Il tuo fornitore potrebbe essere il motivo per il quale la tua produzione si fermerà. Se non sei certo di chi ha le chiavi di accesso alla tua infrastruttura digitale, non possiedi davvero il controllo della tua azienda.
Cos'è il Ransomware Supply Chain (Report ENISA)
Secondo l’ENISA Threat Landscape 2024-2025, il ransomware è la minaccia dominante nel settore manifatturiero, rappresentando il 59,3% degli attacchi di natura criminale. Ma cosa si intende esattamente con questo termine?
Il ransomware è un software malevolo che infetta PC, smartphone, server e sistemi OT (Operational Technology), crittografando file o bloccando l’accesso al sistema operativo per estorcere un riscatto in criptovaluta. Se dieci anni fa l’obiettivo erano i singoli utenti, oggi i gruppi criminali organizzati prendono di mira intere supply chain industriali.
La “Supply Chain digitale” non è più un concetto astratto riservato ai manuali di informatica aziendale: è il principale vettore d’ingresso utilizzato per paralizzare interi sistemi produttivi. È già accaduto in Italia con i servizi di biglietteria del trasporto pubblico e con numerose PMI del settore metalmeccanico e logistico che hanno subito blocchi operativi di giorni o settimane.
La caratteristica più insidiosa di questo tipo di attacco è che il punto d’ingresso non è la tua azienda, ma qualcuno di cui ti fidi: un fornitore di software gestionale, un partner logistico, un consulente esterno con accesso remoto ai tuoi sistemi.
Un anello debole che diventa la porta d’ingresso verso decine di aziende clienti.
Perché i criminali colpiscono la catena di fornitura
I gruppi criminali hanno abbandonato da tempo l’approccio “spray and pray” (attacchi indiscriminati a chiunque) per adottare una logica da investitori: massimo ritorno con il minimo sforzo.
Colpire un fornitore di servizi digitali condiviso è strategicamente più efficace e redditizio che attaccare direttamente una singola azienda ben protetta. Il ragionamento è semplice: se un provider di software ERP serve 80 aziende manifatturiere, comprometterlo equivale a guadagnare accesso potenziale a tutte e 80 simultaneamente.
Questo approccio ha un secondo vantaggio per gli attaccanti: diluisce la responsabilità percepita. L’azienda colpita fatica ad accettare di essere stata violata tramite un fornitore di cui si fidava, rallentando la risposta e aumentando il danno.
I criminali sfruttano anche la disomogeneità della sicurezza lungo la filiera. Un grande gruppo industriale potrebbe avere standard di cybersicurezza elevati, ma se si affida a un piccolo studio tecnico per la manutenzione dei macchinari CNC, uno studio che usa password condivise e nessuna autenticazione a due fattori, quel piccolo studio diventa il punto d’attacco perfetto.
Come funziona l'attacco "silenzioso"
L’attacco non bussa alla porta principale, il tuo firewall, il tuo sistema antivirus, il tuo reparto IT. Entra lateralmente, sfruttando canali considerati “fidati” dall’infrastruttura aziendale.
I vettori più comuni sono:
API di terze parti mal configurate. Molte piattaforme B2B espongono API per l’integrazione tra sistemi. Se queste API non hanno controlli di autenticazione robusti o non vengono aggiornate regolarmente, diventano porte aperte per gli attaccanti.
Accessi remoti concessi a consulenti esterni. È prassi comune concedere accesso VPN o RDP (Remote Desktop Protocol) a fornitori di manutenzione. Il problema è che questi accessi spesso rimangono attivi anche dopo la fine del contratto, o vengono condivisi tra più tecnici senza registrazione degli accessi.
Piattaforme e-commerce B2B e software di gestione magazzino integrati. I sistemi WMS (Warehouse Management System) e i portali ordini integrati con i fornitori sono punti di contatto privilegiati. Se il sistema del fornitore è compromesso, la connessione “di fiducia” permette il movimento laterale verso i tuoi ambienti.
Aggiornamenti software compromessi (SolarWinds-style attacks). Come dimostrato dall’attacco a SolarWinds nel 2020, i criminali possono infiltrarsi nel processo di distribuzione degli aggiornamenti software, trasformando un normale update in un vettore d’infezione distribuito automaticamente a tutti i clienti.
La fase silenziosa è la più pericolosa: i criminali trascorrono mediamente +200 giorni all’interno di una rete prima di attivare il ransomware, mappando i sistemi, identificando i backup, e posizionandosi per massimizzare il danno nel momento dell’attivazione.
Ransomware vs Difese Tradizionali: la nuova minaccia
Le difese tradizionali sono progettate per difendere un perimetro: firewall, antivirus, sistemi IDS/IPS, segmentazione di rete. Questo approccio funzionava quando l’azienda era un’isola digitale con pochi punti di accesso controllati.
Oggi quella logica è superata. L’attacco alla supply chain sfrutta la fiducia pregressa per aggirare ogni controllo perimetrale. Se il sistema del tuo fornitore è già compromesso quando si connette alla tua rete, il traffico appare legittimo agli occhi di qualsiasi strumento di sicurezza tradizionale.
Il concetto che sta rimpiazzando il modello perimetrale si chiama Zero Trust Architecture: nessun utente, nessun sistema, nessun dispositivo viene considerato fidato per default, nemmeno se si trova già all’interno della rete aziendale. Ogni accesso richiede autenticazione, autorizzazione e verifica continua.
Ma c’è un secondo elemento critico spesso trascurato: i criminali odierni non si limitano a cifrare i dati. Adottano una strategia di doppia estorsione, cifrano i file ed esfiltrano i dati sensibili prima, minacciando di pubblicarli se il riscatto non viene pagato. Questo significa che pagare il riscatto non garantisce né il recupero dei dati né la riservatezza delle informazioni sottratte.
Qual è il target dei gruppi Akira, Qilin e FOG
Questi non sono hacker solitari che operano da garage. Akira, Qilin e FOG sono organizzazioni criminali strutturate, con modelli operativi simili a quelli di aziende Software-as-a-Service. Offrono il loro ransomware ad affiliati esterni (modello RaaS, Ransomware-as-a-Service) in cambio di una percentuale sul riscatto.
Il loro target non è casuale. Prediligono il settore industriale e manifatturiero per una ragione precisa: il “fermo macchina” ha un costo orario insostenibile. Quando una linea di produzione si ferma, ogni ora di inattività si traduce direttamente in perdita di fatturato, penali contrattuali, e danni reputazionali con i clienti.
Questa pressione economica aumenta drasticamente la probabilità che l’azienda paghi il riscatto (spesso nell’ordine delle centinaia di migliaia o milioni di euro) pur di tornare operativa nel minor tempo possibile.
Secondo i dati disponibili, Akira ha colpito prevalentemente aziende con fatturato tra 10 e 100 milioni di euro nel settore manifatturiero e dei servizi professionali. Qilin si è distinto per attacchi a infrastrutture sanitarie e logistica. FOG, più recente, ha concentrato gli attacchi su sistemi di istruzione e industria in Europa.
Un dettaglio spesso sottovalutato: queste organizzazioni effettuano ricognizioni approfondite prima dell’attacco, studiando i bilanci pubblici, i contratti di fornitura e la struttura IT della vittima per calibrare la richiesta di riscatto in modo da essere percepita come “sostenibile ma dolorosa”.
Cosa cambia per le aziende: la Direttiva NIS2
La Direttiva NIS2 (Network and Information Security 2), recepita in Italia con il D.Lgs. 138/2024, ha cambiato radicalmente il quadro normativo. Non si tratta di linee guida opzionali: è obbligo di legge con sanzioni significative.
Chi è coinvolto? La direttiva si applica alle aziende di medie e grandi dimensioni che operano in settori critici (produzione industriale, trasporti, energia, servizi digitali, sanità) con fatturato superiore a 10 milioni di euro o più di 50 dipendenti. Ma attenzione: anche le aziende più piccole che operano come fornitori di soggetti NIS2 possono essere soggette a requisiti contrattuali equivalenti.
Gli obblighi principali includono:
- Gestione del rischio della supply chain: le aziende devono valutare e documentare i rischi di sicurezza legati ai propri fornitori, non solo alla propria infrastruttura interna.
- Notifica degli incidenti: gli attacchi significativi devono essere notificati all’ACN (Agenzia per la Cybersicurezza Nazionale) entro 24 ore dalla scoperta, con un report dettagliato entro 72 ore.
- Responsabilità del management: il board aziendale è direttamente responsabile della conformità. L’ignoranza tecnologica non è più una scusante legale.
- Misure di continuità operativa: le organizzazioni devono disporre di piani di backup, disaster recovery e business continuity testati e documentati.
Le sanzioni per la non conformità arrivano fino al 2% del fatturato globale annuo o 10 milioni di euro (il maggiore dei due importi), con possibilità di sospensione temporanea dall’esercizio per le organizzazioni essenziali.
I rischi per la tua produzione e il margine operativo
L’impatto di un attacco ransomware alla supply chain non è solo informatico. Ogni componente del sistema produttivo ne risente in modo concatenato.
Paralisi del magazzino e della logistica. I sistemi WMS criptati significano impossibilità di tracciare le giacenze, processare ordini in entrata e uscita, o coordinare le spedizioni. Anche se la linea di produzione fosse fisicamente operativa, senza visibilità sul magazzino non puoi né ricevere materie prime né consegnare prodotti finiti.
Impossibilità di processare pagamenti. I sistemi ERP e di fatturazione elettronica bloccati significano che non puoi né emettere fatture né ricevere pagamenti. Questo crea un problema di liquidità immediato che si aggiunge al blocco operativo.
Crollo del margine operativo lordo. Ogni giorno di inattività forzata erode il EBITDA. Se aggiungi i costi di ripristino dei sistemi (spesso tra 200.000 e 2 milioni di euro per una PMI media), le penali contrattuali per mancata consegna, e il potenziale costo del riscatto, il quadro economico diventa rapidamente critico.
Danno reputazionale e perdita di clienti. I clienti che subiscono ritardi nelle consegne a causa di un tuo blocco operativo non aspettano: diversificano i fornitori. Il danno reputazionale si protrae mesi o anni dopo il ripristino tecnico.
Dati di settore stimano che il costo medio totale di un attacco ransomware (inclusi downtime, ripristino, penali e perdita clienti) supera i 4,5 milioni di euro per le aziende manifatturiere di medie dimensioni. Meno del 30% delle aziende colpite riesce a recuperare tutti i dati anche dopo aver pagato il riscatto.
Come proteggersi concretamente: le misure prioritarie
Non esiste una soluzione unica che elimini il rischio, ma esiste un approccio strutturato che lo riduce drasticamente. Queste sono le misure con il miglior rapporto costo/efficacia:
1. Inventario e classificazione degli accessi di terze parti. Il primo passo è sapere esattamente chi ha accesso a cosa. Molte aziende scoprono, durante un audit, decine di accessi attivi di consulenti o fornitori che non collaborano più da anni. Ogni accesso non necessario è una porta aperta.
2. Autenticazione multi-fattore (MFA) su tutti gli accessi remoti. L’MFA riduce del 99% il rischio di compromissione degli account tramite credenziali rubate o phishing. È una misura a basso costo e ad alto impatto che non può essere ignorata.
3. Segmentazione della rete. I sistemi IT (informatica gestionale) devono essere separati dai sistemi OT (automazione industriale). Se il ransomware compromette il gestionale, non deve poter raggiungere i PLC e i sistemi SCADA della produzione.
4. Backup offline e test di ripristino. I backup connessi alla rete vengono cifrati insieme al resto dei dati. I backup offline (air-gapped) sono l’unica garanzia reale di recupero senza pagare il riscatto. Ma attenzione: un backup che non viene testato periodicamente non è un backup, è una speranza.
5. Vendor Risk Assessment. Prima di concedere accesso ai propri sistemi, ogni fornitore dovrebbe essere valutato sulla base di un questionario di sicurezza minimo. Almeno per i fornitori critici, è opportuno richiedere certificazioni come ISO 27001 o evidence di pen-test recenti.
6. Piano di Incident Response documentato e testato. Sapere cosa fare nelle prime 24-48 ore di un attacco riduce drasticamente il danno. Chi chiama? Chi decide se pagare? Come si isola il sistema compromesso? Queste decisioni non vanno prese sotto pressione, ma pianificate con calma.
La sicurezza non è un test, è continuità operativa
Considerare la cybersecurity come un “test periodico” o un costo accessorio da posticipare è un errore che le aziende pagano a caro prezzo. Il paradosso della sicurezza informatica è che funziona in modo invisibile quando è efficace (non si vedono gli attacchi sventati) e diventa devastantemente visibile quando fallisce.
In un ecosistema produttivo interconnesso, la sicurezza della tua rete dipende dal livello di protezione dell’anello più debole della tua catena di fornitori. Puoi investire centinaia di migliaia di euro in tecnologia di sicurezza e vedere tutto vanificato dall’accesso remoto non protetto di uno studio tecnico con cinque dipendenti che gestisce la manutenzione dei tuoi macchinari.
Questo non significa che devi controllare ogni fornitore come se fosse un dipendente interno. Significa che devi adottare un approccio basato sul rischio proporzionato: maggiore è l’accesso concesso e la criticità dei sistemi coinvolti, maggiori devono essere le garanzie richieste.
La sicurezza non è un progetto con una data di fine. È un processo continuo di monitoraggio, aggiornamento e miglioramento, esattamente come la qualità produttiva o la conformità normativa.
Concludendo direi che
Non devi ignorare gli accessi dei tuoi consulenti. L’ordine di servizio è chiaro: revoca gli accessi non necessari, proteggi le reti e verifica se la tua azienda è a norma NIS2. La tua continuità operativa dipende da quanto seriamente decidi di “chiudere le porte” oggi.
L’adozione di tecnologie d’avanguardia è un investimento inutile se non poggia su una solida architettura di sicurezza interna. Trascurare i processi oggi non è un risparmio: è un debito tecnico che pagherai con interessi altissimi quando sarai costretto a intervenire in emergenza, con la produzione ferma, i clienti che chiedono spiegazioni e un gruppo criminale che aspetta la tua decisione sull’altra estremità di una chat cifrata.
La domanda non è se la tua azienda verrà attaccata. La domanda è se, quando accadrà, sarai protetto e in grado di rispondere in ore invece che in settimane.
Desideri richiedere maggiori informazioni?
Continua la lettura
Negli ultimi anni il lavoro con file digitali è diventato parte della quotidianità. Che si tratti di gestire immagini per un sito web, preparare documenti per una presentazione o condividere
Il tuo fornitore potrebbe essere il motivo per il quale la tua produzione si fermerà. Se non sei certo di chi ha le chiavi di accesso alla tua infrastruttura digitale,
Il contesto normativo reale: DPP, GDPR e la qualità dei dati Prima di parlare di automazione e AI, è necessario capire in quale quadro normativo si muove oggi un e-commerce
Negli ultimi anni Shopify ha compiuto un’evoluzione strategica che ha cambiato profondamente il panorama dell’e-commerce internazionale. Da piattaforma SaaS pensata per piccoli merchant, si è trasformata in un’infrastruttura tecnologica globale
Per oltre vent’anni la SEO (Search Engine Optimization) è stata la leva principale per ottenere visibilità online. Posizionarsi su Google significava intercettare traffico qualificato, generare lead e aumentare le vendite.
Oggi siamo entusiasti di condividere uno dei nostri ultimi successi, una storia che dimostra come una strategia ben pianificata e l’uso efficace di Google Ads possano fare la differenza per
