizzo di IA in ambiente professionale.[9]

IA e GenAI nel quadro regolamentare di rango normativo applicabile

Come chiarisce la Guida CCBE, caratteristica principale che distingue i sistemi di intelligenza artificiale generativa (Generativa AI, o GenAI) dagli altri sistemi di IA è la capacità di produrre nuovi contenuti, sotto forma di testo, immagini, audio o video.

Come tutti i sistemi di IA, anche i modelli di GenAI sono basati su macchine, operano con gradi variabili di autonomia e deducono dagli input ricevuti come generare l’output; tuttavia la GenAI presenta proprie peculiarità, ossia:

• per la maggior parte dei modelli, utilizza tecniche di deep learning (apprendimento profondo), in particolare reti neurali per elaborare e produrre dati;
• funziona analizzando i dati di input nel loro contesto e riconoscendo schemi ricorrenti, in modo da generare nuovi output coerenti con il tono, lo stile e l’argomento desiderati;
• sa adattarsi a diversi stili espressivi (ad es. quelli artistici, narrativi o musicali);
• si basa su principi probabilistici, fondati sulla matematica della probabilità e della statistica;
• evolve costantemente attraverso processi iterativi di addestramento su dataset di grandi dimensioni e diversificati (all’aumentare e al variare dei dati a cui sono esposti, la loro capacità di generare contenuti si modifica di conseguenza).

Nella legislazione UE (in particolare nella nell’IA Act) non si rinviene una specifica definizione di GenAI; essa è considerata, ora come una sottocategoria dei “sistemi di IA”, ora come un “sistema di IA ad uso generale”/ “modello di IA per finalità generali” (i.e. general -pourpose AI system, rif. art.3, Regolamento n. 1689/2024/UE).

Sistema di IA (definizione OCSE ripresa all’art.3 IA Act)	E’ un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.
Modello di IA per finalità generali (art.3 IA Act)	E’ un sistema di IA basato su un modello di IA per finalità generali e che ha la capacità di perseguire varie finalità, sia per uso diretto che per integrazione in altri sistemi di IA.

Dal punto di vista regolamentare, esistono leggi che disciplinano direttamente specifici aspetti dell’IA, e vi sono molte altre normative che si applicano indirettamente ai sistemi di IA (ad es. quelle in materia di privacy e protezione dei dati, istruzione, occupazione e ricerca medica).

Quadro normativo nazionale ed europeo sull’uso della Gen AI

La normativa più conosciuta nel contesto sovranazionale è la già citata Legge sull’IA dell’Unione Europea, adottata nel 2024 ed entrata in vigore nell’Agosto dello stesso anno; che istituisce un quadro normativo basato sul rischio, applicabile a tutti i fornitori e utilizzatori di sistemi di IA nel mercato dell’Unione, indipendentemente dalla loro provenienza.

L’ IA Act classifica i relativi sistemi in 4 categorie, ognuna soggetta a differenti livelli di obblighi e regolamentazione; prevede inoltre regole specifiche per i sistemi GPAI (Generale Purpose AI – AI per finalità generali) sottoponendoli a obblighi di trasparenza e documentali più severi per i modelli con capacità elevate.

Categorie di rischio associate ai sistemi di IA – IA Act
1	ALTO RISCHIO	Sistemi soggetti a numerosi requisiti (i.e. valutazioni di conformità, trasparenza, supervisione umana, qualità dei dati, registrazione in un database dell’UE); vi rientra anche l’uso di IA nel sistema giudiziario.
2	RISCHIO LIMITATO	Obblighi di trasparenza (ad es. informare gli utenti quando interagiscono con un sistema di IA o quando i contenuti sono generati artificialmente, come nei deepfake).
3	RISCHIO MINIMO	Riguarda la maggior parte dei sistemi di IA che non sono soggetti a requisiti aggiuntivi oltre a quelli di normativa generale UE.
4	RISCHIO INACCETTABILE	Afferisce a tutte le pratiche vietate (es. social scoring, manipolazione comportamentale, identificazione biometrica non autorizzata in luoghi pubblici).

Negli Stati Uniti, l’approccio è ibrido; combina ordini esecutivi federali, regolamenti settoriali e leggi statali (in particolare in Colorado e California).

A livello internazionale, la Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale, i diritti umani, la democrazia e lo Stato di diritto[10] – formalmente adottata il 17 Maggio 2024 dal Comitato dei Ministri del Consiglio d’Europa – costituisce il primo trattato internazionale giuridicamente vincolante in materia di IA.

La Convenzione:

• mira a garantire che le attività di IA siano conformi ai diritti umani, ai principi democratici e allo Stato di diritto, includendo temi come: dignità e autonomia umana, uguaglianza e non discriminazione; privacy e protezione dei dati, trasparenza e supervisione, responsabilità, sicurezza e innovazione affidabile;
• è finalizzata a garantire che ogni fase del ciclo di vita dei sistemi di IA (progettazione, addestramento e utilizzo) rispetti i principi e valori di cui sopra;
• impone obblighi proporzionati ai potenziali rischi dell’IA per i diritti umani;
• si applica alle attività IA svolte dalle Autorità pubbliche o da soggetti privati che agiscono per loro conto (per il settore privato gli Stati aderenti alla Convenzione possono scegliere se applicare direttamente gli obblighi o adottare misure alternative equivalenti).

Rilevano poi a livello UE e come fonti riferite specificatamente al contesto giudiziario:

• la Carta etica europea sull’uso dell’intelligenza artificiale nei sistemi giudiziari e nel loro contesto adottata dalla Commissione UE per l’efficienza della giustizia (CEPEJ), Consiglio d’Europa 2018,
• varie Linee guida per Professionisti della giustizia e per Avvocati (di cui in parte si è già detto nei paragrafi che precedono).

In ogni caso, la CCBE nella sua Guida chiarisce che “l’uso dell’IA (inclusa la GenAI) da parte degli Avvocati resta soggetto agli obblighi professionali vigenti nelle rispettive giurisdizioni, oltre che alle leggi generali applicabili”.

Declinazioni applicative dell’IA in ambiente forense – benefici e rischi

Tra i principali benefici riconosciuti ai sistemi di IA diffusi in ambiente forense, la Guida CCBE indica quelli di:

• maggiore efficienza operativa (ad es. creazione automatizzata di documenti, analisi rapida di grandi volumi di materiali per una comunicazione più snella al cliente);
• miglioramento e potenziamento della ricerca legale (ad es. reperibilità più rapida e accurata di giurisprudenza pertinente, analisi di banche dati o individuazione di tendenze giuridiche);
• migliore qualità del lavoro (ad es. riduzione di errori, verifica della conformità e standardizzazione dei processi);

con conseguenti ricadute positive anche in termini di:

• risparmi di costi e tempi di produzione;
• ottimizzazione delle risorse;
• riduzione dei tempi di trattazione di casi giudiziari;
• possibilità di concentrarsi su attività qualitative piuttosto che ripetitive.

Anche nella relazione con il Cliente, il ricorso ai sistemi di IA presenta potenziali vantaggi per l’Avvocato, consentendo tempi di risposta più rapidi, stime di costo più accurate, migliore supporto operativo e di affiancamento, facilitazioni nell’accesso alla giustizia da parte di soggetti attualmente sottoserviti.

Poiché poi anche i fornitori di sistemi di IA hanno incrementato in modo significativo la produzione di nuovi modelli pensati specificatamente per le peculiarità di uno Studio legale, le soluzioni di IA vengono oggi commercializzate in modo diffuso e come strumenti specializzati per i Professionisti del diritto, con l’obiettivo di consentire pratiche di lavoro più rapide ed efficienti (rif. a strumenti di ricerca e redazione addestrati su dati giuridici o collegati a banche dati legali).

Tuttavia, la Guida CCBE non si limita ai benefici ed ai trend di mercato, ma individua anche e soprattutto i principali rischi che l’utilizzo dell’IA prospetta al legale, per rapporto agli obblighi che gli si impongono per normativa anche di stampo ordinistico e di deontologia applicabile.

Di seguito, la sintesi dei principali rischi collegati all’uso dei sistemi di IA nell’operatività legale:

ALLUCINAZIONI	L’IA può generare risposte fattualmente inesatte o illogiche (imputabili a possibili cause e fattori quali: limitazioni nei dati di addestramento, natura probabilistica dei modelli di IA, incomprensioni di contesto, eccessiva generalizzazione, generazione di dati di sintesi). Con il rischio – nel contesto dei servizi legali – di giurisprudenza completamente fittizia, cause o decisioni giudiziarie inesistenti, attribuzione erronea di citazioni a giudici o studiosi del diritto, oppure di argomentazioni giuridiche apparentemente plausibili ma interamente inventate. Sussistono anche: il rischio di interpretazioni giuridiche fittizie, di principi giuridici inventati, di rappresentazioni scorrette dello stato del diritto vigente in specifiche giurisdizioni, o ancora di falsi collegamenti o correlazioni tra concetti giuridici.
BIAS E ADULAZIONE (SYCOPHANCY – COMPIACENZA)	Bias e compiacenza nella GenAI: il concetto si riferisce a errori sistematici o rappresentazioni distorte che emergono dai dati di addestramento, dal design/dalla progettazione del modello o dai processi algoritmici seguiti dai sistemi di IA (imputabili al fatto che i modelli di IA vengono addestrati su enormi insiemi di dati che riflettono modelli di comunicazione umana, nei quali l’accordo e il rinforzo positivo sono presenti, così che l’IA può dare priorità alla generazione di risposte concilianti o gradire all’utente, piuttosto che a informazioni accurate, critiche o bilanciate); i bias possono riprodurre o amplificare pregiudizi sociali esistenti, generando risultati ingiusti o inaccurati, o ancora produrre output fuorvianti o distorti. Adulazione nella GenAI: indica la tendenza dei sistemi di IA (in particolare dei Modelli Linguistici di Grandi Dimensioni – LLM), a generare risposte che si allineano a preferenze o a bias percepiti dell’utente; concordando eccessivamente o fornendo riscontri eccessivamente positivi. In questo modo, l’IA può privilegiare risposte compiacenti anziché informazioni accurate o critiche, con il rischio di output fuorvianti o squilibrati.
MANCANZA DI TRASPARENZA	Attualmente, quasi tutti i sistemi di GenAI presentano il fenomeno della c.d. “scatola nera” (o black box), tale per cui i processi di ragionamento interni sono opachi e difficili da interpretare. Persino gli sviluppatori ed i fornitori di tali sistemi non sono in grado di spiegare pienamente come vengono prodotti gli output. Per gli Avvocati, ciò rende più difficile verificare l’accuratezza e l’affidabilità dei contenuti generati dall’IA con il rischio di compromettere la qualità di consulenze legali/degli atti prodotti. Si aggiungono rischi per la riservatezza delle informazioni del Cliente, ove fornite ai sistemi di IA (ad es. quando i dati vengano archiviati, riutilizzati o incorporati involontariamente nell’addestramento del sistema; con il rischio di violazione del segreto professionale).
VIOLAZIONE DELLA PROPRIETA’ INTELLETTUALE E DIRITTI CONNESSI	La titolarità dei dati (di input e di output) è tra le principali preoccupazioni nell’uso della GenAI. Dati protetti da copyright o non autorizzati possono infatti essere utilizzati per addestrare gli strumenti di IA, con il rischio di violazioni del diritto d’autore qualora i dati di input (in ingresso) contenenti opere protette producano dati di output (in uscita) riconoscibili. Inoltre, possono sorgere criticità legate alle clausole di titolarità contenute nei termini del servizio o nei contratti di licenza. Con problematiche ancora più rilevanti, ove i fornitori di GenAI invochino la tutela del segreto industriale (trade secret protection) per non divulgare informazioni sul funzionamento dei propri sistemi.
MANCANZA DI SICUREZZA	L’IA può introdurre o aggravare rischi di sicurezza informatica, compresa la possibilità che attori malevoli sfruttino vulnerabilità del sistema (tra i rischi più rilevanti sono quelli di phishing, di prompt injection (i.e. inserimento subdolo di istruzioni/comandi specifici durante la fase di imput con l’obiettivo di manipolare o aggirare restrizioni imposte, così da indurre il sistema a eseguire attività altrimenti vietate o limitate), di data poisoning (i.e. di corruzione di dati o fonti) o di model poisoning (i.e. “velenamento” del modello), compromettendo il comportamento e l’output del sistema.
VIOLAZIONE DI DATI PERSONALI	I sistemi di GenAI si basano su enormi insiemi di dati (dataset) per il loro addestramento, il che comporta il rischio che gli utenti che interagiscono con tali strumenti per compiti specifici, possano, senza rendersene conto, fornire dati di input che vengono poi riutilizzati per riaddestrare il modello. Può anche accadere che tali dati vengano utilizzati dai fornitori o distributori per i dataset di addestramento, ovvero che gli stessi soggetti abbiano accesso ai dati di input o agli output generati durante il funzionamento dei sistemi. In assenza di informazioni chiare e trasparenti da parte dei gestori dei sistemi, si rischia quindi che le persone possano esporre involontariamente loro informazioni riservate o dati sensibili, senza essere pienamente consapevoli dei rischi potenziali.
FRODE	I sistemi di IA possono includere deepfake[11], identità sintetiche o situazioni di impersonation (i.e. sostituzioni di persona, manipolazione di sistemi di riconoscimento facciale, furti d’identità e produzione di documenti falsi) o generare truffe automatizzate dalla stessa IA; con possibili danni reputazionali per l’Avvocato o con divulgazione non lecita di informazioni sensibili.

Con specifico riferimento al dovere di indipendenza, la Guida CCBE ricorda l’obbligo del Professionista di mantenimento dell’obiettività professionale.

I principali rischi da contenere sono quelli derivanti dai fenomeni di bias e compiacenza (sycophancy), descritti in precedenza.

Per il legale che ricorre ai sistemi di IA nella professione, può verificarsi il caso di interiorizzarli inconsciamente, esponendosi a possibili influenze nei giudizi o nei comportamenti e – per i casi più estremi- di indebolire il dovere di fornire una consulenza imparziale.

Ancora, possono verificarsi situazioni di dipendenza eccessiva dagli output generati dall’IA, che possono condurre a una forma di “compiacenza automatica” (automation complacency) e alla sostituzione del giudizio umano con conclusioni automatizzate.

Il dovere di trasparenza impone all’Avvocato che utilizza sistemi di IA nell’attività di difesa o assistenza al Cliente, l’obbligo di informarlo preventivamente consentendogli di esprimere eventuali riserve o condizioni, o di opporvisi.

A beneficio del lettore, si fornisce di seguito lo schema di informativa, su modello CNF.

Informativa sull’utilizzo di strumenti di Intelligenza Artificiale Documento predisposto ai sensi dell’art. 13 – L. 23 settembre 2025 n. 132 Disposizioni in materia di professioni intellettuali. Il sottoscritto avv. _________________________ con Studio in ______________________ via _______________________ Ai sensi dell’art. 13 della legge 132/2025 informa ₋ che nel corso dell’esecuzione dell’incarico conferito sia in sede giudiziale che stragiudiziale, ove ritenuto utile, potrebbe ricorrere all’impiego di sistemi di Intelligenza Artificiale (“I.A.”), per svolgere attività strumentali e/o di supporto all’attività professionale; ₋ che l’utilizzo dei sistemi di Intelligenza Artificiale (“I.A.”) avverrà sempre nel pieno rispetto delle disposizioni del Regolamento UE n. 2016/679 (GDPR) e dei doveri deontologici che regolano la professione forense al fine di garantire la tutela della privacy e della riservatezza del cliente e della parte assistita; ₋ che, in particolare, l’Intelligenza Artificiale (“I.A.”) sarà impiegata esclusivamente per funzioni di supporto alla attività professionale, quali, a titolo meramente esemplificativo, la gestione di attività organizzative e di segreteria, la ricerca normativa e giurisprudenziale, l’analisi preliminare di documenti e la predisposizione di bozze o sintesi; ₋ che il risultato derivato dai sistemi di Intelligenza Artificiale (“I.A.”) sarà oggetto di una verifica attenta e accurata da parte dell’avvocato, sia in sede di generazione del prodotto che di controllo delle fonti. Luogo ____________, data ___/___/_____ Sottoscrizione dell’Avvocato _______________________ Il sottoscritto ____________________ dichiara di essere stato reso edotto delle indicazioni sopra riportate e di averne pienamente compreso il significato. Sottoscrizione del cliente _______________________

Trova applicazione anche l’obbligo di evitare conflitti di interesse, in quanto i sistemi di IA possono essere addestrati su – o avere accesso a – informazioni riservate provenienti da più Clienti dello stesso Studio Legale; con la conseguente possibilità di condivisione involontaria di informazioni o di conflitti di interesse effettivi o potenziali.

Gli Avvocati devono inoltre rispettare i principi di:

• dignità e onore della professione legale (i.e. l’uso di output non verificati, potenzialmente contenenti informazioni errate, false o fuorvianti può minare la fiducia nella capacità dell’Avvocato di fornire una consulenza competente e affidabile);
• lealtà verso il Cliente (i.e. l’uso di output non verificati, può pregiudicare gli interessi del Cliente),
• integrità personale e rispetto dello Stato di diritto,
• corretta amministrazione della giustizia.

Gli Avvocati che utilizzano contenuti generati dall’IA senza un’adeguata verifica possono essere soggetti a sanzioni disciplinari o procedimenti per negligenza professionale; con conseguente pregiudizio per gli interessi e la fiducia del Cliente, oltre che per la reputazione dell’Avvocato.

Conclusioni

La Guida CCBE non nasce per rispondere a una moda tecnologica, ma a una trasformazione strutturale che sta ridefinendo le modalità dell’esercizio della professione forense. Ignorarla non è più una scelta neutrale.

Il vero nodo non è tecnico, ma culturale. I sistemi di GenAI non sostituiscono il giudizio dell’Avvocato, ma lo mettono alla prova in modo nuovo; richiedono una vigilanza più attiva, una capacità critica più affinata, una responsabilità più consapevole. Il rischio più insidioso non è l’allucinazione del modello, bensì la possibile “superficialità” di chi lo utilizza e che vi ricorre senza un adeguato livello di consapevolezza e di controllo.

È in questo spazio – tra l’output dell’algoritmo e la supervisione vigile ed attenta dell’Avvocato – che si gioca la qualità della consulenza legale dei prossimi anni. Presidiarlo con competenza, trasparenza e rigore deontologico non è un onere aggiuntivo: è, oggi più che mai, il cuore dell’aspettativa che il Cliente ripone nei confronti del Professionista e dello Studio legale.

Note

[1] I.e. Legge 23 Settembre 2025 n.132 (Disposizioni e deleghe del Governo in materia di Intelligenza Artificiale) pubblicata in GURI 25 Settembre 2025 n.223.

[2] Letteralmente, per previsione dell’art. 13 (Disposizioni in materia di professioni intellettuali) della Legge: “L’utilizzo di sistemi di intelligenza artificiale nelle professioni intellettuali è finalizzato al solo esercizio delle attività strumentali e di supporto all’attività professionale e con prevalenza del lavoro intellettuale oggetto della prestazione d’opera. Per assicurare il rapporto fiduciario tra professionista e cliente, le informazioni relative ai sistemi di intelligenza artificiale utilizzati dal professionista sono comunicate al soggetto destinatario della prestazione intellettuale con linguaggio chiaro, semplice ed esaustivo”.

[3] I.e. Regolamento del Parlamento europeo e del Consiglio, 13 Giugno 2024 n. 1689/2024/UE che stabilisce regole armonizzate sull’IA e modifica i Regolamenti n. 1689/2024/UE (CE) n.300/2008/UE, n.167/2013/UE, n.2018/858/UE, n.2018/1139/UE e n.2019/2144/UE e le direttive n.2014/90/UE e 2000/1828/UE – Anche IA Act o Regolamento sull’’Intelligenza Artificiale, pubblicato in GUUE 12 Luglio 2024 n. L 2024/1689.

[4] Istituito per tutelare i diritti della categoria forense, garantire il rispetto della deontologia forense e collaborare con il Ministero della Giustizia, il CNF ha sede a Roma ed esercita funzioni giurisdizionali, disciplinari e consultive. Gestisce l’Albo degli Avvocati abilitati al patrocinio dinanzi alle giurisdizioni superiori (Corte di Cassazione), giudica sui reclami disciplinari adottati dai Consigli dell’Ordine territoriali e promuove la formazione continua e le scuole forensi.

[5] I.e. Decreto Legislativo 31 Marzo 2023 n.36 (Codice dei contratti pubblici in attuazione dell’art. 1 L.21 giugno 2022 n.78 recante delega al Governo in materia di contratti pubblici come integrato e modificato dal D.Lgs. 31 dicembre 2024 n.209), pubblicato in GURI 31 Marzo 2023 n.77 SO n.12.

[6] Entrambi i documenti sono reperibili sul sito COA Milano al seguente link: https://www.ordineavvocatimilano.it/it/news/guida-del-ccbe-sulluso-dellintelligenza-artificiale-generativa-da-parte-degli-avvocati/p100-n2963.

[7] In tal senso sono i rimandi di cui all’Allegato 1 della Guida CCBE strutturato in ordine alfabetico e per Nazione, Paese o Istituzione di riferimento (i.e. Argentina, Australia, Belgio, Brasile, Canada, Cina, Colombia, Repubblica Ceca, Emirati Arabi Uniti, Estonia, Francia, Irlanda, Italia, Malesia, Nuova Zelanda, Nigeria, Polonia, Repubblica del Sud Africa, Singapore, Spagna, Svezia, Regno Unito, Stati Uniti, CJEU -Corte di giustizia UE, FBE – Federazione Europea degli Ordini Forensi, Consiglio d’Europa, IBA – Associazione Internazionale degli Avvocati , ABA – Associazione Americana degli Avvocati – UNESCO).

[8] La Carta è reperibile sul sito del COA Milano al seguente link: https://www.ordineavvocatimilano.it/it/news/la-carta-dei-principi-per-un-uso-consapevole-dei-sistemi-di-intelligenza-artificiale-in-ambito-forense/p100-n2587

[9] I.e. Articoli CDF- Codice Deontologico Forense di riferimento: Artt. 14 e 15 (Dovere di competenza e di aggiornamento); Att. 10 e 26 (Dovere di diligenza e di indipendenza); Artt. 13 e 28 (Dovere di riservatezza, Segreto professionale); Artt. 27 (Dovere di informazione e trasparenza verso il cliente); Art. 17 (Decoro e Comunicazione professionale); Art. 50 (Dovere di verità).

[10] Oltre ai 46 Stati Membri del Consiglio d’Europa, la Convenzione è aperta alla firma di tutti i Paesi del mondo e mira a stabilire norme comuni per un’IA affidabile. Vi aderiscono, Stati Uniti, Andorra, Georgia, Islanda, Norvegia, Moldavia, San Marino, Regno Unito, Israele ed UE.

[11] Nella Guida CCBE si legge anche sul punto che: “Così come oggi è possibile creare deepfake di personaggi pubblici, in futuro potrebbe diventare possibile realizzate deepfake di interi Studi legali con lo scopo di trarre in inganno i Clienti. Potrebbero inoltre essere falsificate le identità di persone che gli Avvocati devono verificare nell’ambito dell’attività di due diligence”. Occorre quindi riflettere su questi ulteriori possibili rischi per il legale, per contrastarli con misure preventive efficaci.

https://www.ictsecuritymagazine.com/articoli/gen-ai-guida-ccbe/

Il no-code malware generato tramite intelligenza artificiale ha smesso di essere un’ipotesi teorica. È un prodotto commerciale, con listino prezzi, canali di distribuzione e persino un servizio clienti. E l’aspetto più inquietante non è il malware in sé – è il profilo di chi lo crea.

Nel Threat Intelligence Report di agosto 2025, Anthropic ha documentato il caso di un cybercriminale britannico – tracciato come GTG-5004 – che ha sviluppato, commercializzato e distribuito multiple varianti di ransomware con capacità di evasione avanzata, crittografia robusta e meccanismi anti-recovery sofisticati. I pacchetti erano venduti su forum del dark web a prezzi compresi tra 400 e 1.200 dollari. Il dettaglio che trasforma questo caso da episodio criminale a fenomeno strutturale è uno solo: l’attore era apparentemente incapace di implementare o risolvere problemi nelle componenti tecniche fondamentali del proprio malware senza l’assistenza dell’AI.

Non stiamo parlando di un programmatore esperto che ha velocizzato il proprio flusso di lavoro. Stiamo parlando di qualcuno che non saprebbe implementare un algoritmo di crittografia, manipolare le Windows internals o costruire tecniche anti-analisi – eppure vendeva tutto questo come se fosse competenza propria. L’AI non ha migliorato le sue capacità: le ha sostituite.

Questo articolo ricostruisce l’architettura tecnica del ransomware GTG-5004, analizza il modello commerciale RaaS che lo ha accompagnato, e ne esamina le implicazioni per la threat intelligence e le strategie di difesa. Lo facciamo con un livello di dettaglio tecnico che riteniamo necessario: perché è solo comprendendo cosa un attaccante senza competenze può oggi costruire che i professionisti della sicurezza possono calibrare le proprie difese in modo adeguato.

L’architettura crittografica: ChaCha20 con gestione chiavi RSA

Il cuore tecnico del ransomware GTG-5004 è il suo sistema di crittografia ibrida, un’architettura che combina velocità di cifratura simmetrica con la sicurezza della crittografia asimmetrica – lo stesso principio impiegato da famiglie ransomware professionali come Conti, LockBit e Akira.

L’implementazione prevede tre livelli funzionali interconnessi.

Cifratura dei file con ChaCha20. Il ransomware utilizza il cifrario a flusso ChaCha20, progettato originariamente da Daniel J. Bernstein, per cifrare i primi 256 KB di ciascun file – la porzione di header che rende il contenuto inutilizzabile senza decrittazione completa. La scelta di ChaCha20 rispetto al più comune AES-256 non è casuale: ChaCha20 offre prestazioni superiori su architetture prive di accelerazione hardware AES-NI, una condizione frequente in ambienti eterogenei. È lo stesso cifrario adottato da protocolli come WireGuard e TLS 1.3, il che ne attesta la solidità crittografica. Per ogni file viene generata una coppia chiave-nonce unica, rendendo inutile qualsiasi tentativo di decrittazione basato sulla correlazione tra file diversi.

Gestione delle chiavi tramite RSA. Le chiavi simmetriche ChaCha20 generate per ciascun file vengono protette tramite crittografia asimmetrica RSA, utilizzando le Windows CNG (Cryptography: Next Generation) API per le operazioni con chiave pubblica. La chiave privata RSA, necessaria per la decrittazione, non risiede mai sul sistema della vittima – rimane esclusivamente sotto il controllo dell’attaccante. Questo schema rende la decrittazione computazionalmente impossibile senza il pagamento del riscatto, a meno di errori implementativi nell’uso dei generatori di numeri casuali o nella gestione della memoria – vulnerabilità che, come documentato dall’analisi ASEC del ransomware Gunra, possono occasionalmente emergere anche in implementazioni apparentemente sofisticate.

Selezione dei target e marking dei file. Il ransomware enumera tutti i drive fissi e le condivisioni di rete, prioritizzando le directory utente per massimizzare l’impatto percepito dalla vittima. I file cifrati ricevono l’estensione “.enc” e un marcatore interno che previene la doppia cifratura – un accorgimento tecnico che rivela una maturità progettuale notevole per un prodotto sviluppato da un non-programmatore. Il sistema supporta inoltre la flessibilità crittografica, con capacità AES-256 disponibili come alternativa a ChaCha20.

Il punto critico, dal punto di vista dell’analisi, è che questa architettura è tecnicamente solida. Non siamo di fronte a un esperimento dilettantistico: è un’implementazione funzionale che riflette le best practice del ransomware moderno. E l’attore che l’ha costruita non ne comprendeva i fondamenti matematici né le implicazioni implementative – si è limitato a guidare l’AI attraverso un processo di prompting iterativo fino a ottenere un prodotto commercializzabile.

Evasione EDR: FreshyCalls, RecycledGate e l’invocazione diretta delle syscall

Se la crittografia è il motore del ransomware, l’evasione delle soluzioni EDR (Endpoint Detection and Response) è il suo sistema di occultamento. Ed è qui che il no-code malware di GTG-5004 raggiunge il livello di sofisticazione più sorprendente.

Per comprendere le tecniche impiegate è necessario un breve inquadramento tecnico. Le soluzioni EDR operano prevalentemente nello user-mode, dove intercettano le chiamate alle API Windows attraverso un meccanismo di hooking: iniettano le proprie DLL nei processi monitorati e inseriscono deviazioni (hook) all’inizio delle funzioni critiche in ntdll.dll, la libreria che funge da ponte tra lo user-mode e il kernel. Quando un processo invoca una funzione come NtAllocateVirtualMemory, l’hook reindirizza temporaneamente l’esecuzione verso il codice di analisi dell’EDR prima di lasciar proseguire la chiamata verso il kernel.

Il ransomware GTG-5004 aggira questo meccanismo attraverso due tecniche complementari di direct syscall invocation, entrambe progettate per bypassare gli hook in ntdll.dll ed eseguire le chiamate di sistema direttamente verso il kernel.

FreshyCalls. Questa tecnica, sviluppata originariamente dal ricercatore ElephantSe4l, estrae dinamicamente i System Service Number (SSN) – gli identificatori numerici univoci di ciascuna syscall – analizzando la export table di ntdll.dll a runtime. Anziché utilizzare SSN hardcoded (che cambiano tra versioni di Windows), FreshyCalls li risolve dinamicamente ordinando le funzioni esportate per indirizzo. Il risultato è che il malware può invocare le syscall senza transitare attraverso le funzioni hookate dell’EDR.

RecycledGate. Evoluzione delle tecniche Hell’s Gate e Halo’s Gate, RecycledGate localizza sequenze “syscall; ret” già esistenti all’interno di ntdll.dll e le riutilizza come trampolini per l’esecuzione. Invece di eseguire l’istruzione syscall direttamente dal codice del malware (un pattern facilmente rilevabile, noto come Mark of the Syscall), il flusso di esecuzione viene reindirizzato verso istruzioni syscall legittime già presenti nello spazio di memoria di ntdll.dll. Lo stack di chiamata risultante appare quindi coerente con un’esecuzione normale, rendendo significativamente più complessa la rilevazione anche per EDR che analizzano il call stack.

Queste due tecniche lavorano in sinergia: FreshyCalls risolve quale syscall chiamare (il numero SSN corretto), RecycledGate determina dove eseguirla (tramite un’istruzione syscall legittima in ntdll.dll). Il risultato è un bypass completo degli hook user-mode che costituiscono la prima linea di difesa della maggior parte delle soluzioni EDR commerciali.

A completare il quadro di evasione, il ransomware implementa ulteriori tecniche complementari: offuscamento delle stringhe per eludere l’analisi statica, nascondendo nomi di API sospette e indicatori di compromissione; codice anti-debugging per rilevare ed evadere ambienti di analisi sandbox; e manipolazione dei processi tramite tecniche di reflection per il caricamento stealth delle DLL.

Il dato che emerge è netto: queste non sono tecniche da script kiddie. FreshyCalls e RecycledGate appartengono al repertorio di red teamer esperti e sviluppatori di offensive tooling con anni di pratica nell’evasione di soluzioni endpoint. Eppure, nel caso GTG-5004, sono state implementate da qualcuno che – secondo l’analisi di Anthropic – non appariva in grado di implementare o risolvere problemi nelle componenti tecniche complesse senza assistenza AI.

Meccanismi anti-recovery: eliminare ogni via di uscita

Un ransomware efficace non si limita a cifrare: deve impedire alla vittima di recuperare i dati attraverso canali alternativi. GTG-5004 implementa una strategia anti-recovery articolata su tre direttrici.

Eliminazione delle shadow copy. Il ransomware cancella le Windows Volume Shadow Copy, le copie di backup incrementali che Windows mantiene automaticamente e che rappresentano spesso l’ultima risorsa di recovery per le organizzazioni colpite. Senza shadow copy, il ripristino dei file diventa possibile solo attraverso backup esterni – che non tutte le organizzazioni mantengono in modo adeguato e isolato dalla rete.

Enumerazione mirata del file system. Anziché cifrare indiscriminatamente, il ransomware opera una selezione intelligente basata su estensioni specifiche, concentrandosi su documenti, database, archivi e file di configurazione ad alto valore operativo. Questa selettività ha un duplice scopo: accelerare il processo di cifratura (riducendo il tempo di esposizione al rilevamento) e massimizzare l’impatto percepito dalla vittima.

Targeting delle condivisioni di rete. L’operatività del ransomware si estende oltre i drive locali, raggiungendo le risorse di rete mappate. In un ambiente enterprise, questo significa che un singolo endpoint compromesso può propagare la cifratura a share di reparto, server documentali e repository condivisi – amplificando esponenzialmente il danno.

La combinazione di questi meccanismi con la crittografia ChaCha20/RSA crea uno scenario in cui, per la vittima, le opzioni si riducono a tre: pagare il riscatto, ripristinare da backup offline non compromessi, o accettare la perdita dei dati.

Delivery: reflective DLL injection e code cave infection

Le tecniche di delivery del ransomware GTG-5004 rappresentano un ulteriore livello di sofisticazione orientato alla stealth.

Reflective DLL injection. Il ransomware implementa il caricamento riflettente delle DLL, una tecnica documentata nel framework MITRE ATT&CK come T1620 (Reflective Code Loading). A differenza dell’injection DLL tradizionale, che richiede la scrittura del payload su disco e l’utilizzo di API monitorate come LoadLibrary, la reflective injection carica il malware direttamente in memoria all’interno di un processo legittimo. La DLL implementa un proprio PE loader minimale che mappa l’immagine in memoria, risolve gli import, applica le rilocazioni e trasferisce l’esecuzione al punto di ingresso – tutto senza creare artefatti su disco e senza invocare le API di caricamento standard che le soluzioni di sicurezza monitorano.

L’implicazione operativa è significativa: il ransomware può essere eseguito all’interno di un processo legittimo (come svchost.exe o explorer.exe) senza lasciare tracce sul file system, rendendo la rilevazione basata su scansione file inefficace e complicando l’analisi forense post-incidente.

Code cave infection. Il malware sfrutta inoltre l’inserimento di payload nelle code cave – regioni di spazio inutilizzato all’interno delle sezioni di eseguibili PE legittimi. Questa tecnica consente di nascondere il codice malevolo all’interno di binari apparentemente integri, aggirando i controlli di integrità superficiali e le whitelist applicative basate su hash dei file originali.

Architettura modulare. L’intero sistema è costruito con un’architettura a componenti indipendenti che possono funzionare singolarmente o come pacchetto integrato, offrendo flessibilità operativa sia all’attaccante originale sia agli acquirenti del kit RaaS.

Il modello commerciale RaaS: pricing, distribuzione e operational deception

Se l’analisi tecnica rivela la sofisticazione del no-code malware, il modello commerciale ne rivela l’ambizione imprenditoriale. GTG-5004 non è un attaccante che usa il proprio ransomware: è un fornitore di servizi criminali che ha costruito un business strutturato.

Struttura di pricing a tre livelli. L’offerta commerciale era articolata su tre pacchetti progressivi, ciascuno calibrato su esigenze operative diverse:

• Tier 1 – Ransomware DLL ed eseguibile (400 dollari). Il pacchetto base includeva il payload di cifratura nelle sue due forme (DLL per injection e EXE per esecuzione diretta), con le capacità di crittografia ChaCha20/RSA e i meccanismi anti-recovery descritti.
• Tier 2 – Kit RaaS completo con console PHP e infrastruttura C2 (800 dollari). Il livello intermedio aggiungeva una console di gestione basata su PHP per il monitoraggio delle vittime, un’infrastruttura di command and control su rete Tor, e l’utility di decrittazione per la verifica dei pagamenti e il ripristino dei file.
• Tier 3 – Crypter FUD per Windows 10/11 (1.200 dollari). Il pacchetto premium includeva un crypter (strumento di offuscamento) progettato per rendere i binari nativi completamente non rilevabili (FUD – Fully Undetectable) dalle soluzioni antivirus e EDR correnti.

Canali di distribuzione. L’attore operava attraverso un sito .onion dedicato e manteneva una presenza attiva su almeno tre forum del dark web: Dread, CryptBB e Nulled. I post di vendita spaziavano da semplici inserzioni “[SELL]” ad annunci “[Brand New]” corredati da video dimostrativi. Per le comunicazioni con i clienti utilizzava ProtonMail, e offriva servizi di crypting personalizzati attraverso canali privati.

Operational deception. Un elemento particolarmente rilevante sotto il profilo giuridico e criminologico è la clausola “for educational and research use only” che accompagnava i prodotti. Si tratta di un classico meccanismo di plausible deniability che i vendor di strumenti offensivi utilizzano per creare un sottile strato di protezione legale – del tutto inconsistente, naturalmente, quando i prodotti vengono contemporaneamente pubblicizzati su forum criminali e accompagnati da servizi di supporto operativo. Questa finzione giuridica è peraltro un indicatore di maturità nell’ecosistema RaaS: l’attore ha internalizzato le pratiche commerciali del mercato underground, includendo i rituali di protezione legale che caratterizzano i marketplace del dark web.

La timeline di sviluppo: il prompting iterativo come motore di sofisticazione

L’analisi temporale dello sviluppo del no-code malware GTG-5004 rivela un pattern che ha implicazioni profonde per la modellazione delle minacce.

Secondo il report di Anthropic, l’attività dell’attore è stata tracciata a partire da gennaio 2025, con la prima offerta di vendita pubblicata sui forum del dark web. L’analisi delle interazioni con Claude ha permesso di identificare tre fasi distinte di sviluppo, ciascuna caratterizzata da un livello crescente di sofisticazione.

Fase iniziale: crittografia ed evasione base. Nelle prime interazioni, l’attore ha guidato l’AI verso l’implementazione delle funzionalità core: il sistema di cifratura ChaCha20, la gestione chiavi RSA, e le tecniche di evasione fondamentali. È in questa fase che emergono le evidenze più chiare della dipendenza dall’AI: l’attore necessitava di assistenza per implementare la logica crittografica, le tecniche anti-analisi e la manipolazione delle Windows internals.

Fase intermedia: anti-analisi e prevenzione del recovery. Nella seconda fase, lo sviluppo si è concentrato sulle capacità anti-debugging, sull’eliminazione delle shadow copy e sull’enumerazione mirata del file system. Il pattern di interazione mostra un ciclo iterativo di generazione – test – fallimento – correzione in cui l’AI non solo produceva codice, ma diagnosticava i problemi e proponeva soluzioni alternative quando i primi approcci non funzionavano.

Fase avanzata: delivery, infrastruttura C2 e offerta commerciale. La fase finale ha visto l’implementazione dei meccanismi di delivery avanzati (reflective DLL injection, code cave infection) e la costruzione dell’infrastruttura di command and control. Parallelamente, l’attore ha strutturato l’offerta commerciale con la piattaforma di distribuzione su rete Tor e la console PHP di gestione.

Questa progressione è significativa perché dimostra che il prompting iterativo non produce solo artefatti discreti – produce traiettorie di apprendimento in cui ciascuna iterazione costruisce sulle precedenti, generando una complessità emergente che supera le capacità dell’operatore umano. L’AI, in questo contesto, non è uno strumento puntuale: è un ambiente di sviluppo persistente che consente a un attore privo di competenze di accumulare sofisticazione tecnica sessione dopo sessione.

No-code malware e attribuzione: quando il codice porta la firma dell’AI

Il caso GTG-5004 introduce una sfida inedita per la threat intelligence: lo stile del codice riflette pattern AI, non pattern umani.

Tradizionalmente, gli analisti di malware utilizzano caratteristiche stilistiche del codice – strutture idiomatiche, preferenze di naming, pattern di error handling, scelte architetturali ricorrenti – come indicatori di attribuzione. Un programmatore russo tende a strutturare il codice in modo diverso da un cinese o da un americano, e queste differenze possono essere sfruttate per correlare campagne diverse e costruire profili degli attori.

Quando il codice è generato dall’AI, queste impronte stilistiche si dissolvono. Il codice prodotto da Claude o da altri modelli linguistici riflette pattern statistici derivanti dal corpus di addestramento, non le idiosincrasie cognitive di un programmatore specifico. Due attori completamente indipendenti, operanti in contesti diversi, che utilizzano lo stesso modello AI per sviluppare capacità simili, produrranno codice strutturalmente analogo – rendendo estremamente difficile distinguere le loro operazioni sulla base dell’analisi del codice.

Questa erosione dei marcatori stilistici ha implicazioni operative immediate. I modelli di attribuzione basati su TTP (Tattiche, Tecniche e Procedure) specifiche perdono potere discriminante quando le procedure sono generate dall’AI piuttosto che sviluppate dall’attore. Le piattaforme di threat intelligence che correlano campagne sulla base di similitudini nel tooling devono ora considerare la possibilità che la somiglianza rifletta l’uso dello stesso modello AI, non una connessione operativa tra gli attori. Antropic stessa ha riconosciuto questa trasformazione, indicando che l’attribuzione diventa più complessa quando lo stile del codice riflette pattern AI.

Per i team di threat intelligence, questo richiede un ripensamento degli indicatori di attribuzione: l’infrastruttura di distribuzione, i pattern di comunicazione, i metodi di monetizzazione e i comportamenti operativi dell’attore diventano più affidabili delle caratteristiche tecniche del malware stesso.

Il contesto: un ecosistema RaaS in espansione accelerata

Il caso GTG-5004 non è un’anomalia isolata: si inserisce in un’espansione dell’ecosistema RaaS che i dati del 2025 documentano con chiarezza. Secondo il report annuale di GuidePoint Security, gli attacchi ransomware sono aumentati del 58% nel 2025, con 7.515 vittime dichiarate sui siti di data leak – una media di 145 nuove vittime ogni settimana. BlackFog ha registrato un incremento del 49% degli attacchi pubblicamente dichiarati, con l’86% degli incidenti che rimane non divulgato.

Il modello RaaS, in particolare, sta attraversando una fase di industrializzazione accelerata. Come osservato da Recorded Future, il 2026 potrebbe segnare il primo anno in cui il numero di nuovi attori ransomware operanti al di fuori della Russia supererà quelli al suo interno – un segnale inequivocabile della globalizzazione dell’ecosistema criminale. Il gruppo Qilin, operante come RaaS, ha condotto nel 2025 più attacchi di quanti ne abbia realizzati LockBit al suo picco, reclutando affiliati su larga scala attraverso il dark web.

In questo contesto, il no-code malware generato tramite AI rappresenta un acceleratore strutturale: abbatte la barriera di ingresso per i nuovi affiliati, che non necessitano più di competenze tecniche per personalizzare e distribuire il ransomware acquistato. Il 2025 State of Ransomware Survey di CrowdStrike ha rilevato che il 48% delle organizzazioni identifica le catene di attacco automatizzate dall’AI come la principale minaccia ransomware, mentre l’85% ritiene che le difese tradizionali stiano diventando obsolete contro attacchi potenziati dall’AI.

Il dato più significativo, tuttavia, riguarda le PMI. Secondo il Verizon Data Breach Investigations Report 2025, il ransomware è stato presente nell’88% dei breach che hanno colpito piccole imprese – contro il 39% delle grandi organizzazioni. Quando il costo di sviluppo di ransomware sofisticato si riduce a zero grazie all’AI, e il costo di distribuzione si abbatte grazie al modello RaaS, la microeconomia dell’attacco cambia radicalmente: diventa profittevole colpire target che un tempo sarebbero stati trascurati perché il rapporto costo-beneficio non lo giustificava.

Limiti dell’analisi e controargomentazioni

Un’analisi rigorosa del fenomeno no-code malware richiede di considerare anche i limiti della narrativa che lo accompagna.

La solidità crittografica non è garantita. Il fatto che un ransomware implementi ChaCha20 con RSA non significa automaticamente che l’implementazione sia priva di vulnerabilità. Come documentato dall’analisi del ransomware Gunra da parte di ASEC, errori nella generazione dei numeri casuali o nella gestione delle chiavi possono rendere la crittografia reversibile. Un no-code malware generato dall’AI potrebbe contenere difetti implementativi non rilevabili dall’attore, che non possiede le competenze per validare la correttezza crittografica del prodotto.

L’evasione EDR è una corsa continua. Le tecniche FreshyCalls e RecycledGate, per quanto sofisticate, non sono invulnerabili. Le soluzioni EDR più avanzate stanno progressivamente integrando monitoraggio a livello kernel tramite kernel callback, ETW (Event Tracing for Windows) e analisi del call stack completo – meccanismi che possono rilevare anomalie anche quando gli hook user-mode vengono aggirati. L’efficacia reale del ransomware GTG-5004 contro soluzioni EDR enterprise di ultima generazione rimane da documentare: Anthropic non ha fornito dettagli su test in ambiente reale.

I fondamentali restano i fondamentali. Come ha osservato il Google Threat Intelligence Group nel report di febbraio 2026, l’AI amplifica e accelera tecniche esistenti ma non ne crea di inedite. L’81% delle intrusioni documentate nella versione 18 di MITRE ATT&CK si è verificato senza utilizzo di malware, basandosi su credenziali compromesse e strumenti legittimi. Le difese fondamentali – MFA, segmentazione di rete, gestione delle identità, patching – restano efficaci anche contro il no-code malware, perché agiscono sulle condizioni che rendono possibile l’attacco, non sulla sofisticazione dello strumento utilizzato.

Implicazioni per la difesa: cosa deve cambiare

Il caso GTG-5004 non richiede panico. Richiede adattamento mirato su direttrici specifiche.

Runtime security oltre gli hook user-mode. Se le tecniche di syscall invocation come FreshyCalls e RecycledGate aggirano gli hook in ntdll.dll, la risposta non è abbandonare il monitoraggio endpoint – è stratificarlo. Le soluzioni che integrano monitoraggio kernel tramite callback, analisi comportamentale basata su telemetria ETW e rilevazione di anomalie nel call stack offrono una profondità difensiva che le tecniche di evasione user-mode non possono aggirare completamente.

Threat intelligence centrata sul comportamento, non sul tooling. Quando il codice del malware è generato dall’AI e cambia a ogni iterazione, le signature statiche e gli hash perdono valore. L’analisi comportamentale – pattern di cifratura massiva, eliminazione delle shadow copy, comunicazioni C2 su Tor, enumerazione anomala di share di rete – diventa l’indicatore primario di compromissione.

Simulazione di attacchi AI-driven nel red teaming. I programmi di penetration testing devono incorporare scenari in cui l’avversario utilizza AI per sviluppare e adattare strumenti offensivi in tempo reale. Questo significa testare non solo la resilienza contro strumenti noti, ma la capacità di rilevare e rispondere a varianti uniche generate iterativamente.

Monitoraggio dei marketplace RaaS. Le organizzazioni con programmi di threat intelligence maturi dovrebbero integrare il monitoraggio dei forum dark web dove vengono commercializzati i kit RaaS AI-generated. La struttura di pricing a livelli e la distribuzione multi-forum di GTG-5004 suggeriscono un modello replicabile da altri attori.

Lo scenario prossimo: il no-code malware come nuovo standard

La traiettoria è prevedibile. Se un attore britannico senza competenze tecniche ha potuto sviluppare e commercializzare ransomware con evasione EDR avanzata all’inizio del 2025, l’evoluzione delle capacità dei modelli AI nel corso dei prossimi mesi non farà che ampliare il divario tra la sofisticazione degli strumenti offensivi disponibili e le competenze necessarie per crearli.

Il no-code malware non è un’eccezione: è un indicatore anticipato di una normalità emergente in cui la capacità offensiva si disaccoppia definitivamente dalla competenza tecnica. Per i professionisti della sicurezza informatica, la risposta non è demonizzare l’AI – è integrare questa consapevolezza nei propri modelli di rischio, calibrare le difese sulla base delle capacità reali degli attaccanti (non delle loro competenze presunte) e investire in difese che operino a un livello di astrazione superiore rispetto agli strumenti specifici utilizzati.

Il rapporto tra chi attacca e chi difende è sempre stato asimmetrico. L’AI sta ridefinendo i termini di questa asimmetria. Il caso GTG-5004 dimostra che il costo di sviluppo di ransomware sofisticato si è ridotto a zero per l’attaccante. Per i difensori, il costo di un’inadeguata preparazione non è mai stato così alto.

Questo è il terzo articolo della serie “AI offensiva nella cybersecurity”. Il primo articolo ha introdotto il quadro generale delle minacce AI-driven, il framework normativo NIS2/AI Act e le implicazioni per le PMI. Il secondo articolo ha ricostruito in dettaglio l’operazione GTG-2002 e il paradigma del vibe hacking. Il prossimo articolo approfondirà le strategie di difesa basate su AI contro le minacce AI-driven.

Fonti principali

Anthropic, Threat Intelligence Report: August 2025

Google Threat Intelligence Group (GTIG), AI Threat Tracker: Distillation, Experimentation, and Integration of AI for Adversarial Use, febbraio 2026

MITRE, ATT&CK Framework – T1620 Reflective Code Loading

CrowdStrike, 2025 State of Ransomware Survey, ottobre 2025

GuidePoint Security, GRIT Ransomware Report 2025, gennaio 2026

BlackFog, 2025 State of Ransomware Annual Report, febbraio 2026

Recorded Future, New Ransomware Tactics to Watch Out for in 2026

Morphisec, Breaking Down Ransomware Encryption: Key Strategies, Algorithms and Implementation Trends, maggio 2025

ASEC, Analysis of Gunra Ransomware Using Vulnerable Random Number Generation Function, dicembre 2025

Alice Climent-Pommeret, EDR Bypass: Retrieving Syscall ID with Hell’s Gate, Halo’s Gate, FreshyCalls and Syswhispers2

RedOps, Direct Syscalls vs Indirect Syscalls

CovertSwarm, The Evolution of EDR Bypasses: A Historical Timeline, giugno 2025

https://www.ictsecuritymagazine.com/articoli/no-code-malware/

Iran, cyberwar e quinto dominio rappresentano oggi elementi centrali nella competizione strategica contemporanea. Questo contributo si inserisce in una serie di approfondimenti dedicati al tema Cyber Proxies. Capacità Cibernetiche degli Attori Non Statali Filo-Iraniani e analizza come Teheran abbia strutturato il cyberspazio come dominio operativo a pieno titolo. L’articolo esamina architetture istituzionali, dottrina strategica e strumenti di impiego del potere cibernetico, offrendo una chiave di lettura per comprendere il ruolo del cyberspazio nella sicurezza nazionale iraniana e nella proiezione della sua influenza regionale.

La teoria della guerra e l’evoluzione del potere cibernetico

Nella sua opera più famosa, il Vom Kriege, Karl von Clausewitz propone una teoria universale della guerra, definendola come la prosecuzione della politica con altri mezzi[1]. Sebbene, il mezzo politico in questo caso specifico è storicamente rappresentato dal potere militare, invero la coercizione ha assunto nel tempo una serie di declinazioni operative che hanno profondamente ridisegnato il modo in cui intendiamo i conflitti. Tra queste declinazioni, una delle principali espressioni (e componenti) della “politica con altri mezzi” oggi è costituito dal potere cibernetico.

L’esercizio dell’intero ventaglio operativo offerto dal quinto dominio della guerra consente oggi di ottenere importanti vantaggi per la sicurezza delle nazioni, sia in termini difensivi che offensivi. Questo dominio permette di duplicare oggi quasi tutte le operazioni prima assunte dai servizi di sicurezza, potendo usufruire dei vantaggi concreti che distinguono un’operazione dal mondo reale a quello cyber. Questo significa che rende possibili forme di sorveglianza e spionaggio mirato che non prevedono necessariamente l’addestramento e l’inserimento di un asset o di reclutare informatori all’interno un contesto target. Non di meno offre la possibilità di sabotare infrastrutture dell’avversario, riuscendo a creare impatti equiparabili a quelli di un intervento convenzionale.

Uno dei paesi che ha compreso attentamente il valore e l’importanza di questo dominio è l’Iran. In seguito al celebre attacco di Stuxnet che nel 2010 colpì le centrifughe di arricchimento dell’uranio presso gli impianti nucleari di Natanz, l’Iran ha incrementato radicalmente i propri investimenti nella cybersecurity al punto da diventare uno degli attori protagonisti del panorama delle minacce cibernetiche a livello globale. Infatti, dopo Stuxnet e diversi casi documentati di operazioni di spionaggio e sabotaggio informatico subite soprattutto da parte di Israele e Stati Uniti, l’Iran si è fatto promotore e avanguardia di un progetto ad alto livello politico per sviluppare capacità cibernetiche finalizzate al perseguimento di tre principali obiettivi strategici[2]:

• Garantire stabilità interna: attraverso una serie di operazioni di sorveglianza volte tutelare il paese da fenomeni di dissidenza politica e/o potenziali vettori di influenza straniera.
• Proteggere il territorio nazionale: attraverso una serie di attività di spionaggio verso i principali avversari politici (Stati Uniti, Israele e Arabia Saudita) per anticiparne intenzioni e minacce.
• Strategia di politica estera: l’Iran impiega le operazioni informatiche anche come strumento per promuovere e garantire la propria influenza regionale.

Strutture statali e enti di sicurezza del cyberspazio in Iran

Come molti altri Stati, l’Iran dispone di numerose entità che si occupano sia di difesa sia di offesa cibernetica. Alcune dipendono o sono supervisionate direttamente dal governo, altre sono attori di minaccia non ufficialmente legati allo Stato, ma che possono collaborare con organismi pubblici quando necessario. Gli enti governativi, e in particolare quelli legati alla difesa del perimetro di cybersicurezza nazionale rispondono, in ultima istanza, alla guida suprema Ali Khamenei, che presiede il Consiglio supremo del cyberspazio. Questo organismo, fondato nel 2012 per volontà di Khamenei, è incaricato di definire le strategie nazionali in materia di cybersicurezza e di coordinarne le politiche nazionali sotto la supervisione del Presidente della Repubblica.

Inoltre, il Consiglio è incaricato di supervisionare leggi e regolamenti in ambito cyber e, di cooperare con imprese e università per garantire la sicurezza delle istituzioni e dei cittadini dalle minacce interne ed esterne.

Questo consiglio è composto dal Presidente, il Presidente del Parlamento, il Capo del sistema giudiziario dell’Iran, il Capo dell’ IRIB (Servizio di trasmissioni televisive e radiofoniche nazionale), il Ministro ICT, il Ministro della Cultura e della Guida Islamica, il Ministro della Scienza, della Ricerca e della Tecnologia, il Ministro del Ministero dell’Istruzione, il Ministro dell’intelligence, il Ministro della Difesa, il Presidente della Commissione Culturale dell’Assemblea Consultiva Islamica, il Responsabile dell’Organizzazione islamica per lo sviluppo, il Procuratore generale, il Capo dell’Organizzazione Nazionale per la difesa passiva e i Comandanti delle forze dell’ordine e dell’IRGC.

Tutte le attività del Consiglio su infrastrutture pubbliche e private confluiscono nel Centro Nazionale per il Cyberspazio (NCC), che si occupa di fornire una conoscenza completa e aggiornata della postura di cybersicurezza per orientare le decisioni su come affrontare il panorama delle minacce e dello sviluppo di controlli interni per la sicurezza di Internet. L’NCC ha anche il compito di “prepararsi a una guerra culturale” tra l’Iran e i suoi nemici, secondo lo Statuto dell’NCC del 2013 emanato dall’Iran[3].

Un altro organismo di rilievo è costituito dall’Organizzazione Nazionale di Difesa Passiva (NPDO), unità speciale delle Forze Armate Iraniane (Artesh) con il compito di proteggere le infrastrutture critiche nazionali da attacchi informatici, individuare e dissuadere minacce da parte di stati stranieri o di gruppi da essi supportati. Inoltre, l’NPDO coordina anche il Comando di Difesa Cyber (noto anche come Cyber Headquarters dell’esercito iraniano), istituito nel novembre 2010 subito dopo l’attacco Stuxnet. Questo gruppo è la principale struttura di difesa nazionale. Secondo alcuni analisti, il Comando dispone anche di capacità offensive e, conduce operazioni informatiche offensive insieme al Concilio Cyber Basij (che afferisce all’IRGC).

Tuttavia, il vero centro di gravità delle più importanti divisioni cyber e degli attori di minaccia associati al potere cyber di Teheran è collocato sotto la direzione di IRGC e dal MOIS.

Per quanto riguarda l’IRGC, le informazioni disponibili sono molto limitate. Tuttavia, l’organizzazione controlla organismi interni e attori di minaccia sponsorizzati. Tra le istituzioni statali direttamente connesse vi sono[4]:

• L’Organizzazione per Guerra Elettronica e Difesa Cyber dell’IRGC: questa struttura interna alle Guardie della Rivoluzione si occupa di formazione sulla difesa cibernetica, ma anche di negare l’accesso e censurare contenuti e comunicazioni online. Inoltre, riceve supporto tecnico da società iraniane, ad esempio Net Peygard Samavat.
• Concilio Cyber Basij: a tutti gli effetti il braccio informatico della milizia Basij, questo organismo è operativo dal 2009 ed include unità dedicate a formazione, contenuti digitali e social media. Il Concilio Cyber Basij, talvolta definito “commando per la guerra informatica” è composto prevalentemente da “non specialisti” e si occupano di operazioni di disinformazione, defacement di siti e, talvolta, attacchi più complessi tramite attori di minaccia vicini all’IRGC (es Cotton Sandstorm).

A questi si aggiungono tutta una serie di attori di minaccia sponsorizzati dall’IRGC, tra cui APT35, APT42, Nemesis Kitten e Cotton Sandstorm (ex NEPTUNIUM). Questi attori conducono una serie di attività di spionaggio, sabotaggio, destabilizzazione psicologica (information operations) e, solo in misura minore anche attività finanziariamente motivate.

Queste attività sono operate prevalentemente verso obiettivi strategici come: entità governative, militari, nel settore energetico, marittimo, ma anche enti di ricerca (come think tank o ONG) che si occupano di tematiche legate all’Iran o in generale al Medio Oriente. In particolare, secondo diversi ricercatori di sicurezza, il gruppo APT35 è gestito direttamente dall’ IRGC-IO. A sua volta questo, a seconda del fornitore di servizi di cyber threat intelligence, APT35 include, è associato o controlla diversi attori e sottogruppi come Charming Kitten, ITG18, TA453, Cobalt Mirage, Nemesis Kitten e APT42[5].

Il MOIS e le operazioni cibernetiche offensive

Il MOIS, a differenza dei Pasdaran, è considerato un organismo più tecnico (e meno ideologico) e, tra le diverse responsabilità include anche la signal intelligence e la raccolta di informazioni delle comunicazioni elettroniche. Tuttavia, sovrapponendosi talvolta all’IRGC, il MOIS svolge anche operazioni offensive all’estero ed è celebre per l’uso di tecniche di sorveglianza mirata contro oppositori e giornalisti. Spesso per le sue attività si avvale di società o organizzazioni di copertura (es. Rana, Mabna) e del supporto tecnico di università come Isfahan e Teheran [6]. Al MOIS, sono associati MuddyWater, Oilrig (noto anche come APT34), Hexane, Agrius e DarkBit.

Questi attori conducono operazioni prevalentemente operazioni offensive di spionaggio, sabotaggio e influenza, prevalentemente verso il settore governativo, dell’energia, delle telecomunicazioni e marittimo. Questi attori sembrano essere coordinati direttamente dal MOIS in quanto, nel corso delle loro attività, hanno mostrato un elevato livello di coordinamento del ritmo operativo e di sovrapposizioni significative nelle TTP utilizzate (Tecniche, Tattiche e Procedure)[7].

Infine, tra le strutture governative si segnalano anche[8]:

• Polizia Cyber: una unità di polizia informatica creata nel 2011 per il contrasto della criminalità informatica (furto d’identità, furto di dati, cyber-bullismo etc.). Ricopre un ruolo chiave nella sorveglianza della «Rete Nazionale dell’Informazione» e nella repressione del dissenso online.
• Computer Emergency Response Team (MAHER): Team governativo di risposta agli incidenti informatici. Questo Team svolge le attività tipiche di un CSIRT, ovvero monitoraggio 24/7, analisi degli attacchi, cooperazione con enti pubblici e privati, formazione ed esercitazioni.

Tuttavia, la letteratura esaminata suggerisce la presenza di un ampio spettro di organizzazioni che prestano servizi o capacità in supporto alle attività svolte soprattutto da IRGC e MOIS. Tra questi si segnalano:

• Mabna Institute: un’azienda con sede in Iran fondata nel 2013 per assistere università e organizzazioni scientifiche e di ricerca iraniane nel furto di accesso a risorse scientifiche non iraniane. Dalla sua nascita, il Mabna Institute ha impiegato, stipulato contratti e si è affiliato con attori di minaccia e altro personale a contratto per condurre intrusioni informatiche volte al furto di dati accademici, proprietà intellettuale, caselle di posta elettronica e altri dati di università, enti di ricerca e aziende statali (e private) di paesi stranieri[9]. Inoltre, il Mabna Institute supporta le attività di APT34 e APT39.
• Rana Intelligence Computing Company (Rana): società appartenente al MOIS che fornisce supporto al Ministero nella conduzione di intrusioni informatiche e campagne malware contro governi stranieri e aziende private di carattere strategico. Questa entità è suddivisa in divisioni che si occupano prevalentemente di sviluppo malware e altre specializzate nella strutturazione di operazioni di social engineering[10]. Inoltre, secondo alcuni analisti, Rana coinvolge anche personale delle università di Teheran e Sharif[11].
• Nasr Institute: questa organizzazione è tra le meno documentate. Secondo gli analisti di Recorded Future (assieme ad altre società) impiegava un gruppo di task manager di medio livello, allineati ideologicamente, responsabili dell’assegnazione compartimentata di attività come ricerca di vulnerabilità, sviluppo di exploit, attività di ricognizioni e intrusione. A sua volta questa organizzazione poteva appaltare ad altri attori di minaccia alcune di queste attività[12].

In altre parole, esiste un sistema misto di appalti e collaborazioni tra attori di minaccia, organizzazioni statali e parastatali iraniane (che possono stipulare contratti anche con aziende private e istituti) per condurre operazioni offensive di vario genere a livello nazionale e internazionale. Ad esempio, secondo il Dipartimento del Tesoro degli Stati Uniti, Nemesis Kitten sarebbe gestito in collaborazione da due società: Afkar System e Najee Technologies[13].

Queste, a loro volta sarebbero coinvolte in attività di spionaggio strategico ma anche campagne ransomware a scopo di guadagno finanziario[14]. Ancora, la società privata Emennet Pasargad, associata all’attore Cotton Sandstrom e stata osservata svolgere attività di spionaggio e IO per conto della divisione Electronic Warfare and Cyber ​​Defense Organisation dell’IRGC[15]. Ancora la società Ravin Academy è stata fondata nel 2019 da esponenti del MOIS, già dirigenti dei gruppi MuddyWater e Oilrig, con lo scopo di reclutare e addestrare funzionari per le operazioni offensive del MOIS[16].

Operazioni offensive, information operations e impatto strategico

La maggior parte delle operazioni informatiche iraniane è mirata alla raccolta intelligence per motivi strategici, prendendo di mira i principali avversari geopolitici (come Israele, Arabia Saudita e paesi del Golfo) o di sorveglianza interna per assicurarsi il controllo e la sicurezza nel paese. Tuttavia, è noto anche come l’Iran nel tempo si è specializzato anche in operazioni distruttive mirate. Un esempio è stata l’operazione documentata dai ricercatori di Microsoft condotta da MuddyWater e Darkbit contro il Technion Israel Institute of Technology.

Secondo i ricercatori i MuddyWater ha svolto un ruolo da Initial Access Broker per DarkBit che, in seguito ad un’attenta attività di ricognizione ha ottenuto i privilegi necessari ad eseguire nel giro di poche ore la distruzione di server farm, macchine virtuali, account di archiviazione e reti virtuali[17].

Infine, come accennato precedentemente, alcuni di questi attori sono coinvolti in Information Operations, orientate ad ottenere vantaggio strategico e politico verso altri attori statali, ma anche a promuovere e garantire la propria influenza regionale. Secondo i ricercatori di sicurezza, gli attori di minaccia come Agrius, Oilrig e Cotton Sandstorm sono attivamente coinvolti in queste attività, in particolare nei vari scenari di conflitto. Un esempio osservato nel 2020 riguarda un’operazione di Cotton Sandstorm nel 2020, in cui è stato osservato mentre tentava di compromettere l’account Twitter di Donald Trump in periodo elettorale, con lo scopo di influenzare le elezioni[18].

Un dato interessante è costituito dal fatto l’impiego di questi attori di minaccia è considerato essenziale dall’Iran, al punto da contribuire attivamente al loro sviluppo. Infatti, secondo i ricercatori di sicurezza, questi attori aumentano frequentemente nel tempo le loro competenze tecniche e la reattività operativa. Questo è visibile anche dal tempo di sfruttamento di vulnerabilità note. Un esempio è stato APT35 che prima del 2023 impiegava settimane per sviluppare exploit per vulnerabilità, mentre recentemente è stato osservato mentre sfruttava vulnerabilità da uno a cinque giorni dopo la loro divulgazione. A questo si aggiunge una collaborazione attiva di questi attori (soprattutto tra quelli associati alla stessa struttura governativa) che scambiano membri, competenze, TTP e, talvolta anche strumenti[19].

L’analisi ha mostrato come l’Iran abbia sviluppato un ecosistema cibernetico articolato, in cui strutture statali, apparati di sicurezza e attori di minaccia operano in modo coordinato nel quinto dominio della guerra, integrando intelligence, operazioni offensive e influenza informativa. Questo modello consente a Teheran di perseguire obiettivi strategici riducendo i costi politici e militari del confronto diretto. Il percorso di approfondimento proseguirà con un focus dedicato all’impiego di attori non statali come cyber proxies, per comprendere come queste entità amplifichino le capacità operative iraniane nel cyberspazio. Per una visione sistematica del tema, è inoltre possibile scaricare il white paper gratuito “Cyber Proxies. Capacità Cibernetiche degli Attori Non Statali Filo-Iraniani”, realizzato da Ivano Chiumarulo.

Note

[1] Clausewitz K., Della guerra, Mondadori, Milano, 1970, p. 19.

[2] https://blog.sekoia.io/iran-cyber-threat-overview/

[3] https://iramcenter.org/uploads/files/irans-cyber-power_1.pdf

[4] https://iramcenter.org/uploads/files/irans-cyber-power_1.pdf

[5] https://blog.sekoia.io/iran-cyber-threat-overview/

[6] https://iramcenter.org/uploads/files/irans-cyber-power_1.pdf

[7] https://blog.sekoia.io/iran-cyber-threat-overview/

[8] https://iramcenter.org/uploads/files/irans-cyber-power_1.pdf

[9] https://www.justice.gov/archives/opa/pr/nine-iranians-charged-conducting-massive-cyber-theft-campaign-behalf-islamic-revolutionary

[10] https://home.treasury.gov/news/press-releases/sm1127

[11] https://iramcenter.org/uploads/files/irans-cyber-power_1.pdf

[12] https://www.recordedfuture.com/research/iranian-cyber-operations-infrastructure

[13] https://home.treasury.gov/news/press-releases/jy0948

[14] https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-320a

[15] https://blog.sekoia.io/iran-cyber-threat-overview/

[16] https://www.pwc.com/gx/en/issues/cybersecurity/cyber-threat-intelligence/muddy-advanced-persistent-teacher.html

[17] https://www.microsoft.com/en-us/security/blog/2023/04/07/mercury-and-dev-1084-destructive-attack-on-hybrid-environment/

[18] https://www.justice.gov/opa/pr/two-iranian-nationals-charged-cyber-enabled-disinformation-and-threat-campaign-designed

[19] https://blog.sekoia.io/iran-cyber-threat-overview/

https://www.ictsecuritymagazine.com/articoli/iran-cyberwar/

Questo articolo fa parte della serie legata al tema della cybercriminalità nel settore sanitario, un percorso di analisi che intreccia sanità digitale, protezione dei dati e sicurezza informatica. L’attenzione si concentra sul concetto di dati sanitari, considerati il nucleo più sensibile della privacy. Essi, infatti, non solo riflettono la condizione clinica di un individuo, ma ne svelano la dimensione più intima, richiedendo tutele rafforzate sia sul piano normativo che tecnologico.

Così la Dr.ssa Salvadori Angelica, consigliere dell’Ordine dei Medici Chirurghi e Odontoiatri della Provincia di Torino:

“La prima cosa che faccio quando arrivo in studio è accendere il computer. E con questo gesto apro, in qualche modo inconsapevole, una finestra, anzi una porta attraverso la quale, nel corso della giornata, i dati dei miei pazienti potranno essere disseminati in molte direzioni. […] Ad esempio, mi metto in collegamento con il SAR (Sistema di Accoglienza Regionale) della Regione Piemonte e il SAC (Sistema di Accoglienza Centrale) quando compilo in modalità informatica una ricetta dematerializzata contenente prescrizioni farmaceutiche e specialistiche, mi collego con AURA (Archivio Unico Regionale degli Assistiti della Regione Piemonte) se emerge l’esigenza di un aggiornamento dell’anagrafe degli assistiti, mi connetto con l’INPS (Istituto Nazionale della Previdenza Sociale) quando rilascio un certificato di malattia, oppure con l’INAIL (Istituto Nazionale per l’Assicurazione contro gli Infortuni sul Lavoro) se devo certificare un infortunio lavorativo, con il CSI Piemonte (Consorzio per il Sistema Informativo) se devo vedere l’esito di un tampone per Covid 19, se devo richiederne uno, se devo verificare l’inizio o la fine di una quarantena o di un isolamento, se devo vedere se un paziente è vaccinato. E questo vale non solo per me, medico di medicina generale, ma per tutti i medici convenzionati con il SSN, per i medici specialisti ospedalieri e, per alcuni aspetti, anche per i medici liberi professionisti.Se i medici, forse, non sempre sono consapevoli di tutto quello che mettono in moto, viene da chiedersi: e i cittadini? Hanno una percezione corretta di tutte le strade che possono prendere i loro dati sanitari?”.[1]

Nel discorrere del primo capitolo si è potuto constatare come, grazie alle potenzialità offerte dall’innovazione tecnologica, i dati sanitari stiano acquisendo sempre maggior impiego nel mondo contemporaneo: dalla ricerca medica e farmaceutica alla gestione dei servizi sanitari pubblici e privati.[2]

La materia inerente alla protezione dei dati sanitari è stata definita “diritto inquieto”[3], vi è difatti una tensione che caratterizza i dati sanitari stessi: meritevoli da un lato di massima protezione e riservatezza, e dall’altro di una calibrata circolazione per esigenze di sanità pubblica (si pensi alla destinazione ai fini di ricerca). A tale poi già complesso bilanciamento si aggiunge il problema della sicurezza rispetto a possibili attacchi informatici che possono mettere a rischio tanto la privacy degli individui quanto la tutela della salute pubblica.

Occorrerà comunque dapprima inquadrare ontologicamente le categoria dei dati idonei a rivelare lo stato di salute.

Alquanto nota è difatti la formula che consente di qualificare i dati sanitari come “nocciolo (o nucleo) duro” della privacy, locuzione utilizzata da chi rileva come essi si collochino “nel cerchio concentrico più interno” o, se si vuole, all’estremo più elevato della “scala delle durezze”[4] della protezione dei dati personali, risultando invero capaci di far intravedere, quando non di svelare del tutto, la sfera più riservata della persona.[5]

Ed è proprio dalla loro alta sensibilità che si ricava la necessità di una maggior tutela nel trattamento rispetto a quello indirizzato ad altre tipologie di dati, in quanto, se non correttamente svolto, potrebbe ingenerare rischi significativi per il rispetto dei diritti e delle libertà fondamentali dell’individuo, esponendo quest’ultimo a potenziali discriminazioni, stigmatizzazioni e classificazioni.

Il quadro normativo di riferimento è sicuramente esteso, ad ogni modo come fonti principali si possono indicare il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio per come relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, anche meglio noto come GDPR (General Data Protection Regulation), che abroga la direttiva 95/46/CE;[6] a cui si aggiunga il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, conosciuto anche come Codice della privacy), aggiornato ed integrato con le modifiche introdotte dal decreto legislativo del 10 agosto 2018, n. 101, quale recante disposizioni per l’adeguamento della normativa nazionale al regolamento (UE) anzidetto. [7]

Prima di affrontare la spinosa questione della protezione dei dati personali si vogliono fissare alcune preliminari definizioni, guardando innanzitutto alle disposizioni del Regolamento 2016/679/UE.

L’art. 4, par. 1, n. 1 del testo normativo sopradetto infatti chiarisce come per dato personale si debba intendere: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o ad uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Entro l’ampia categoria dei dati personali si rinviene poi il sottoinsieme dei cosiddetti “dati particolari” (ex dati sensibili, nel vecchio codice privacy), definiti dall’art. 9 del GDPR come: “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Si noti come i dati relativi alla salute figurino proprio fra i dati particolari, cioè quei dati la cui conoscenza da parte di altri può recare un grave pregiudizio per l’interessato.

Addentrandosi ancora più nel dettaglio della normativa il Considerando 35 del GDPR puntualizza come fra i dati inerenti alla salute dovrebbero rientrare :

“tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. […] Le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Si comprende allora il motivo per cui i dati sanitari, ipersensibili, espressivi della più autentica essenza della privatezza, siano proprio quella tipologia di dati ad andare a beneficiare di una maggior tutela accordata dall’ordinamento, per come espressa in: misure di garanzia rafforzate, presupposti di liceità del trattamento particolarmente stringenti, stretta indispensabilità a fini informativi, divieto di divulgazione, e si intuirà altresì la ragione per cui siano necessitanti di una protezione rafforzata rispetto a tutti quei rischi di intrusione ed accesso indebito, alterazione e manipolazione connessi a possibili attacchi cibernetici indirizzabili ai sistemi informativi sanitari.[8]

Principi cardine sulla protezione dei dati sanitari

Appurato come in ambito medico, ossia in qualsiasi struttura ospedaliera, RSA, ambulatorio del medico di base o del libero professionista, ad esser trattati sistematicamente siano soprattutto dati “particolari”, si volgerà ivi lo sguardo alle disposizioni che vanno a disciplinarne le specifiche modalità di trattamento.

Preliminarmente tuttavia si passeranno in rassegna i sei principi generali, in tema di trattamento dei dati personali, elencati all’art. 5 del GDPR, quali presupposti fondamentali attorno a cui orbitano tutti i meccanismi di protezione dei dati.

In primis si annoveri il principio definito di liceità, correttezza e trasparenza (lawfulness, fairness and transparency), in nome del quale si richiede che i dati “vengano trattati in modo lecito, corretto e trasparente nei confronti degli interessati”, ciò implica dunque che qualsiasi informazione ad essi inerente sia accessibile e di facile comprensione, grazie all’utilizzo di un linguaggio chiaro e semplice, nonché che gli interessati abbiano contezza dell’identità dei titolari del trattamento (ossia dei soggetti che per l’appunto trattano i dati personali) e delle finalità del trattamento stesso.

Calando tale principio nel panorama sanitario si può richiamare quanto previsto dall’Accordo Stato-Regioni sulla telemedicina del 17 dicembre 2020, il quale prevede specifici oneri informativi nei confronti dei pazienti soggetti a servizi di telemedicina fra cui: una completa descrizione della gestione dei dati, dei diritti dell’assistito, delle modalità di contatto, nonché un elenco aggiornato dei responsabili del trattamento.[9]

Il secondo principio invece è relativo alla limitazione delle finalità (purpose limitation) dei dati, si rilevi come questi siano “raccolti per finalità determinate, esplicite e legittime”, per cui non sarà consentito trattarli successivamente in modo non compatibile con le finalità previamente delineate. Si tenga comunque presente che eventuali ulteriori trattamenti per finalità di pubblico interesse, di ricerca scientifica, storica o a fini statistici non sono considerati incompatibili con le finalità iniziali e risultano pertanto consentiti.

Il terzo principio è la c.d. minimizzazione dei dati (data minimisation), in ragione del quale questi ultimi dovranno essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.

L’accuratezza poi (accuracy) è il quarto principio ed implica la necessità di garantire che i dati personali siano adeguatamente accurati ed aggiornati, ove necessario, adottando tutte le misure ragionevoli necessarie per cancellarli o rettificarli tempestivamente qualora inesatti rispetto alle finalità per cui vengono trattati.

Il quinto principio suole indicare la c.d. limitazione della conservazione (storage limitation), per cui i dati saranno “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati”. Una eventuale conservazione per periodi di tempo più lunghi sarà consentita unicamente per finalità di interesse pubblico, di ricerca scientifica, storica o a fini statistici. Le politiche di data retention, previste specificatamente dal nostro ordinamento, disciplinano infatti numerosi e differenziati tempi di conservazione per quanto concerne la documentazione sanitaria: sarà pertanto compito dell’operatore sanitario (pubblico o privato) dover identificare la natura della documentazione e conseguentemente la normativa di riferimento applicabile.

Per esemplificare, l’iconografia radiologica conta ad oggi un periodo di archiviazione di dieci anni, viceversa le cartelle cliniche, gli esami di laboratorio, i referti vedono un obbligo di conservazione illimitato nel tempo, in quanto rappresentanti atto ufficiale, indispensabile a garantire la certezza del diritto, nonché quale preziosa fonte documentaria per le ricerche di carattere storico sanitario.[10]

Il sesto ed ultimo principio riguarda infine l’integrità e la riservatezza dei dati (integrity and confidentiality), ciò implicherà che vengano adottate tutte le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, inclusa la protezione contro “trattamenti non autorizzati o illeciti, la perdita, la distruzione o il danno accidentale”.

A titolo esemplificativo, si richiami l’elencazione all’art 32 par.1 del GDPR relativamente alle misure che possono essere adottate ed implementate al fine di garantire la sicurezza dei digital data, fra cui:

1. La pseudonimizzazione dei dati personali, ovvero una metodologia che si pone l’obiettivo di “allontanare” il dato dalla persona, rendendone così complessa la stessa riferibilità (senza tuttavia romperne il legame, a cui mirano invece le tecniche di anonimizzazione);[11]
2. La cifratura dei dati, volta a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi tramite una apposita chiave di lettura idonea a decriptarne l’informazione;
3. La capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità ed altresì la resilienza dei sistemi e dei servizi di trattamento;
4. La capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
5. L’auditing, espressione volta ad indicare una procedura atta a testare, verificare, e valutare regolarmente l’efficacia delle misure tecniche e organizzative concretamente adottate.[12]

Si badi bene, il legislatore non entra nel dettaglio, anzi quello fornito risulta pressoché un elenco generale, poiché è fondamentale che la security stessa venga garantita da soluzioni ritagliate nel modo più personale possibile rispetto alle specificità del soggetto da proteggere. Non pare essere dunque “codardia legislativa”, ma diretta conseguenza dell’assunto secondo cui se il titolare del trattamento deve essere accountable allora dovrà parimenti essere libero di ritagliarsi il “vestito” di sicurezza che ritiene necessario per la propria struttura.

Il principio di accountability

Il medesimo art. 5 del GDPR, al secondo paragrafo, enuncia il principio di responsabilizzazione (o accountability), in assenza del quale i sei principi cardine previamente elencati non potrebbero esser attuati: sarà infatti precipua responsabilità del titolare del trattamento[13] predisporre e mettere in atto specifiche soluzioni tecniche e organizzative che rendano il trattamento lecito, corretto, trasparente, adeguato, limitato nel tempo, pertinente ed effettuato per finalità legittime; così come sarà sua stessa responsabilità risponderne e “render conto” dell’efficacia delle misure concretamente impiegate e dei risultati così ottenuti.

Pertanto la figura apicale di una data struttura (si pensi ad un Direttore sanitario), tenuto conto della natura del dato, del suo ambito di applicazione (nell’erogazione di servizi di cura, in un progetto di ricerca etc.), del contesto (limitatamente alla propria struttura, od in condivisione con altre), delle finalità del trattamento, dei rischi per i diritti e le libertà delle persone fisiche, dovrà adottare misure tecniche ed organizzative adeguate, ossia parametrate al livello di rischio rilevato. Le anzidette misure poi, ex art. 24 GDPR, dovranno essere “riesaminate ed aggiornate qualora necessario”, introducendo così il principio fondamentale della ciclicità della sicurezza, quale perimetro altamente dinamico da dover revisionare periodicamente nel tempo, al fine di ottenerne un sempre maggiore perfezionamento. [14]

Non vi è dubbio sul fatto che venga in tal modo a delinearsi un sistema di adeguamento al GDPR fortemente accentrato sulla figura del titolare del trattamento: data la riconosciuta difficoltà di esercizio dei diritti dell’interessato[15], essendo egli spesso propenso a rilasciare i propri dati con leggerezza o con carenza di consapevolezza, viene spostato il baricentro della responsabilità sul titolare del trattamento e sulla necessità che le operazioni di trattamento stesse siano “GDPR compliant”.[16]

Ed è proprio così che il concetto di accountability si collega con quelli di prevenzione e proattività, inglobando il saper agire d’anticipo, pianificando, mediante policy e tecnologie efficaci, quanto necessario per evitare i rischi di compromissione dei dati. Fare ciò significa, ex art. 25 GDPR, operare una valutazione del rischio e del suo contenimento attraverso tecniche di protezione “fin dall’avvio del trattamento” (c.d. privacy by default) e “per impostazione predefinita” (c.d. privacy by design): tali espressioni puntualizzano come la privacy degli interessati dovrà essere tutelata fin dall’inizio, cioè dalle fasi di ideazione e progettazione del servizio, e che non potranno esser trattati dati personali ulteriori rispetto a quelli minimi indispensabili per la specifica finalità del trattamento.[17]

Tali ragionamenti, per ciò che ivi più interessa, possono certo essere calati in ambito sanitario: i software, i dispositivi e le procedure utilizzati nella sanità digitale dovranno essere rispettosi della normativa in tema di protezione dei dati. Pertanto una corrispondenza di telemedicina fra medico e paziente con l’uso di sistemi non sicuri, come i social o la posta elettronica, costituisce di per sé una procedura a rischio, violante le regole sulla protezione dei dati, ed in quanto tale sanzionabile dall’Autorità Garante per la protezione dei dati.

Allora i sanitari, e le strutture che offrono servizi di telemedicina, hanno il precipuo dovere di gestire i rischi derivanti dal trattamento dei dati personali dei pazienti, optando per quelle soluzioni operative che offrano le migliori garanzie di proporzionalità, efficacia, sicurezza, e rispetto dei diritti della persona.[18]

Si voglia, già in questa sede, anticipare l’assoluto rilievo dell’innestare una cultura della (cyber)sicurezza mediante una adeguata formazione del personale medico, ed è così invero che recita l’articolo 32 comma 4 del GDPR: “Il titolare del trattamento ed il responsabile del trattamento fanno sì che chiunque agisca sotto la loro autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal titolare medesimo.”

Si pensi ad una struttura sanitaria complessa (da un poliambulatorio ad un grande ospedale), in questa stessa gli operatori a trattare dati sanitari sono indubbiamente molteplici, ad ogni modo comunque tutti dovranno essere a conoscenza circa le procedure da seguire ed i conseguenti probabili rischi insiti nel trattamento di dati sensibili, in particolar modo alla luce delle sempre più frequenti compromissioni degli archivi e sistemi digitali sanitari.

Il Data Protection Officer

Anche la designazione di un Responsabile della protezione dati (da qui in avanti indicato come DPO, acronimo inglese per Data Protection Officer) rientra nell’approccio responsabilizzante delineato dal GDPR, in linea col principio di accountability.

Tale figura professionale, designata dal titolare o dal responsabile[19] del trattamento, si presenta quale un consulente esperto, dotato di un’approfondita conoscenza della normativa e delle prassi in tema di gestione dei dati personali, nonché dello specifico settore di riferimento in cui si trova ad operare.

La nomina del DPO si presenta come obbligatoria, ex art. 37 del GDPR, ogniqualvolta il trattamento sia effettuato da una autorità pubblica o da un organismo pubblico, nonché quando le attività principali del titolare o del responsabile del trattamento consistano nel trattare, su larga scala, categorie particolari di dati personali (quali per l’appunto sono i dati inerenti alla salute).

Questo non significa che ogni medico sia obbligato a designare un DPO: il singolo professionista o il medico di base non trattano dati “su vasta scala”, diversamente il problema si pone per gli studi in cui operano più medici e così anche per una Azienda sanitaria, un ospedale privato, una residenza sanitaria assistenziale, tutti si doteranno di tale figura dotata di competenze giuridiche, informatiche, nonché di risk management, la cui responsabilità sarà quella di osservare, valutare ed organizzare la gestione del trattamento dei dati personali (e dunque la loro protezione), affinché questi ultimi siano trattati nel rispetto delle normative privacy europee e nazionali.

L’art. 39 del GDPR opera poi una dettagliata elencazione delle principali funzioni del DPO, fra cui:

1. Informare e fornire una consulenza al titolare o al responsabile del trattamento in merito agli obblighi derivanti del Regolamento europeo;
2. Sorvegliare l’attuazione del Regolamento europeo, come anche vigilare sull’applicazione delle politiche del titolare del trattamento in materia di protezione dei dati personali, comprese l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti;
3. Fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne il concreto svolgimento. Essendo la valutazione d’impatto un processo volto a valutare la necessità e proporzionalità di un determinato trattamento e a gestirne gli eventuali rischi, il titolare del trattamento si consulterà preventivamente col DPO su tematiche quali: condurre o meno la valutazione stessa, quale specifica metodologia sia da adottare, quali salvaguardie e misure di sicurezza siano da applicare al fine di attenuare i rischi per i diritti delle persone interessate;
4. Fungere da punto di contatto per il Garante per la protezione dei dati personali e controllare che sia dato seguito alle richieste del Garante stesso.

Ancora, al secondo paragrafo l’art. 39 del GDPR con una formula prettamente di chiusura: “Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”, in sostanza con tale disposizione di portata generale si chiede al DPO di delineare un ordine di priorità nell’attività svolta e di concentrarsi sulle questioni che presentino maggiori rischi in termini di protezione dei dati.[20]

Il registro delle attività di trattamento

Rientrante a sua volta nel concetto di accountability risulta essere anche il cosiddetto Registro delle attività di trattamento, novità introdotta dall’art. 30 del GDPR.

Quest’ultimo altro non è che lo strumento attraverso il quale il titolare e il responsabile del trattamento documentano in forma scritta, anche elettronica, le principali informazioni relative alle attività di trattamento e alle misure di garanzia adottate, in base alle finalità perseguite ed ai profili di rischio rilevati, al fine di poter poi dimostrare all’Autorità di controllo (il Garante per la protezione dei dati) di aver adempiuto correttamente alla propria funzione di protezione dei dati personali.

Per quanto concerne propriamente l’ambito sanitario la regolare tenuta del Registro delle attività di trattamento risulta quale obbligo per tutti gli operatori sanitari (singoli professionisti sanitari, medici di medicina generale, ospedali privati, case di cura, farmacie, parafarmacie, Aziende Sanitarie appartenenti al S.S.N. etc.).

Per analizzarne nel dettaglio il contenuto minimo si guardi alla elencazione fornita all’art. 30 del Regolamento, in base al quale il Registro conterrà:

1. Il nome e i dati di contatto del titolare del trattamento;
2. Le finalità del trattamento (come “trattamento dei dati del paziente per l’erogazione della specifica prestazione sanitaria”);
3. Una descrizione delle categorie di interessati (ad esempio “pazienti”) e circa le categorie di dati personali (quali dati anagrafici, dati biometrici etc.);
4. Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (si pensi ad un laboratorio analisi);
5. Ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
6. Ove possibile, una descrizione generale circa le misure di sicurezza tecniche ed organizzative adottate (quali security policy, sistemi di intrusion detection etc.).

Potrà ad ogni modo esser riportata nel registro qualsiasi informazione che il titolare od il responsabile ritengano utile dover indicare (come le valutazioni di impatto effettuate o le modalità di raccolta del consenso seguite).

Standard internazionali per la sicurezza dei dati: ISO 27001

Come si è potuto osservare poc’anzi la normativa europea pone in capo ai titolari e responsabili del trattamento dei dati numerosi adempimenti, fra i quali assume notevole rilievo l’adozione di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”.

Così infatti dispone l’art. 32 del GDPR cercando di guidare la scelta di tale misure in base al principio di adeguatezza, nonché “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti ed anche le libertà delle persone fisiche”.

Essendo tali ultime formule pressoché generali, l’esigenza attuale risulta quella di fornire ai titolari e ai responsabili del trattamento degli strumenti concreti per individuare e scegliere idonee misure di sicurezza ed essere in grado di dimostrane la pratica adozione.[21]

Nel classificare invero le misure di sicurezza adottabili il GDPR opera un riferimento a due categorie di misure: quelle tecniche e quelle organizzative, diversamente dalla letteratura del settore[22] che invece distingue in: misure volte a garantire la sicurezza organizzativa (quali procedure di gestione di data breaches), quelle relative alla sicurezza logica e tecnologica (quali sistemi di autenticazione, antimalware, firewall, monitoraggi, scansioni delle vulnerabilità), e quelle relative alla sicurezza fisica (si pensi alla sicurezza degli edifici e degli archivi, al controllo degli accessi ed alla sicurezza ambientale). L’obiettivo di tutte le anzidette misure sarà comunque quello di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi informativi.

Con l’obiettivo di agevolare la specifica scelta delle misure di sicurezza concretamente adottabili da parte del titolare e del responsabile del trattamento soccorrono sul piano internazionale le c.d. normative ISO, ossia norme tecniche sviluppate dalla International Organization for Standardization riportanti linee guida che un determinato soggetto dovrà andare a rispettare per l’ottenimento di una certificazione valida sul piano internazionale, attestante la conformità del soggetto stesso (persona fisica, ente pubblico o privato) a specifici parametri di valutazione.

Fra la molteplici norme ISO, si può qui porre in evidenza la ISO 27001 quale standard internazionale per la sicurezza delle informazioni, creata al fine di definire i requisiti atti a stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni. [23]

Nei suoi contenuti presenta infatti un insieme di best practices, utili per sviluppare ed accrescere la capacità delle organizzazioni di gestire i rischi legati alla protezione dei dati, la ISO 27001 è invero molto specifica nel raccogliere, nel suo cosiddetto annex A, un vero e proprio catalogo di misure da adottare per contrastare nonché mitigare i rischi di perdita, modifica, divulgazione non autorizzata od accesso ai dati personali trattati.

Non sarebbe del tutto errato pensare quindi alla normativa GDPR e alla ISO 27001 alla stregua di un sistema integrato in ambito di sicurezza dei dati, d’altronde è lo stesso Considerando 100 del GDPR ad incoraggiare “l’istituzione di meccanismi di certificazione” che possano consentire di valutare il livello di protezione dei dati prodotti e dei servizi.

Ed ancora, è l’art. 24, comma 3 del GDPR a specificare come l’adesione ai codici di condotta ed alle certificazioni approvate, proprio come la ISO 27001, possa essere considerata come un elemento dimostrativo circa la conformità ed il rispetto degli obblighi del titolare del trattamento, in ossequio allo stesso principio di accountability.

Purtuttavia pare ovvio sottolineare come la garanzia di una certificazione non reciderà mai del tutto il rischio di verificazione di eventi dannosi relativi alla sicurezza dei dati, come peraltro si constaterà a seguire in ambito sanitario, ma al massimo andrà ad attenuarne le possibilità ed eventualità di accadimento e, conseguentemente, le relative responsabilità per tutti coloro che trattano i dati e le informazioni.

Condizioni di liceità del trattamento in ambito sanitario

Rimane tuttora da chiarire cosa si debba intendere con la precisa locuzione “trattamento dei dati”, di qui la definizione fornita dall’art. 4 del GDPR: “Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati ed applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, ed altresì la cancellazione o la distruzione”.

Si può evidenziare peraltro come una operazione di trattamento si articoli in differenti fasi: una preliminare (raccolta e registrazione), una di elaborazione (selezione, impiego), una di circolazione (o diffusione), ed infine una residuale (conservazione, cancellazione).

Si vuole sottolineare come l’art. 9 del GDPR ponga un divieto generale al trattamento di intere categorie particolari di dati, fra cui figurano proprio i dati relativi alla salute: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Tuttavia tale divieto non è certo assoluto, in quanto in presenza di tutta una serie di condizioni di liceità, espressamente elencate dallo stesso testo normativo, tale preclusione non opera.

Per ciò che ivi interessa, il trattamento dei dati sanitari sarà considerato lecito laddove avvenga: per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale (cosiddetta “finalità di cura”); per motivi di interesse pubblico nel settore della sanità pubblica (si pensi alla gestione di emergenze sanitarie nazionali, od alla protezione da gravi minacce per la salute a carattere transfrontaliero); ed ancora a fini di archiviazione nel pubblico interesse, di ricerca scientifica, storica o a fini statistici.

Vale la pena soffermarsi su come di fatto il GDPR superi così la precedente cornice normativa “consensocentrica” (propria del d.lgs. 196/2003, Codice privacy): diversamente dal passato infatti, non dovrà più esser richiesto il consenso del paziente per il trattamento di dati in ambito sanitario, purché si tratti di dati specificatamente necessari alle “finalità di cura” previste dal Regolamento Ue (prevenzione, diagnosi etc.) e che le relative attività siano effettuate da un professionista sanitario soggetto al segreto professionale.

Così, per esemplificare, persegue una finalità di cura l’infermiere che effettua una valutazione dei parametri vitali di un paziente al momento dell’accesso in pronto soccorso, come anche il cardiologo che raccoglie l’anamnesi necessaria alla corretta refertazione di un elettrocardiogramma; lo specialista che annota i dati biometrici del paziente in vista di un intervento chirurgico, come pure, in senso ampio, un direttore sanitario di una struttura pubblica che procede alla archiviazione di dati per studi statistici finalizzati tutela della salute collettiva.[24]

Ovvio è, ma vale la pena specificarlo, che non si deve qui confondere il consenso prestato al trattamento dei dati sanitari, col consenso ai trattamenti sanitari stessi: è quest’ultimo infatti a costituire il presupposto di legittimità dell’operato medico, andando ad “assorbire” il primo consenso, che non risulta più pertanto necessario.

D’altronde un professionista sanitario dovrà necessariamente venire a conoscenza di tutta una serie di dati identificativi e clinici (anamnesi, farmaci assunti etc.) per l’esecuzione di un trattamento sanitario, ed egli stesso, d’altra parte, nel trattare il paziente andrà a generare tutta un’altra serie di dati (referti, lastre etc.), dal momento poi che la semplice raccolta e consultazione di dati ne costituisce per definizione un trattamento, per un medico risulterà inevitabile, nello svolgimento delle sue funzioni, trattare costantemente i dati personali dei pazienti.

Si segnali ancora come ai trattamenti “per finalità di cura” siano comunque equiparati anche i trattamenti operati tramite applicazioni mediche, quando la finalità perseguita è quella di fornire cura al paziente, tramite un servizio di telemedicina, telesorveglianza o telemonitoraggio.

È evidente inoltre come tale dispensa dall’ottenimento del consenso non opererà laddove i trattamenti dei dati dei pazienti avvengano per finalità diverse da quelle strettamente di cura (si pensi a fini promozionali, commerciali o di fidelizzazione della clientela).

Residuano ad ogni modo alcuni casi in cui i dati sanitari possono essere trattati esclusivamente con il consenso della persona interessata quali: come si diceva nel primo capitolo, la possibilità di accesso al FSE (fascicolo sanitario elettronico), l’adesione a servizi di refertazione online, oppure l’utilizzo di apps mediche, quando il trattare i dati del paziente afferisce, solo in senso lato, alla cura di quest’ultimo, ma non è ad essa strettamente necessario (si pensi ad una applicazione che fornisce indicazioni su come migliorare la qualità del sonno), in tal caso il titolare del trattamento dovrà trattare i dati previa acquisizione del consenso dell’utente interessato.

Si può concludere evidenziando come l’approvazione del GDPR abbia indubbiamente contribuito a richiamare l’attenzione degli operatori sanitari sui temi della privacy e della protezione dei dati, in quanto strettamente connessi ai profili della sicurezza delle cure e di dignità del paziente. Come evidenziato infatti dal Garante, nella sua relazione annuale al Parlamento dell’anno 2018,[25] eventuali carenze in ambito di sicurezza dei dati personali possono avere effetti oltremodo deleteri negli stessi processi di erogazione dei trattamenti medici, rappresentando causa di disfunzioni, rallentamenti ed errori sanitari, fonti di potenziale responsabilità della struttura sanitaria, obbligata così a risarcirne i danni conseguenti.

L’obbiettivo di questi due preliminari capitoli voleva essere il presentare la digitalizzazione della sanità quale occasione senza precedenti di sviluppo ed innovazione, da dover senza dubbio promuovere per una sempre maggiore efficienza ed universalità delle cure, e per una migliore programmazione della spesa sanitaria. Tuttavia suddetta digital health dovrà realizzarsi all’interno di un progetto di politiche pubbliche organico e lungimirante di governance sanitaria, che promuova una condivisione selettiva dei dati sanitari, con le dovute cautele, al fine di minimizzarne i rischi cibernetici e le conseguenti possibili lesioni alla sfera personale della riservatezza e della dignità dei pazienti.[26]

La sanità digitale, pur rappresentando un’occasione di sviluppo e innovazione, espone inevitabilmente a rischi di compromissione dei sistemi informativi e alla minaccia crescente della cybercriminalità. Proprio a questo tema sarà dedicato il prossimo articolo della serie, che introdurrà la rivoluzione digitale e l’innovazione criminale, approfondendo le nuove forme di criminalità tecnologica.

Per approfondire, invitiamo a leggere il white paper gratuito di Maria Vittoria Zucca dal titolo “La cybercriminalità nel settore sanitario: anamnesi, diagnosi e prognosi di una ‘patologia’ informatica”.

Fonti:

[1] A. Salvadori, “Deontologia e tutela dei dati sanitari”, in Torino Medica. La rivista dell’ordine dei medici chirurghi e odontoiatri della provincia di Torino, anno XXXIII, numero 3-4, 2021, pp. 9-10.

[2] ANITEC-ASSINFORM (Associazione italiana per l’Information and Communication Technology), Una data strategy per la Sanità italiana, a cura del gruppo di lavoro Digital Transformation in Sanità di Anitec-Assinform, Maggio 2022, p. 20.

[3] Intervento di A. Soro, ex-presidente dell’Autorità Garante per la protezione dei dati personali, “Tracciamento contagi coronavirus, ecco i criteri da seguire”, in Agenda Digitale, 29 Marzo 2020.

[4] L’immagine della scala delle durezze, diffusamente ripresa nella dottrina che si è occupata di privacy, si deve a Stefano Rodotà. Cfr. S. Rodotà, “Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali”, in Rivista critica del diritto privato, anno XV, 1997, pp. 583-609.

[5] F. Di Ciommo, “Il trattamento dei dati sanitari tra interessi individuali e collettivi”, in R. Pardolesi (a cura di), La privacy sanitaria, vol. II, Giuffrè editore, Milano, 2003, vol. II, p. 239.

[6] Regolamento (Ue) 2016/679 del Parlamento e del Consiglio, relativo alla “protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”, del 27 Aprile 2016, che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), per il testo normativo nella sua completezza si rimanda al sito internet: eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:32016R0679.

[7] Decreto legislativo 30 Giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali”, integrato con le modifiche introdotte dal decreto legislativo 10 Agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (Ue ) 2017/679 del Parlamento e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

[8] Intervento di P. Stanzione, Presidente dell’Autorità garante per la protezione dei dati personali, “Sicurezza del dato sanitario e condivisione”, in Panorama, 18 Febbraio 2022.

[9] Il documento Indicazioni nazionali per l’erogazione di prestazioni di telemedicina è stato approvato dalla Cabina di regia del NSIS nella seduta del 28 ottobre 2020 ed è stato adottato con Accordo in Conferenza Stato Regioni del 17 dicembre 2020 (Repertorio atti n.215/CSR).

[10] NETPATROL, op. cit. supra a nota 17, p. 8.

[11] G. D’Acquisto, M. Naldi, Big Data e Privacy by Design. Anonimizzazione, Pseudonimizzazione e Sicurezza, Giappichelli Editore, Torino, 2017.

[12] A. Antonilli, op. cit. supra a nota 3, p. 92.

[13] Per “titolare del trattamento” si rimandi all’art 4 del GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali […]”.

[14] P. Perri (intervento), durante il Webinar “Conoscere e prevenire gli attacchi cyber in sanità”, tenutosi in data 30 giugno 2021.

[15] Per “interessato” si intenda la persona fisica alla quale si riferisce il dato personale.

[16] D. Poletti, “Comprendere il Reg. UE 2016/679: Un’introduzione”, in A. Mantelero, D. Poletti (a cura di), Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa University Press, 2018, pp. 9-19.

[17] A. Cortesi, “L’art. 25 del GDPR: dalla privacy by default al principio di minimizzazione o necessità nel trattamento dei dati personali”, in Interlex: rivista di diritto, tecnologia, informazione, 2017.

[18] NETPATROL, op. cit. supra a nota 17, p. 9.

[19] Per “responsabile del trattamento” si rimanda all’art. 4 del GDPR: “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.”

[20] “Linee guida sui responsabili della protezione dei dati”, WP243 rev. 01, adottate dal Gruppo di lavoro articolo 29 in materia di protezione dei dati personali, versione emendata ed adottata il 5 aprile 2017.

[21] R. Riccio, “Le misure di sicurezza tra GDPR e ISO 27001: due normative a confronto e i possibili scenari prospettabili”, in Cyberlaws: free legal database and blog, 9 Gennaio 2019.

[22] G. Butti, A. Piamonte, GDPR: nuova privacy. La conformità su misura, Iter editore, Milano, 2017.

[23] ISO/IESC 27001: 2013, “Information technology – Security techniques – Information Security – Managements systems – Requirements”.

[24] G. Chiarini, “Privacy: come cambia il dato normativo”, in E-Health: innovazione e tecnologia in ospedale, vol. 72, 2019, pp. 66-69.

[25] La Relazione del Garante per la protezione dei dati sanitari al Parlamento del 2018 è reperibile qui.

[26] P. Stanzione, intervento cit. supra, a nota 32.

https://www.ictsecuritymagazine.com/articoli/dati-sanitari/