Via Indipendenza #004 — 13 aprile 2026

Via Indipendenza

Cybersecurity · Geopolitica · Software · Open Source
#004 — Lunedì 13 aprile 2026
Editoriale della settimana

Dipendenze invisibili: quando il rischio si vede solo quando è troppo tardi

Questa settimana un numero vale più di mille analisi: 9.1 — il punteggio di gravità (su 10) della vulnerabilità scoperta in FortiClient EMS, il software che migliaia di aziende usano per gestire la sicurezza dei propri endpoint. Già sfruttata attivamente prima ancora che Fortinet pubblicasse l'avviso. Il CISA americano ha dato tre giorni di tempo per applicare la patch. Tre giorni.

Il punto non è tecnico — è strategico. Centinaia di imprese hanno scoperto di dipendere da un singolo componente solo quando qualcuno lo ha attaccato. Intanto Meta cambia rotta sull'AI: dopo anni di bandiera open source con Llama, il suo modello migliore — Muse Spark — esce proprietario. Chi ha costruito strategie aziendali confidando nell'apertura di Meta, ora si ritrova senza garanzie. In Europa la NIS2 entra nella fase operativa, con la finestra 15 aprile–31 maggio per aggiornare i dati sul portale ACN. E sullo sfondo, i dazi americani continuano a ridisegnare le catene di fornitura anche tecnologiche.

Il filo che collega tutto è sempre lo stesso: la dipendenza è invisibile finché non diventa un problema. E a quel punto, il costo per uscirne è già altissimo. Che si tratti di un software, di un fornitore cloud, di una normativa o di un partner commerciale, la domanda strategica resta: quanto controllo hai davvero?

Cybersecurity per chi decide

FortiClient EMS: zero-day critico, aziende esposte prima della patch

Il 4 aprile Fortinet ha rilasciato un hotfix d'emergenza per la CVE-2026-35616, una vulnerabilità critica (CVSS 9.1) nel suo Endpoint Management Server. La falla consente a un attaccante remoto non autenticato di aggirare i controlli di autenticazione delle API e di eseguire codice arbitrario sul server. Non servono credenziali, non serve interazione dell'utente: bastano richieste HTTP appositamente costruite.

WatchTowr ha confermato di aver rilevato tentativi di sfruttamento già dal 31 marzo, prima ancora dell'advisory ufficiale. Il CISA americano l'ha aggiunta al catalogo delle vulnerabilità attivamente sfruttate il 6 aprile, imponendo alle agenzie federali di applicare la correzione entro il 9 aprile. È la seconda vulnerabilità critica in FortiClient EMS in poche settimane, dopo la CVE-2026-21643 — un pattern che indica come gli attaccanti stiano sistematicamente prendendo di mira questa piattaforma come punto di ingresso privilegiato nelle reti aziendali.

Cosa significa per la tua azienda: Se usi Fortinet, verifica immediatamente con il tuo IT se le versioni 7.4.5 e 7.4.6 di FortiClient EMS sono in uso e se l'hotfix è stato applicato. Se non usi Fortinet, il messaggio è comunque rilevante: quanti dei tuoi sistemi di sicurezza dipendono da un singolo vendor che può esporti a rischi critici senza che tu ne sia consapevole?

Fonti: ACN CSIRT Italia, The Hacker News, Bleeping Computer, watchTowr, Arctic Wolf

Manifatturiero italiano: il settore più colpito, con il 29% degli attacchi

L'Osservatorio Cyberoo 2026 conferma che il manifatturiero resta il bersaglio principale dei cybercriminali in Italia. La ragione è strutturale: l'integrazione crescente tra sistemi IT e OT (i sistemi operativi industriali che governano macchine e processi) amplia la superficie d'attacco senza un aggiornamento parallelo delle difese. Il report introduce il concetto di "materia oscura" della sicurezza: asset non mappati, API abbandonate, sistemi legacy mai dismessi e identità tecniche fuori controllo che accumulano rischio in silenzio. Le violazioni più pericolose nel 2026 non generano allarmi — prosperano dove manca visibilità.

Fonte: Cyberoo — Osservatorio 2026

Geopolitica digitale

NIS2: dal 15 aprile aggiornamento obbligatorio sul portale ACN

La NIS2 entra nella fase più concreta per le imprese italiane. Dal 15 aprile al 31 maggio 2026 tutti i soggetti NIS — oltre 30.000 organizzazioni registrate nel 2025 — devono aggiornare le proprie informazioni sul portale dell'Agenzia per la Cybersicurezza Nazionale: dati anagrafici, rappresentanti legali, IP statici, domini e referenti CSIRT. Non è un rinnovo formale: i dati alimentano il quadro operativo nazionale di risposta agli incidenti.

Parallelamente, entro aprile l'ACN definirà il modello di categorizzazione delle attività e degli obblighi di sicurezza a lungo termine. La scadenza per l'implementazione completa delle misure di base è il 31 ottobre 2026, data dopo la quale inizieranno le attività ispettive. La cybersecurity non è più delegabile al solo reparto IT: la normativa impone responsabilità diretta agli organi di amministrazione e direzione.

Cosa significa per la tua azienda: Anche se non sei direttamente nel perimetro NIS2, ricorda l'effetto a cascata sulla supply chain. Se sei fornitore di un'azienda soggetta agli obblighi, il tuo livello di sicurezza diventa parte della loro compliance. La finestra 15 aprile–31 maggio è il momento per fare ordine: sapere quali dati hai, dove sono e chi ne risponde.

Fonti: Agenda Digitale, ACN, ICT Security Magazine, Confindustria Pesaro Urbino

Dazi USA–UE: l'impatto sulle catene tecnologiche italiane

I dazi americani sull'Europa non sono solo una questione commerciale — ridisegnano le catene di fornitura anche tecnologiche. L'Italia è tra i paesi UE più penalizzati, con un dazio medio salito all'8%. Il FMI ha definito l'approccio tariffario inefficace per ridurre gli squilibri, stimando che circa l'80% del costo ricade sulle stesse imprese e consumatori americani. Ma per l'Europa il rischio più strutturale è un altro: il "secondo shock cinese", la sovrapproduzione riversata sul mercato europeo in cerca di sbocchi alternativi. Per chi gestisce un'azienda, il messaggio è operativo: la diversificazione dei fornitori — anche tecnologici — non è più rinviabile.

Fonti: ISPI, MilanoFinanza, Coface

Software e Cloud

Meta chiude i pesi: Muse Spark è il primo modello AI proprietario

Il 12 aprile Meta Superintelligence Labs ha rilasciato Muse Spark, il suo primo modello AI non distribuito come open source. Dopo anni in cui la famiglia Llama aveva fatto di Meta il campione dell'AI aperta, la svolta è radicale: Muse Spark funziona solo nell'app Meta AI, su meta.ai e in un'API privata. Le prestazioni sono da vertice — quarto posto nell'Artificial Analysis Intelligence Index — ma i pesi restano chiusi. Alla domanda sul futuro di Llama, Meta ha risposto che i modelli esistenti resteranno disponibili, senza confermare se la famiglia continuerà a essere sviluppata.

La motivazione è strategica: la visione di Zuckerberg è "Personal Superintelligence" — un agente AI personale per ogni utente di Facebook, Instagram e WhatsApp. Per controllare un servizio di quella scala, Meta ha bisogno di controllare il modello. Per finanziare l'operazione, l'azienda ha annunciato investimenti tra 115 e 135 miliardi di dollari per il 2026 — quasi il doppio del 2025.

La domanda per la tua azienda: Questa è una lezione concreta sul rischio di costruire strategie su promesse di apertura di un singolo vendor. Oggi Meta cambia idea sull'open source; domani potrebbe cambiare il tuo fornitore cloud, il tuo CRM o il tuo gestionale. La domanda giusta non è "è aperto oggi?" ma "posso uscire domani senza danni?"

Fonti: TrendingTopics/VentureBeat, SiliconANGLE

Open Source e Composable

AI open source: il gap con i modelli proprietari si è chiuso

Mentre Meta chiude i pesi del suo modello migliore, il panorama dei modelli AI aperti non è mai stato così competitivo. Ad aprile 2026, Gemma 4 di Google (licenza Apache 2.0, rilasciata il 2 aprile), Qwen 3.5 di Alibaba (Apache 2.0), DeepSeek R1 (MIT) e la stessa Llama 4 Scout/Maverick competono direttamente con i modelli chiusi su quasi tutti i benchmark. Gemma 4 ha registrato un salto impressionante nel coding: da 110 a 2.150 punti ELO su Codeforces tra una generazione e l'altra.

Il dato che cambia le regole del gioco: molti di questi modelli girano su hardware consumer con 16 GB di VRAM, producendo 80-120 token al secondo. La differenza pratica tra un modello open e uno proprietario, per la maggior parte dei casi d'uso aziendali — assistenza interna, analisi documenti, ricerca, generazione testi — si è ridotta al punto da non giustificare il costo di un'API cloud, soprattutto quando in gioco c'è la riservatezza dei dati.

Cosa significa per la tua azienda: Oggi puoi far girare un modello linguistico competitivo sul tuo server, senza inviare dati a terzi, senza abbonamento mensile e con licenza commerciale libera. Non è una scelta per puristi — è una scelta di sovranità. Un buon punto di partenza: ollama run gemma4:e4b su un PC con 8 GB di RAM.

Fonti: Cosmonet.info, Google DeepMind, Smartphonology, SMsoft

Dal laboratorio

Identità non umane: la nuova superficie d'attacco invisibile

L'Osservatorio Cyberoo 2026 e diversi report internazionali convergono su un dato che dovrebbe preoccupare ogni imprenditore: nel 2026, le identità non umane nelle reti aziendali — account di servizio, bot, workload cloud, API, dispositivi IoT — superano di gran lunga quelle umane. Queste identità tecniche sono spesso create una volta e mai più revisionate: credenziali mai ruotate, permessi eccessivi, nessun monitoraggio.

Il cambio di paradigma è netto: gli attaccanti nel 2026 non cercano più di "entrare" nei sistemi forzando le difese. Cercano di diventare utenti legittimi, usando credenziali rubate tramite malware infostealer o intercettando sessioni di autenticazione anche protette da MFA. Una volta dentro con un'identità valida, la violazione diventa indistinguibile da un'attività normale. La domanda da fare al vostro IT: quanti account di servizio esistono nei nostri sistemi, quando sono state cambiate le credenziali l'ultima volta e chi ne ha accesso? Se la risposta è "non lo sappiamo", avete appena identificato la vostra principale vulnerabilità.

Fonti: Cyberoo, Nicma, ACN

Strumento della settimana

Ollama — Intelligenza artificiale locale in un comando

Ollama è un runtime open source che permette di scaricare e far girare modelli linguistici in locale con un singolo comando da terminale. Supporta tutti i principali modelli aperti — Gemma 4, Llama 4, Qwen 3.5, DeepSeek, Mistral, Phi-4 — e funziona su Mac, Linux e Windows senza richiedere configurazioni complesse. Per chi preferisce un'interfaccia grafica, il progetto Open WebUI offre un frontend web da affiancare a Ollama, con un'esperienza simile a quella di ChatGPT ma interamente in locale.

Per chi è utile: imprenditori e responsabili IT che vogliono testare l'AI generativa senza abbonamenti, senza inviare dati aziendali a server esterni e con il massimo controllo. In un numero in cui parliamo di dipendenze invisibili, Ollama rappresenta il polo opposto: tecnologia potente, gratuita e che gira sulla vostra infrastruttura. Primo test consigliato: ollama run gemma4:e4b.

Fonte: ollama.com, GitHub

Via Indipendenza

La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.

Un progetto promosso da airpim srl

Ricevi questa email perché ti sei iscritto a Via Indipendenza.

Keep Reading

© 2026 Via Indipendenza.
Report abusePrivacy policyTerms of use
beehiivPowered by beehiiv