Immaginate il caveau di una banca. Mura spesse, telecamere ovunque, guardie armate. Nessuno potrebbe mai entrarci di forza. Ma cosa succederebbe se qualcuno riuscisse a corrompere il tecnico della ditta che fa la manutenzione dell'impianto di ventilazione? Ecco, in sintesi, cos'è un Supply Chain Attack: non si attacca la vittima principale direttamente. Si attacca qualcuno di cui quella vittima si fida ciecamente.
Nuova ondata di pubblicazioni sui portali ransomware internazionali: nel mirino, aziende italiane dei settori dell'elettronica, della manifattura, dell'alimentare e dei servizi professionali. Nomi noti del nostro tessuto produttivo, colpiti non perché avessero sistemi di sicurezza scadenti, ma spesso perché erano il fornitore fidato di qualcuno di più grande.
Come funziona: la metafora dell'anello più debole
Pensate a una catena di bicicletta. Può essere lunga quanto volete, fatta dell'acciaio più resistente, ma basterà un solo anello difettoso per far cedere tutto. Le catene di fornitura digitali funzionano allo stesso modo. La grande multinazionale investe milioni in cybersecurity. Ma per lavorare con lei, le sue decine di fornitori, subfornitori e partner tecnologici devono accedere ai suoi sistemi, condividere file, scambiarsi dati. Ogni uno di questi è un potenziale ingresso.
I casi più clamorosi degli ultimi anni ci insegnano questa lezione in modo brutale: l'attacco a SolarWinds ha compromesso oltre 2.000 organizzazioni attraverso un singolo aggiornamento software infetto. L'attacco a MOVEit ha esposto decine di milioni di record attraverso una vulnerabilità in uno strumento di trasferimento file. In entrambi i casi, il bersaglio primario era il fornitore, non la vittima finale.
I numeri che dovrebbero tenervi svegli la notte
I dati parlano chiaro, e non lasciano spazio all'ottimismo. Secondo la ricerca "Cyber Insurance and AI 2026" commissionata da QBE:
• Il 47% delle aziende italiane ha subito un attacco informatico negli ultimi 12 mesi. Quasi una su due.
• Il 58% di quelle attaccate riconosce la supply chain come vettore d'ingresso.
• Il 31% attribuisce alcuni attacchi subiti a fornitori esterni.
• Il 50% delle aziende colpite ha subito una perdita diretta di fatturato.
E il settore più bersagliato? Il manifatturiero, con il 17,9% degli attacchi totali. Esattamente il cuore del distretto biellese e di tutto il Nord-Ovest produttivo.
Il ransomware, quel malware che entra silenziosamente, cifra tutti i vostri file e poi chiede un riscatto per restituirli, ha colpito 1 PMI su 5 nel 2025. Il riscatto medio richiesto? 42.000 euro. Il fermo operativo medio? 21 giorni. Ognuno di quei giorni, per una PMI manifatturiera, vale tra gli 8.000 e i 25.000 euro di mancata produzione. Senza contare le penali contrattuali, i danni reputazionali e le notifiche obbligatorie al Garante Privacy.
La NIS2 cambia le regole del gioco: anche per voi
Qui entra in gioco qualcosa che molte aziende stanno ancora sottovalutando: la Direttiva NIS2, in vigore da ottobre 2024. Tra i suoi obblighi c'è un punto che riguarda direttamente la supply chain: le aziende nel perimetro devono valutare e monitorare attivamente la postura di sicurezza dei propri fornitori critici.
Traduzione pratica: se siete fornitori di un'azienda di grandi dimensioni, un produttore tessile che serve brand internazionali, uno studio professionale che gestisce i dati di un cliente bancario, un'impresa meccanica nella filiera automotive, quel cliente potrebbe presto chiedervi di dimostrare il vostro livello di sicurezza informatica. E se non siete in grado di farlo, rischiate di essere sostituiti.
Gartner prevede che entro la fine del 2026, il 60% delle grandi organizzazioni userà la valutazione del rischio dei fornitori come criterio vincolante per nuovi contratti. Non è fantascienza: è già il presente per chi lavora con la Pubblica Amministrazione o con grandi gruppi quotati.
Un caso reale che ci riguarda da vicino
Pochi giorni fa, un'impresa meccanica del Nord Italia ha scoperto, durante un audit di sicurezza, che 47 fornitori diversi avevano credenziali attive sui propri sistemi — di cui 12 appartenevano ad aziende con cui non collaborava più da anni. Ogni credenziale dimenticata è come lasciare una copia delle chiavi di casa a qualcuno di cui non ti ricordi più il nome.
Questa storia si ripete in migliaia di aziende italiane. Non per negligenza: semplicemente perché nessuno aveva mai pensato di fare un inventario sistematico degli accessi. È la differenza tra un approccio reattivo (correre ai ripari dopo il danno) e uno proattivo (conoscere la propria esposizione prima che qualcuno la sfrutti).
Cosa fare concretamente: da dove iniziare
La buona notizia è che non serve iniziare con un investimento da centinaia di migliaia di euro. Il framework NIST 800-161 per la gestione del rischio nella supply chain propone un approccio strutturato e scalabile:
• Inventariatevi: sapete quanti fornitori hanno accesso ai vostri sistemi oggi? Da quanto tempo? Per fare cosa esattamente?
• Classificate: non tutti i fornitori sono ugualmente critici. Chi gestisce i vostri dati finanziari è diverso da chi vi consegna i materiali di consumo.
• Valutate: per i fornitori critici, verificate se hanno politiche di sicurezza documentate, autenticazione a due fattori, un piano di risposta agli incidenti.
• Monitorate: la sicurezza non è un esercizio una-tantum. Un fornitore che era sicuro sei mesi fa potrebbe non esserlo più oggi.
Il NIST CSF 2.0 e i framework ISO 27001 che molte aziende già conoscono hanno integrato la gestione del rischio di terze parti come componente fondamentale. Non è un capriccio normativo: è una risposta concreta a come si muovono davvero gli attaccanti nel 2026.
La sicurezza è una questione di ecosistema, non solo di perimetro
Il vecchio concetto di perimetro aziendale, il firewall come muro di cinta (tutto ciò che è dentro è al sicuro) è morto. I vostri dati critici non vivono più solo nei vostri server: sono distribuiti tra cloud provider, software house, partner logistici, consulenti. Ognuno di loro che accede ai vostri sistemi è, di fatto, parte del vostro perimetro di sicurezza.
Il 2026 segnerà uno spartiacque: da una parte le aziende che hanno costruito relazioni di fiducia verificata con la propria filiera, capaci di garantire continuità operativa anche in scenari avversi. Dall'altra, le realtà vulnerabili, progressivamente escluse dalle filiere strategiche più redditizie.
La domanda non è se fare qualcosa. La domanda è da dove iniziare. E la risposta è sempre la stessa: dall'inventario. Sapere chi ha le chiavi di casa vostra è il primo passo per decidere a chi farle tenere.
Per maggiori informazioni:
Sito web: www.seccomarco.com