Didascalia
Abbiamo scritto la settimana scorsa sull'importanza di governare i fornitori ICT (Dalla gara al controllo: governare i fornitori ICT nella PA digitale) ed ecco un esempio da manuale. Nel marzo 2026 la Commissione Europea è stata coinvolta in un incidente di sicurezza che offre spunti di riflessione importanti per tutta la Pubblica Amministrazione. Non si è trattato di un attacco tradizionale, né di una vulnerabilità sfruttata direttamente su sistemi o infrastrutture. Il punto di ingresso è stato molto più sottile: uno strumento di sicurezza compromesso.
Questo elemento, apparentemente paradossale, ci aiuta a comprendere come il rischio informatico stia evolvendo. Oggi non basta più proteggere i sistemi “dall’esterno”: è necessario governare l’intero ecosistema digitale, incluse le componenti di cui ci fidiamo.
La documentazione ufficiale del CSIRT Europeo può essere trovata al seguente link: https://cert.europa.eu/blog/european-commission-cloud-breach-trivy-supply-chain.
L’attacco ha coinvolto l’infrastruttura cloud che supporta il portale europa.eu, utilizzata da numerose istituzioni e servizi europei.
Il vettore di compromissione è stato "Trivy", uno strumento open-source impiegato per analizzare la sicurezza del software nelle pipeline di sviluppo. Una versione alterata del tool è stata distribuita attraverso canali legittimi e installata nei processi di build senza destare sospetti.
Una volta attivo, il codice malevolo ha intercettato credenziali sensibili — in particolare chiavi di accesso ai servizi cloud — permettendo agli attaccanti di accedere agli ambienti come utenti autorizzati. Questo ha consentito loro di muoversi all’interno dell’infrastruttura, raccogliere informazioni e sottrarre dati, senza ricorrere a tecniche di intrusione “classiche”.
L’incidente ha portato all’esfiltrazione di un volume rilevante di dati e ha coinvolto numerose entità che utilizzavano la piattaforma condivisa.
Ci sono tre elementi che rendono questo caso particolarmente rilevante per la PA.
Il primo è che non è stata violata direttamente l’infrastruttura, né il provider cloud. Gli attaccanti hanno sfruttato credenziali valide, ottenute in modo indiretto. Questo significa che, dal punto di vista dei sistemi, molte attività apparivano legittime.
Il secondo è la natura sistemica dell’impatto. L’infrastruttura colpita era condivisa da più organizzazioni: un singolo punto di compromissione ha quindi avuto effetti su più enti, amplificando il danno.
Il terzo elemento è forse il più significativo: l’attacco ha sfruttato un componente di sicurezza, dimostrando che anche gli strumenti progettati per proteggere possono diventare vettori di rischio se non adeguatamente governati.
Analizzando l’accaduto emergono alcune criticità che non riguardano solo questo caso, ma molte organizzazioni pubbliche e private.
1. La fiducia nella filiera digitale
Le organizzazioni moderne si basano su una rete articolata di fornitori, strumenti e componenti software, spesso open-source. Questa filiera è fondamentale per l’innovazione, ma introduce anche una dipendenza strutturale.
Nel caso in esame, la fiducia riposta in uno strumento diffuso e affidabile ha consentito al codice malevolo di entrare senza ostacoli. Questo evidenzia un punto chiave: la sicurezza non può più essere limitata ai confini dell’organizzazione, ma deve estendersi a tutta la supply chain.
2. Il ruolo critico delle pipeline di sviluppo
Le pipeline CI/CD, sempre più diffuse anche nella PA, sono oggi un punto nevralgico. Gestiscono codice, automazione e distribuzione, e per questo operano spesso con privilegi elevati.
Quando un attaccante riesce a inserirsi in questo contesto, ottiene un accesso privilegiato a risorse e credenziali. In altre parole, colpire la pipeline significa colpire il cuore operativo dei sistemi digitali.
3. La gestione delle credenziali
Un altro aspetto centrale riguarda l’uso delle credenziali. In questo caso, una chiave di accesso è stata sufficiente per consentire l’ingresso e l’espansione dell’attacco.
Questo evidenzia una criticità diffusa: l’utilizzo di credenziali statiche e con ampi privilegi. In assenza di meccanismi di controllo e rotazione, queste credenziali diventano un punto debole significativo.
4. La capacità di rilevazione
Infine, il tempo necessario per individuare l’attacco suggerisce che i sistemi di monitoraggio possono essere migliorati. In ambienti complessi e distribuiti, è fondamentale riuscire a identificare rapidamente comportamenti anomali, anche quando provengono da utenti apparentemente legittimi.
Questo incidente si collega in modo diretto a un tema centrale per la Pubblica Amministrazione: la governance dei fornitori ICT.
Come evidenziato nel blog della settimana scorsa, la gestione del fornitore non può esaurirsi nella fase di selezione. È necessario un presidio continuo, che includa monitoraggio, verifica e gestione del rischio nel tempo.
Il caso della Commissione Europea amplia ulteriormente questo concetto. Oggi il “fornitore” non è solo l’azienda che eroga un servizio, ma include un ecosistema molto più ampio:
Questo rende la filiera più complessa e meno visibile. Di conseguenza, anche la governance deve evolvere, passando da un approccio formale a uno sostanziale e continuo.
In altre parole, non basta sapere chi è il fornitore: bisogna comprendere come funziona l’intero sistema che supporta il servizio.
Alla luce di quanto emerso, è possibile individuare alcune linee di azione concrete, utili per rafforzare la sicurezza e la governance.
In primo luogo, è importante considerare la supply chain come parte integrante della superficie di rischio. Questo significa avere visibilità sui componenti utilizzati, verificarne l’integrità e monitorarne l’evoluzione nel tempo.
Un secondo aspetto riguarda la gestione dei privilegi. Le pipeline e gli strumenti automatizzati dovrebbero operare con diritti limitati, riducendo l’impatto di eventuali compromissioni.
Sul fronte delle credenziali, è opportuno adottare soluzioni che prevedano l’uso di accessi temporanei e la rotazione automatica delle chiavi, evitando il ricorso a credenziali statiche.
È inoltre fondamentale rafforzare le capacità di monitoraggio, con particolare attenzione all’analisi dei comportamenti anomali e alla correlazione degli eventi.
Infine, è necessario estendere i modelli di governance anche ai fornitori “indiretti”, includendo strumenti, librerie e piattaforme nei processi di valutazione e controllo.
L’incidente della Commissione Europea rappresenta un caso emblematico di come stia cambiando il panorama della sicurezza digitale.
Non siamo più di fronte a un modello in cui il rischio proviene esclusivamente dall’esterno. Oggi le minacce possono emergere dall’interno della filiera, sfruttando elementi considerati affidabili.
Per la Pubblica Amministrazione, questo implica un cambio di prospettiva: la sicurezza non è solo una questione tecnica, ma anche — e soprattutto — una questione di governance.
Ed è proprio nella capacità di governare nel tempo fornitori, strumenti e processi che si gioca una parte sempre più rilevante della resilienza digitale.
Perché, in un ecosistema complesso, la vera vulnerabilità non è solo ciò che non conosciamo, ma ciò di cui ci fidiamo senza verificarlo.
