Gli attacchi alle terze parti registrano un’escalation senza precedenti. Servono nuove tecnologie, modelli di governance robusti e piena aderenza alla normativa NIS2
La fiducia è un capitale sempre più fragile. Anche le organizzazioni più strutturate e protette spesso trascurano l’anello più debole della loro sicurezza: fornitori e partner IT. Un errore strategico, perché i cybercriminali lo sanno bene e stanno spostando l’attacco proprio lì, sfruttando le falle lungo la catena di fornitura per colpire dove fa più male. Il Rapporto Clusit 2025 segnala una crescita costante degli attacchi informatici globali: da 2.779 nel 2023 a 3.541 nel 2024 (+27,4%), con oltre 4.000 previsti nel 2025. Tra questi, una buona percentuale riguarda la catena di fornitura: sia il Rapporto Clusit sia quello di ENISA sottolineano l’aumento di attacchi alla supply chain, rendendo quindi fondamentale implementare misure di sicurezza che coprano l’intero ecosistema aziendale, inclusi fornitori e partner.
Tra le aziende più colpite da inizio 2024, vi è Change Healthcare, il cui attacco ransomware subito ha bloccato le operazioni di assistenza sanitaria negli Stati Uniti per settimane, portando a una perdita di oltre 2,4 miliardi di dollari. MOVEit ha registrato miliardi di record di dati compromessi in oltre duemila organizzazioni globali. Synnovis, un laboratorio clinico britannico, ha subito un attacco ransomware che ha paralizzato diversi ospedali pubblici del Regno Unito. Il settore bancario, da sempre nel mirino dei cybercriminali, continua a essere un obiettivo privilegiato.
Gli esperti segnalano un’evoluzione nel modus operandi degli attacchi informatici. Non è più soltanto la singola azienda a essere presa di mira, ma l’intera catena digitale. Gli attacchi veicolati tramite terze parti sono spesso sottovalutati e possono passare inosservati nelle fasi iniziali. Le modalità più comuni includono: l’inserimento di codice malevolo in librerie software, l’abuso di accessi privilegiati da parte dei fornitori tramite tecniche di access abuse o credential compromise, lo sfruttamento di vulnerabilità non ancora corrette in software di terze parti, e campagne di phishing basate su sofisticate tecniche di social engineering.
Questo scenario evidenzia che le difese tradizionali non bastano più: serve un cambiamento che vada oltre la sola dimensione tecnologica. Da qui l’importanza della Direttiva NIS2, entrata pienamente in vigore nel 2024, che ha cambiato il paradigma normativo in tutta l’UE. Le aziende che rientrano in questo perimetro sono ora obbligate a valutare il rischio cyber lungo tutta la catena di fornitura. Non si tratta più di una buona pratica, ma di un preciso dovere. La NIS2 impone la verifica della sicurezza dei fornitori critici, la definizione di contratti che prevedano audit e notifiche, l’adozione di piani di risposta condivisi.
Secondo l’analisi delle minacce informatiche condotta da ENISA con uno sguardo al 2030, le principali sfide che interesseranno le supply chain saranno molteplici e sempre più complesse. Tra i rischi più significativi si annoverano la compromissione delle dipendenze software, gli errori umani e l’utilizzo di sistemi legacy, spesso obsoleti. A ciò si affianca l’abuso delle potenzialità offerte dall’intelligenza artificiale, che può essere sfruttata anche da attori malevoli per perfezionare tecniche di attacco.
Per far fronte a queste minacce, sono necessarie misure strategiche. In primo luogo, si suggerisce lo sviluppo di framework di gestione del rischio più flessibili, capaci di rispondere in tempo reale all’evoluzione delle minacce. È fondamentale coltivare le competenze professionali in materia di sicurezza informatica, così come adottare sistemi per la valutazione del rischio cyber associato ai fornitori, così da prevenire vulnerabilità lungo tutta la catena di fornitura.
Andrea Cabras Comitato scientifico CLUSIT