Via Indipendenza
Quando la trasparenza diventa il problema
Questa settimana la Commissione Europea ha presentato con orgoglio la sua app di verifica dell'età, definendola "tecnicamente pronta" e pubblicandone il codice open source. Nel giro di due minuti — letteralmente — un ricercatore di sicurezza l'ha bucata.
Il paradosso è che l'apertura del codice, pensata come garanzia di trasparenza, ha funzionato fin troppo bene: ha permesso alla comunità di scoprire immediatamente che l'app non era affatto pronta. Nel frattempo, Booking.com ha confermato un data breach che ha esposto i dati di prenotazione di un numero imprecisato di utenti, e il CSIRT italiano ha lanciato l'allarme sul ransomware Akira, che nel 2026 ha già colpito 13 PMI italiane.
Il filo che collega tutto è lo stesso: la sicurezza non si dichiara, si dimostra. E le PMI italiane, nel mirino sia dei criminali sia delle normative, non possono più permettersi di rimandare.
🔒 Cybersecurity per chi decideAllarme Akira: 13 PMI italiane colpite dal ransomware nel 2026
Il CSIRT Italia ha pubblicato un bollettino dedicato al gruppo ransomware Akira, segnalando un aumento significativo degli attacchi verso soggetti nazionali dall'inizio del 2026. Il bersaglio preferito sono le piccole e medie imprese. Il vettore d'ingresso più comune è lo sfruttamento di vulnerabilità non corrette su firewall SonicWall e accessi VPN senza autenticazione a più fattori.
Cosa fare subito: verificate che la vostra VPN aziendale richieda l'autenticazione a più fattori (MFA). Controllate che i firewall siano aggiornati all'ultima versione. Assicuratevi di avere backup offline e immutabili. Akira opera come servizio (Ransomware-as-a-Service): chiunque può acquistare l'accesso per lanciare un attacco.
Fonte: CSIRT Italia — ACN
Booking.com: data breach espone dati di prenotazione di milioni di utenti
Il 13 aprile Booking.com ha confermato che soggetti non autorizzati hanno avuto accesso a informazioni di prenotazione dei clienti: nomi, email, numeri di telefono, dettagli dei soggiorni e messaggi scambiati con le strutture. I dati finanziari, secondo la piattaforma, non sarebbero stati compromessi. L'azienda ha forzato il reset dei PIN di prenotazione e notificato gli utenti coinvolti, ma non ha chiarito quante persone siano state colpite.
Perché vi riguarda: anche se non gestite un hotel, questo caso dimostra come i dati personali affidati a piattaforme terze possano diventare munizioni per truffe mirate. Chi conosce dove andrete in vacanza e quando può costruire email di phishing perfette. Se avete un account Booking, cambiate la password e attivate l'autenticazione a due fattori.
Fonte: BleepingComputer, TechCrunch, Help Net Security
Adobe Acrobat sotto attacco: aprire un PDF può costare caro
Il CSIRT Italia segnala lo sfruttamento attivo della vulnerabilità CVE-2026-34621 in Adobe Acrobat e Reader. Un documento PDF costruito ad arte può permettere l'esecuzione di codice sul vostro computer semplicemente aprendolo. L'aggiornamento è disponibile: installatelo prima di aprire qualsiasi PDF da fonte non verificata.
Fonte: CSIRT Italia — ACN
🌍 Geopolitica digitaleL'app UE per la verifica dell'età bucata in due minuti: il caso della settimana
Il 15 aprile la presidente von der Leyen ha annunciato che l'app europea di age verification era "tecnicamente pronta" e conforme ai più alti standard di privacy. Il codice, pubblicato come open source, è stato subito analizzato dalla comunità di sicurezza. Il consulente Paul Moore ha dimostrato in un video (2,6 milioni di visualizzazioni) come aggirare le protezioni dell'app in meno di due minuti, manipolando un file di configurazione locale.
Le falle non sono bug isolati ma difetti di architettura: il PIN di accesso non è legato crittograficamente al vault dell'identità, il contatore anti brute-force è modificabile dall'utente, e l'autenticazione biometrica si disattiva cambiando un singolo valore booleano. La Commissione ha poi precisato che si trattava di una versione demo, ma il codice stesso la etichettava come "versione di sviluppo iniziale" e ne sconsigliava l'uso in produzione.
Il punto Via Indipendenza: il paradosso è istruttivo. L'open source ha funzionato esattamente come deve: la trasparenza ha permesso di trovare i problemi prima del deployment di massa. Il problema è che chi ha presentato l'app l'ha definita "pronta" quando non lo era. Per le aziende, la lezione è la stessa: dire che un sistema è sicuro non lo rende sicuro. Serve la verifica indipendente. L'app sarà integrata in IT-Wallet in Italia entro fine 2026 — dopo, si spera, una riprogettazione seria.
Fonte: Punto Informatico, SecurityInfo.it, TurboLab.it, TuttoAndroid
Dazi USA-UE: nuovi dazi su acciaio, alluminio, rame e farmaci dal 6 aprile
La situazione commerciale tra USA e UE resta in piena evoluzione. Con il proclama del 2 aprile, gli USA hanno introdotto nuovi dazi su acciaio, alluminio, rame e derivati, con aliquote variabili dal 10% al 50% a seconda della tipologia. Per i farmaci brevettati di origine europea, l'aliquota sarà del 15% da luglio/settembre 2026. Confindustria ha aggiornato al 10 aprile il cruscotto informativo sui dazi in vigore. Il Parlamento europeo ha intanto approvato l'intesa con gli USA inserendo clausole di salvaguardia: la Commissione potrà sospendere le preferenze se Washington superasse il tetto del 15% concordato.
Perché vi riguarda: se la vostra azienda importa componenti dagli USA o esporta verso il mercato americano, i costi stanno cambiando. Verificate con il vostro spedizioniere o consulente doganale le nuove aliquote applicabili ai vostri codici merceologici.
Fonte: Confindustria, ExportUSA, Eunews
☁️ Software e CloudGoogle Chrome: 60 vulnerabilità corrette, 2 critiche
Google ha rilasciato un aggiornamento per Chrome che corregge 60 vulnerabilità di sicurezza, di cui 2 con gravità critica e 14 con gravità alta. Se usate Chrome in azienda — e statisticamente lo fate — aggiornatelo subito. Chrome si aggiorna automaticamente, ma solo se riavviate il browser. Quel "Aggiornamento disponibile" che ignorate da giorni è un rischio concreto.
Fonte: CSIRT Italia — ACN
SAP Security Patch Day: vulnerabilità critica nel gestionale più diffuso
Nell'aggiornamento di sicurezza di aprile, SAP ha rilasciato patch per vulnerabilità tra cui una classificata come critica. Se la vostra azienda usa SAP — e molte PMI manifatturiere italiane lo fanno — coordinate con il vostro partner SAP l'applicazione tempestiva degli aggiornamenti. Non è un aggiornamento "cosmetico": le vulnerabilità critiche possono permettere l'accesso non autorizzato ai dati aziendali.
Fonte: CSIRT Italia — ACN
🔧 Open Source e ComposableMicrosoft rilascia l'Agent Governance Toolkit: sicurezza per gli agenti AI
Microsoft ha rilasciato sotto licenza MIT l'Agent Governance Toolkit, un progetto open source pensato per governare il comportamento degli agenti AI autonomi. Il toolkit affronta tutti i 10 rischi identificati da OWASP per le applicazioni agentiche — dal dirottamento degli obiettivi all'abuso degli strumenti — con enforcement deterministico in tempo reale. L'EU AI Act entrerà in vigore ad agosto 2026: chi sta costruendo sistemi basati su agenti AI farebbe bene a iniziare a pensare alla governance prima che diventi un obbligo.
Fonte: Microsoft Open Source Blog
PostgreSQL cloud-neutral: sovranità del dato a portata di PMI
The New Stack ha dedicato un approfondimento a come Kubernetes stia rendendo PostgreSQL veramente portabile tra cloud diversi, eliminando la dipendenza dal singolo provider. È un caso concreto di sovranità tecnologica applicata ai database: i vostri dati restano vostri, su qualsiasi infrastruttura. Per chi vuole evitare il vendor lock-in sul cuore del proprio sistema informativo, è una direzione da seguire con attenzione.
Fonte: The New Stack
🔬 Dal laboratorioLa "paradossale inerzia" della cybersecurity in azienda
Un articolo pubblicato da Cyberoo analizza un fenomeno che conosciamo bene: tutti sanno che un attacco informatico è inevitabile, eppure in molte organizzazioni questa consapevolezza non si traduce in azioni concrete. Il mercato della sicurezza informatica in Italia cresce per il terzo anno consecutivo, ma la spesa non si distribuisce in modo uniforme. Le PMI, in particolare, tendono a investire solo dopo aver subito un incidente — quando il costo è già esploso.
Il nostro commento: l'articolo centra il punto. La cybersecurity non è un costo: è un'assicurazione sulla continuità operativa. Con il ransomware Akira che bersaglia le PMI italiane e la NIS2 che impone nuovi obblighi entro ottobre 2026, rimandare non è più un'opzione strategica — è un rischio calcolato male.
Fonte: Cyberoo Blog
🛠️ Strumento della settimanaAllama — Automazione della sicurezza, open source
Allama è una piattaforma open source per l'automazione dei flussi di sicurezza: permette di costruire workflow visivi per il rilevamento e la risposta alle minacce. Si integra con oltre 80 strumenti — SIEM, endpoint detection, sistemi di ticketing, identity provider — centralizzando la gestione delle minacce in un'unica piattaforma. Non è uno strumento per programmatori: l'interfaccia visiva consente anche a team non tecnici di definire regole di risposta automatica (ad esempio: se arriva un alert dal firewall, isola il dispositivo e notifica il responsabile IT).
Per chi è utile: PMI che vogliono automatizzare le risposte agli incidenti senza acquistare piattaforme proprietarie da centinaia di migliaia di euro. È gratuito, si installa sulla propria infrastruttura e — dettaglio non trascurabile — i dati restano vostri.
Fonte: Help Net Security, GitHub
In una frase: questa settimana ci ricorda che la sicurezza non è un annuncio, è una pratica quotidiana. Che si tratti dell'app europea bucata in due minuti o dei firewall SonicWall non aggiornati che aprono le porte ad Akira, il denominatore comune è lo stesso: la differenza tra chi subisce e chi governa sta nella preparazione, non nella fortuna.
Ci leggiamo lunedì prossimo.
La redazione di Via Indipendenza
Conosci qualcuno a cui potrebbe servire?
Inoltra questa email o condividi il link: viaindipendenza.com
Via Indipendenza
La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.
Un progetto promosso da airpim srl
Ricevi questa email perché ti sei iscritto a Via Indipendenza.