Due recenti attacchi informatici, uno negli Stati Uniti e l’altro in Italia, evidenziano la crescente vulnerabilità delle infrastrutture digitali, anche quelle delicatissime che gestiscono dati economici delle collettività, sottolineando l’urgenza di rafforzare le misure di sicurezza cibernetica per proteggere dati sensibili e garantire la fiducia degli utenti. Soprattutto in una fase storica in cui attori rivali dell’Occidente, come Russia o Cina, tendono a utilizzare ogni forma di attività – ibrida e non – per destabilizzare le democrazie.

L’attacco al Dipartimento del Tesoro statunitense

Il dipartimento del Tesoro degli Stati Uniti è stato vittima di un grave attacco informatico attribuito a un attore statale sponsorizzato dalla Cina. L’incidente, definito “di grande entità”, ha visto i cybercriminali accedere a workstation e documenti non classificati utilizzando una chiave rubata di un fornitore di servizi software terzo, BeyondTrust. L’attacco, avvenuto il 2 dicembre, è stato scoperto il 5 dicembre e reso pubblico dall’azienda l’8 dicembre.

Secondo quanto riportato in una lettera del dipartimento del Tesoro, gli attaccanti hanno sfruttato una vulnerabilità del prodotto di supporto remoto di BeyondTrust per superare i meccanismi di sicurezza e accedere ai dati. La situazione ha richiesto il coinvolgimento immediato di diverse agenzie, tra cui la CISA, l’FBI e agenzie di intelligence. Il Dipartimento del Tesoro ha confermato che, sebbene non ci siano prove di accessi ancora attivi, l’intrusione è stata classificata come “grave incidente di sicurezza informatica”.

Il ruolo della Cina in questo attacco è stato oggetto di dichiarazioni ufficiali e di smentite. Secondo il Tesoro statunitense, l’operazione è stata attribuita a un gruppo avanzato di minaccia persistente (APT) sponsorizzato dal governo cinese, un’accusa prontamente respinta da Pechino. Il portavoce del Ministero degli Esteri cinese ha definito le accuse “prive di fondamento”, ribadendo la contrarietà della Cina a ogni forma di cyberattacco e accusando gli Stati Uniti di diffondere informazioni false a scopo politico.

L’attacco al fornitore esterno di Infocert

In questi stessi giorni, in Italia, un attacco informatico ha colpito un fornitore esterno di Infocert, uno dei principali provider di identità digitale (SPID) e servizi di certificazione digitale. L’incidente, avvenuto il 27 dicembre, ha compromesso i dati di milioni di utenti. Secondo dichiarazioni anonime, gli attaccanti avrebbero sottratto circa 5,5 milioni di registrazioni, 1,1 milioni di numeri di telefono e 2,5 milioni di indirizzi email, pubblicandone una parte online.

Infocert ha rassicurato i propri clienti dichiarando che credenziali, password e servizi fondamentali, come SPID, firma digitale e PEC, non sono stati compromessi. I dati sottratti sarebbero limitati a quelli utilizzati per il sistema di ticketing del servizio clienti. L’azienda, parte del gruppo Tinexta, ha assicurato che sono in corso accertamenti e che la sicurezza dei propri servizi rimane intatta.

Non è la prima volta che negli ultimi mesi le infrastrutture digitali italiane, di vario genere, finiscono colpite da azioni cyber offensive. Si può supporre che come col Tesoro, ci siano dietro azioni malevole di attori rivali dell’Italia, che cercano di sfruttare occasioni per creare difficoltà al governo di Roma?

Confronto tra i due incidenti

Questi due episodi, pur avvenuti in contesti diversi, evidenziano il livello di sofisticazione e aggressività degli attori responsabili. Entrambi gli attacchi hanno avuto origine da vulnerabilità sfruttate nei sistemi di fornitori terzi, che si sono trovati a fronteggiare strumenti e metodologie estremamente avanzati. Nel caso del Tesoro statunitense, la compromissione di una chiave di sicurezza ha permesso di accedere a workstation e documenti, mentre nell’attacco a Infocert sono stati trafugati dati personali legati al sistema di assistenza clienti.

Questi eventi sottolineano quanto siano complesse e sofisticate le minacce portate avanti da attori cibernetici rivali dell‘Occidente, capaci di individuare e sfruttare anche i punti di accesso più remoti e apparentemente protetti. I fornitori terzi, spesso bersaglio primario di queste operazioni, svolgono un ruolo essenziale nel mantenere operative infrastrutture digitali critiche e meritano sostegno e collaborazione per rafforzare ulteriormente la resilienza alle minacce future.

La lezione da imparare

Gli attacchi informatici stanno diventando sempre più sofisticati, con implicazioni sia per le organizzazioni pubbliche sia per quelle private. La protezione delle identità digitali, dei dati personali e delle infrastrutture critiche è una priorità globale.

In un mondo sempre più interconnesso, la collaborazione internazionale è fondamentale per condividere informazioni e sviluppare strategie comuni contro le minacce cibernetiche. Questi episodi devono servire da monito: investire in sicurezza informatica non è solo una scelta strategica, ma una necessità per garantire la resilienza e la fiducia in un‘era digitale.