Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurezza

Supply chain sotto attacco: come difendere la filiera IT

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La protezione della supply chain è ormai centrale nella cybersecurity: gli attacchi colpiscono fornitori meno protetti per infiltrarsi nelle aziende clienti. Normative e nuove strategie impongono una gestione condivisa e consapevole del rischio lungo tutta la filiera

Pubblicato il 29 set 2025
Ginevra Detti

analista Hermes Bay

Luisa Franchina

Presidente Associazione Italiana esperti in Infrastrutture Critiche

Direttiva CER Cybersecurity Advanced Firewalls, Secure Logins, and Digital Protections Confidential Information. (1) formazione cybersecurity Supply Chain Cybersecurity Cybersecurity PMI

Negli ultimi anni, la cybersecurity ha ampliato il proprio raggio d’azione, spostandosi ben oltre il perimetro delle singole organizzazioni per includere un elemento spesso sottovalutato ma fondamentale: la catena di fornitura.

Il nuovo paradigma degli attacchi alla filiera digitale

Sempre più spesso, infatti, gli attacchi informatici non colpiscono direttamente il bersaglio finale, ma si concentrano su un anello debole della filiera: un fornitore terzo, un partner esterno, un’azienda subappaltatrice o un fornitore di software.

NIS2: obblighi e best practice per proteggere la catena di fornitura

Una volta compromesso il soggetto terzo, che è spesso meno protetto o meno consapevole dei rischi informatici, l’attaccante può sfruttarne i legami per penetrare nei sistemi delle aziende clienti, scalando facilmente verso obiettivi di maggiore valore. Questo fenomeno ha trasformato la supply chain in un nuovo campo di battaglia digitale, rendendo la sua protezione una priorità strategica per le imprese di ogni settore.

La logica asimmetrica degli attacchi supply chain

Il principio alla base di questi attacchi è tanto semplice quanto efficace: colpire chi ha difese più deboli per accedere a chi ne ha di più robuste. È una logica asimmetrica che sposta il paradigma della sicurezza informatica da un approccio centrato sull’organizzazione a uno distribuito lungo tutta la rete di interconnessioni digitali e operative. Il fornitore di servizi IT, il consulente esterno, la piattaforma di gestione documentale, il sistema ERP di terze parti: ciascuno rappresenta un potenziale vettore di attacco. E il danno non si limita alla compromissione tecnica, ma coinvolge anche la reputazione, la fiducia degli stakeholder, la conformità normativa e, in alcuni casi, la continuità operativa.

Il caso SolarWinds: anatomia di un attacco devastante

Gli esempi concreti abbondano. Tra i più noti vi è il caso SolarWinds, scoperto a fine 2020, che ha dimostrato quanto devastanti possano essere le conseguenze di un attacco alla supply chain digitale. In quel caso, gli attaccanti, con ogni probabilità legati a un’operazione di spionaggio statale, avevano compromesso il processo di aggiornamento del software Orion, distribuito da SolarWinds a migliaia di clienti in tutto il mondo, inclusi enti governativi e grandi aziende. L’infezione del software ha agito come un cavallo di Troia, consentendo agli attori malevoli di infiltrarsi nei sistemi di decine di organizzazioni sensibili senza dover violare direttamente le loro difese.

Kaseya e l’effetto moltiplicatore del ransomware

Un altro caso emblematico è quello di Kaseya, azienda statunitense che fornisce strumenti di gestione IT a clienti MSP (Managed Service Provider) in tutto il mondo. Nel 2021, un attacco ransomware sfruttò una vulnerabilità zero-day nella piattaforma Kaseya VSA per infettare centinaia di aziende in catena, cifrando i dati e chiedendo riscatti milionari. L’attacco, attribuito al gruppo REvil, mostrò con chiarezza come la compromissione di un singolo fornitore IT potesse moltiplicare esponenzialmente l’impatto dell’azione criminale, trasformando un bersaglio intermedio in un’arma contro decine di clienti finali.

Nuove minacce: dall’open source ai servizi cloud

Oltre al ransomware e agli attacchi supply chain “classici” legati al software, si stanno diffondendo anche minacce più subdole come l’iniezione di codice malevolo nei pacchetti open source. Si tratta di tecniche che mirano a contaminare la base stessa dello sviluppo software moderno, sfruttando la fiducia riposta nei repository pubblici per veicolare malware. Episodi come quello che ha coinvolto il pacchetto “event-stream” di Node.js nel 2018, o le recenti campagne che hanno preso di mira la piattaforma PyPI di Python, sono il segno di una tendenza crescente in cui l’attore malevolo non compromette un sistema, ma il codice che ci gira sopra.

Un ulteriore elemento di rischio è rappresentato dai fornitori di servizi cloud, sempre più centrali nelle architetture IT. La recente compromissione di Microsoft da parte del gruppo Midnight Blizzard, presumibilmente collegato alla Russia, ha mostrato come anche i big della tecnologia possano rappresentare un punto critico della supply chain. In quel caso, l’attacco è stato rilevato il 12 gennaio 2024 e ha permesso agli aggressori di leggere posta di esfiltrare la corrispondenza fra Microsoft e vari enti federali USA, senza però violare gli ambienti dei clienti: gli attaccanti hanno utilizzato tecniche di password spray per accedere alla posta elettronica di alti dirigenti e clienti sensibili, mostrando quanto siano porose anche le infrastrutture apparentemente più solide.

Verso un nuovo approccio: sicurezza condivisa e governance

Alla luce di questo scenario, la protezione della supply chain non può più essere delegata o affrontata in modo reattivo. Serve un cambio di paradigma, in cui le aziende valutano e gestiscono il rischio non solo al proprio interno, ma lungo tutta la filiera. La sicurezza deve diventare una responsabilità condivisa, un elemento da integrare nei contratti, nei processi di onboarding dei fornitori, nei cicli di sviluppo software e nella governance aziendale.

Le strategie di difesa: mappatura e controlli

La prima linea di difesa è la mappatura completa della propria catena di fornitura: troppe aziende ancora non sanno esattamente da chi dipendano le loro operazioni digitali, né quali siano le interconnessioni attive con fornitori terzi o quarte parti. Un inventario preciso e aggiornato di tutti i fornitori, dei servizi offerti e dei livelli di accesso ai sistemi interni è il punto di partenza per ogni strategia di mitigazione del rischio. Successivamente, occorre implementare un processo rigoroso di due diligence. Questo significa valutare i fornitori non solo in termini di qualità del servizio o costo, ma anche sotto il profilo della loro postura di sicurezza.

Un altro passo cruciale è la segmentazione dei privilegi. Spesso, i fornitori ottengono accessi molto ampi ai sistemi aziendali, ben oltre quanto necessario. Limitare questi accessi seguendo il principio del minimo privilegio e monitorarne costantemente l’uso può ridurre drasticamente il potenziale impatto di un’eventuale compromissione. In parallelo, è utile prevedere controlli periodici di sicurezza, audit tecnici e simulazioni di incidenti per testare la resilienza del sistema.

Trasparenza e normative: il ruolo delle nuove regole europee

Infine, la trasparenza gioca un ruolo chiave. Le aziende devono esigere visibilità sugli standard di sicurezza dei propri fornitori e, allo stesso tempo, condividere informazioni sugli incidenti in modo tempestivo e coordinato. Questo è uno degli obiettivi principali delle nuove normative europee come NIS2, DORA e il Cyber Resilience Act, che impongono obblighi sempre più stringenti di gestione e rendicontazione del rischio informatico lungo tutta la supply chain.

Best practice dal settore finanziario

Un esempio positivo viene dal settore finanziario, dove le autorità europee stanno già implementando requisiti specifici per il monitoraggio del rischio ICT dei fornitori critici. Le banche, ad esempio, sono oggi tenute a classificare i fornitori in base alla loro criticità, a effettuare valutazioni periodiche di rischio e, in alcuni casi, a notificare alle autorità le relazioni con fornitori terzi strategici. Questo approccio può essere esteso anche ad altri settori critici, come l’energia, i trasporti o la sanità.

Cultura della sicurezza e formazione del personale

Importante è anche sensibilizzare al rischio il personale interno perché molto spesso la fiducia nei confronti di fornitori consolidati porta a sottovalutare comportamenti rischiosi, come l’apertura di allegati sospetti provenienti da partner abituali o l’installazione di software non verificato.

La formazione continua, l’adozione di strumenti di threat intelligence e l’integrazione tra team IT e legali sono fondamentali per costruire una cultura della sicurezza distribuita.

Una sfida strategica per il futuro digitale

In definitiva, la sicurezza della supply chain non è una questione tecnica, ma riguarda aspetti strategici di fiducia, resilienza, capacità di anticipare e rispondere agli eventi. In un mondo sempre più interconnesso, dove nessuna organizzazione è un’isola, la vulnerabilità di un singolo fornitore può diventare un rischio per l’intero ecosistema. Affrontare questa sfida richiede investimenti, competenze e una visione condivisa del rischio ed è l’unico modo per trasformare la catena di fornitura da punto debole a pilastro della sicurezza digitale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Ginevra Detti
analista Hermes Bay
F
Luisa Franchina
Presidente Associazione Italiana esperti in Infrastrutture Critiche
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • virus intelligenza artificiale

  • l'analisi

    Dalla tecnologia al diritto: il modello europeo per la governance dell'IA

    19 Dic 2024

    di Fabrizio Davide

    Condividi
  • hate speech online

  • odio online

    Hate speech: perché i social proteggono gli odiatori da tastiera

    16 Lug 2025

    di Niccolò Lasorsa Borgomaneri e Marco Signorelli

    Condividi
  • CIA e AI; Ai cybersecurity

  • la guida

    AI per la cybersecurity, ecco come proteggersi dalle minacce informatiche

    16 Mag 2025

    di Federica Maria Rita Livelli

    Condividi