Attacchi informatici alle aziende italiane: casi reali e lezioni apprese per rafforzare la resilienza operativa

Nel corso dell’ultimo anno, le aziende italiane hanno affrontato una crescente ondata di attacchi cyber, sempre più mirati e sofisticati, capaci di colpire tanto le infrastrutture IT quanto le tecnologie operative (OT).

Il Rapporto OAD 2024 pubblicato da AIPSI, in collaborazione con la Polizia Postale, fotografa con chiarezza questa realtà: il 72,4% delle imprese intervistate dichiara di aver subito almeno un incidente informatico significativo, tra cui malware, ransomware e attacchi alla Supply Chain, con impatti diretti sulla sicurezza dei dati, sulla reputazione e sulla capacità di erogare servizi o produrre valore.

In questo articolo esploreremo alcuni casi emblematici di attacchi cibernetici alle infrastrutture OT e IT, analizzando le lezioni apprese e come queste esperienze possano contribuire a rafforzare la resilienza operativa delle aziende italiane.

Settembre 2024 – Cyberattacco alla Smeg

Quello che all’inizio poteva sembrare un guasto tecnico si è rivelato ben presto un attacco informatico mirato a paralizzare i processi aziendali più critici. A fine settembre 2024, Smeg – icona del design e della produzione di elettrodomestici – ha visto interrompersi improvvisamente le attività a causa di un’anomalia nei propri sistemi informatici. Sebbene l’azienda non abbia fornito dettagli ufficiali sulla natura dell’attacco (che potrebbe essere stato un ransomware, un malware o un attacco DDoS), è emerso chiaramente che il bersaglio era il gestionale SAP, cuore digitale delle operazioni aziendali. Un’azione che ha colpito direttamente la capacità produttiva e logistica, con effetti a cascata sull’intero ecosistema aziendale.

• Vulnerabilità sfruttate: I dettagli tecnici non sono stati divulgati, ma tra le ipotesi più accreditate vi è lo sfruttamento di vulnerabilità nei servizi esposti in rete o l’utilizzo di tecniche di social engineering, come il phishing, per ottenere accessi indebiti. Il fatto che l’attacco abbia preso di mira un sistema critico come SAP – responsabile della gestione di produzione, magazzino, approvvigionamento e finanza – indica con chiarezza l’importanza di proteggere non solo le postazioni utente ma anche i sistemi core, spesso meno difesi e non segmentati adeguatamente.
• Conseguenze: La risposta non si è fatta attendere: Smeg ha immediatamente attivato i protocolli di emergenza, coinvolgendo team interni e specialisti esterni per gestire la crisi e ripristinare la piena operatività. Tuttavia, l’interruzione dei sistemi ha costretto l’azienda a fermare la produzione e sospendere temporaneamente le attività logistiche, con il personale rimandato a casa per motivi di sicurezza. Il danno più immediato è stato operativo, ma non meno importante è stato l’impatto sulla fiducia di clienti e partner, che si sono trovati di fronte a una realtà improvvisamente vulnerabile. In particolare, è stato messo in discussione il livello di affidabilità infrastrutturale, elemento cardine nella catena del valore industriale.
• Lezioni apprese: Il caso Smeg sottolinea come anche le imprese manifatturiere più strutturate non siano immuni da minacce informatiche sofisticate. Le lezioni da trarre sono molteplici. In primis, la necessità di dotarsi di policy di segmentazione di rete, sistemi di monitoraggio proattivo delle anomalie e protezioni specifiche per ambienti critici come SCADA ed ERP. In secondo luogo, l’episodio evidenzia l’importanza di disporre di un piano di business continuity e disaster recovery ben testato, capace di ridurre drasticamente i tempi di inattività. Infine, la gestione della comunicazione e la tempestiva attivazione di esperti di cybersecurity sono stati elementi chiave per affrontare l’emergenza e contenere il danno reputazionale. Oggi più che mai, la resilienza digitale è una condizione essenziale per la continuità industriale.

Dicembre 2024 – Attacco alla Supply Chain di InfoCert

Nel cuore delle festività natalizie, InfoCert, uno dei principali fornitori italiani di servizi di identità digitale (SPID), è finita al centro di un caso di data breach che ha fatto rapidamente il giro del Paese. L’attacco ha colpito indirettamente, passando per un sistema di assistenza clienti e non per i canali ufficiali dei servizi SPID. Tuttavia, le proporzioni della violazione sono state allarmanti: oltre 5,5 milioni di record contenenti dati personali – nomi, cognomi, email, numeri di telefono, codici fiscali – sono stati trafugati e poi messi in vendita nel dark web. Non si è trattato di un attacco devastante ai server centrali, ma di una penetrazione silenziosa e chirurgica, tipica dei gruppi cybercriminali che operano con finalità di lucro.

• Vulnerabilità sfruttate: A favorire l’attacco sarebbe stata una vulnerabilità presente in un’applicazione web collegata al sistema di gestione ticket dell’assistenza clienti. Secondo le prime ricostruzioni, la falla – probabilmente una SQL injection – ha permesso agli aggressori di accedere al database sfruttando input malevoli, senza necessità di autenticazione avanzata. Una debolezza “classica” del mondo web, che tuttavia si è rivelata fatale in un contesto in cui erano conservate informazioni così sensibili. Non si tratta quindi di un attacco sofisticato dal punto di vista tecnico, ma piuttosto della conseguenza di una carenza nei processi di aggiornamento, segmentazione e controllo degli ambienti applicativi.
• Conseguenze: Sebbene l’identità digitale degli utenti non sia risultata compromessa – le credenziali SPID e i dati sensibili di accesso non sono stati coinvolti – l’effetto è stato comunque dirompente. I dati trafugati sono stati resi disponibili in rete clandestina a pochi giorni dalla violazione, alimentando rischi significativi per gli utenti: phishing mirati, truffe telefoniche, furti di identità digitale. L’evento ha immediatamente attirato l’attenzione del Garante per la protezione dei dati personali, che ha aperto un’istruttoria, mentre l’azienda ha attivato i canali ufficiali per la notifica del data breach, come richiesto dal GDPR. Ma l’onda lunga dell’incidente ha investito anche la reputazione di InfoCert, chiamata a dimostrare la solidità del proprio modello di sicurezza proprio nel momento in cui il sistema SPID è sotto i riflettori come pilastro della trasformazione digitale del Paese.
• Lezioni apprese: Il caso InfoCert rivela con forza quanto siano pericolose le falle di sicurezza nei sistemi “periferici”. Spesso le aziende concentrano gli investimenti sui sistemi core, trascurando applicazioni collaterali, come quelle per il supporto clienti, che invece rappresentano un punto di accesso molto appetibile. È quindi fondamentale adottare una visione integrata della sicurezza, che includa:
  • vulnerability management costante,
  • test periodici sulle applicazioni web,
  • principi di segmentazione dei dati, per isolare gli ambienti critici.

Anche in questo caso, la trasparenza nella gestione dell’incidente e l’attivazione tempestiva dei protocolli previsti dalla normativa si sono rivelati cruciali per contenere l’impatto reputazionale. Ma la vera lezione è più ampia: la fiducia digitale si costruisce anche nei dettagli, e ogni anello debole – anche il più piccolo – può diventare la porta d’ingresso per una crisi.

Febbraio 2025 – Ransomware contro Alf DaFrè

Nel mese di febbraio 2025, Alf DaFrè, azienda veneta attiva nel settore dell’arredamento di design, è stata vittima di un grave attacco informatico. Un ransomware ha colpito la rete aziendale, cifrando dati e sistemi cruciali per la gestione della produzione, della logistica e delle attività amministrative. In poche ore, l’intera infrastruttura IT è risultata compromessa, costringendo l’azienda a sospendere le operazioni. I cybercriminali hanno avanzato una richiesta di riscatto per decriptare i dati, secondo uno schema ormai tristemente noto nel panorama delle minacce digitali. L’attacco ha determinato un fermo totale dell’attività produttiva e gravi ripercussioni sull’organizzazione interna.

• Vulnerabilità sfruttate: Anche in questo caso, la porta d’ingresso dell’attacco non è stata identificata pubblicamente, ma lo scenario più probabile è quello di una compromissione via phishing, attraverso l’apertura di un allegato malevolo o l’inserimento inconsapevole di credenziali da parte di un dipendente. Una volta penetrati nel sistema, i cybercriminali hanno potuto muoversi lateralmente all’interno della rete aziendale, sfruttando l’assenza di segmentazione e di protezioni endpoint avanzate, per installare il ransomware e avviare la cifratura coordinata dei sistemi.
• Conseguenze: L’impatto è stato immediato e tangibile. La produzione si è arrestata del tutto e circa 350 dipendenti sono stati impossibilitati a lavorare, tanto da richiedere il ricorso alla cassa integrazione. L’azienda ha spento i server per arginare la diffusione del malware e ha rifiutato di pagare il riscatto, affidandosi invece alle autorità e a specialisti per tentare il recupero. L’operatività è ripartita solo gradualmente nei giorni successivi, ma i danni economici – tra mancata produzione, ritardi nelle consegne, gestione dell’emergenza e reputazione – si sono rivelati significativi. Anche se non risultano dati trafugati, l’impossibilità di accedere alle informazioni ha comunque avuto un impatto paralizzante.
• Lezioni apprese: Il caso Alf DaFrè è l’esempio concreto di quanto un attacco informatico possa diventare un problema occupazionale e industriale, oltre che tecnologico. L’assenza di strumenti di difesa attiva, come soluzioni EDR o sistemi di monitoraggio continuo, ha probabilmente favorito l’azione indisturbata del malware. Ma la lezione più forte riguarda la preparazione: avere backup isolati, piani di continuità operativa e una strategia di risposta agli incidenti ben definita può ridurre drasticamente i tempi di ripresa. Inoltre, la decisione di non cedere al ricatto – pur difficile – dimostra integrità e lungimiranza. Oggi è essenziale investire in formazione, simulazioni e infrastrutture resilienti, perché un clic sbagliato può tradursi in giorni di stop, salari a rischio e danni a lungo termine.

Marzo 2025 – Data Breach di ePrice.it

Nel marzo 2025, ePrice, tra i principali portali italiani di e-commerce, è finita nel mirino della criminalità informatica. L’attacco, non particolarmente eclatante dal punto di vista tecnico, ha avuto invece effetti enormi sul piano della privacy e della fiducia: un’enorme quantità di dati personali – appartenenti a circa 6,8 milioni di clienti – è stata sottratta dai sistemi dell’azienda e poi messa in vendita nel dark web. Tra le informazioni rubate figurano nomi, indirizzi email, recapiti telefonici, indirizzi di spedizione e dettagli sugli acquisti effettuati dal 2008 in poi. Non un ransomware né un blocco dei sistemi, ma un classico data breach a scopo di lucro, che ha colpito l’asset più delicato del commercio online: la relazione fiduciaria con l’utente.

• Vulnerabilità sfruttate: Le modalità con cui è avvenuta l’intrusione non sono state chiarite ufficialmente, ma gli esperti parlano di una probabile falla in una vecchia istanza di database o di una vulnerabilità web-based rimasta esposta. Il fatto che siano stati sottratti anche dati molto datati suggerisce che l’attaccante abbia avuto accesso a archivi legacy o backup mal protetti. È plausibile che il punto di ingresso sia stato un sistema dimenticato, non aggiornato o non sufficientemente isolato, dimostrando quanto la gestione del ciclo di vita dei dati e delle infrastrutture sia oggi una questione centrale per la sicurezza.
• Conseguenze: Anche se le informazioni trafugate non comprendevano dati bancari o credenziali d’accesso, l’impatto è stato rilevante. Gli utenti coinvolti sono potenzialmente esposti a phishing personalizzati, truffe digitali e furti d’identità. La notizia della violazione ha avuto ampia risonanza, anche perché i dati rubati sono stati offerti pubblicamente su un noto forum del dark web, con tanto di campione a riprova dell’autenticità. ePrice ha dovuto notificare il data breach agli utenti e alle autorità, intensificare le misure di sicurezza e attivare una gestione della crisi in tempi strettissimi. Ma i danni reputazionali rischiano di protrarsi ben oltre la risoluzione tecnica dell’incidente.
• Lezioni apprese: Il caso ePrice mostra con chiarezza che la sicurezza del dato deve diventare una priorità assoluta nel commercio online. Conservare informazioni per lunghi periodi, senza criteri di minimizzazione o protezione evoluta, espone a rischi enormi. Le aziende che trattano milioni di utenti devono adottare politiche severe di data retention, impiegare tecniche di cifratura, controllo degli accessi, monitoraggio delle anomalie, e soprattutto mantenere aggiornati e isolati i sistemi legacy. Allo stesso tempo, l’episodio sottolinea l’importanza della sorveglianza attiva del dark web e della capacità di risposta rapida. In un mondo dove la fiducia del cliente si può perdere in un attimo, prevenzione, trasparenza e velocità di reazione fanno la differenza tra un incidente gestito e una crisi di fiducia irreversibile.

Le dinamiche degli attacchi informatici più recenti evidenziano l’urgenza di un cambio di paradigma nella gestione del rischio cyber. Non si tratta più solo di rafforzare i confini digitali, ma di ripensare in modo integrato l’intera postura di sicurezza aziendale.

Da questi episodi emergono alcune evidenze fondamentali:

• La superficie di attacco si è estesa: oggi le minacce non colpiscono solo il perimetro IT, ma si insinuano nelle supply chain, nei dispositivi OT, nei canali di comunicazione tra partner e persino nei dati in transito tra sistemi cloud.
• La resilienza non è più opzionale: serve un approccio sistemico che combini tecnologie, processi e competenze. La sola reattività non basta: occorre prevenire, anticipare, segmentare, isolare.
• Ogni incidente è un acceleratore di consapevolezza: le aziende colpite, nella maggior parte dei casi, hanno rafforzato le loro misure, ma con un costo elevato. Imparare dai casi altrui è oggi una delle forme più intelligenti di investimento in sicurezza.

Il dato più rilevante emerso dalle analisi di AIPSI è che nessuna organizzazione può più considerarsi “troppo piccola” o “non interessante” per essere bersaglio di un attacco. È la superficie esposta, non la dimensione dell’azienda, a determinare il livello di rischio.

In questo scenario, la sicurezza non può più essere demandata all’improvvisazione o alla singola tecnologia: deve diventare un asset strategico guidato da competenze, alleanze e visione di lungo periodo.