Via Indipendenza
L'infrastruttura che non sapevate di avere — e che qualcun altro stava leggendo
Domenica 3 maggio, mentre quasi tutti erano altrove, è emersa una notizia che vale la pena leggere bene: Sistemi Informativi — una società controllata da IBM che gestisce l'infrastruttura tecnologica della Pubblica Amministrazione italiana, di banche e assicurazioni — è stata colpita da un attacco informatico attribuito al gruppo Salt Typhoon, considerato dagli analisti vicino agli apparati statali cinesi.
Non si è trattato di ransomware. Non c'era un riscatto. Era spionaggio: gli attaccanti erano dentro i sistemi da settimane prima di essere scoperti, in silenzio, leggendo quello che c'era da leggere.
Il caso solleva una domanda che riguarda chiunque gestisca un'impresa con dati rilevanti: sapete chi gestisce la vostra infrastruttura? E sapete da chi è controllato chi gestisce la vostra infrastruttura? Spesso la catena è lunga quanto quella che ha portato fino a domenica sera.
Il filo che unisce questo numero è tutto qui: la dipendenza non è solo tecnologica, è anche geopolitica. E sta diventando urgente capire la differenza tra un fornitore di servizi e un punto di accesso non voluto.
🔒 Cybersecurity per chi decideSalt Typhoon colpisce IBM Italia: dentro l'infrastruttura della PA per settimane
Sistemi Informativi — società del gruppo IBM, 800 dipendenti, sede a Roma — gestisce i sistemi informativi di ministeri, enti pubblici, banche e assicurazioni italiane. Il 3 maggio è stato confermato un attacco informatico attribuito a Salt Typhoon, gruppo hacker ritenuto dagli analisti vicino agli apparati statali cinesi. Pechino, come sempre, ha negato.
L'elemento più significativo non è l'attacco in sé, ma il metodo: secondo le prime ricostruzioni, gli attaccanti erano presenti nei sistemi da almeno due settimane prima che l'incidente venisse rilevato. Nessun blocco di servizi, nessun messaggio di riscatto. Solo presenza silenziosa, lettura di dati, raccolta di informazioni.
La domanda concreta: quanti dei vostri dati aziendali critici passano attraverso fornitori di terze parti? E quanti di quei fornitori sono a loro volta controllati da soggetti extraeuropei soggetti a leggi straniere? La supply chain digitale è lunga e spesso invisibile — finché non lo diventa.
Sempre in settimana, l'ACN ha segnalato campagne attive di compromissione delle supply chain che prendono di mira i componenti SAP Cloud Application Programming Model, con distribuzione di pacchetti malevoli attraverso i canali ufficiali di distribuzione e conseguente esfiltrazione di credenziali.
Fonti: Punto Informatico, Ottopagine, ACN — 3-4 maggio 2026
🌍 Geopolitica digitaleL'AI Act cambia ancora: scadenze slittate, meno obblighi per le PMI
Il Digital Omnibus — il grande pacchetto di revisione normativa digitale europeo — sta modificando l'AI Act in modo significativo. La principale novità: le scadenze per i sistemi AI ad alto rischio slittano dal 2026 al 2027-2028, e le PMI ottengono maggiore discrezionalità nella valutazione dei rischi. Se un sistema rientra formalmente tra quelli ad alto rischio ma il fornitore dimostra che il suo uso concreto non comporta rischi elevati, non sarà necessario registrarlo nel database pubblico europeo.
Parallelamente, il Digital Omnibus modifica il GDPR aprendo alla possibilità che i dati pseudonimizzati possano uscire, in parte, dal suo perimetro applicativo — una concessione alle esigenze di training dei modelli AI che ha diviso la comunità dei data protection officer.
Cosa cambia per le imprese: le scadenze si allungano, ma la direzione non cambia. Chi si è mosso per tempo si trova in posizione di vantaggio competitivo. Chi aspettava "di vedere come va" ha qualche mese in più — non qualche anno. La piena applicabilità delle regole sulla trasparenza AI è confermata per agosto 2026.
In parallelo, il MIMIT ha aperto le manifestazioni di interesse per IPCEI CIC — il progetto europeo per le infrastrutture di calcolo cloud e AI. Scadenza: 7 maggio 2026. Per le imprese italiane è un'occasione concreta di partecipare alla costruzione di un'alternativa europea agli hyperscaler americani.
Fonti: Diritto.it, MIMIT, Commissione Europea — aprile/maggio 2026
☁️ Software e CloudLa sovranità digitale non è dove stanno i server: è chi li controlla
Un'analisi pubblicata questa settimana chiarisce un malinteso diffuso: molte aziende credono di essere "al sicuro" perché i propri dati risiedono in data center europei. Ma se la piattaforma è sviluppata e controllata da un'azienda americana soggetta al CLOUD Act, la posizione geografica dei server conta poco. In caso di richiesta da parte delle autorità statunitensi, il provider è tenuto a rispondere — indipendentemente da dove si trovino fisicamente i dati.
Le tre domande che ogni imprenditore dovrebbe porre al proprio fornitore cloud: chi possiede e gestisce questa infrastruttura? Sotto quale giurisdizione opera la società madre? E chi controlla le chiavi crittografiche dei miei dati?
Nel frattempo, il Cloud and AI Development Act — la normativa europea pensata per triplicare la capacità dei data center europei e ridurre la dipendenza dagli hyperscaler americani — è in fase di discussione avanzata. Quando sarà in vigore, molte delle scelte fatte oggi diventeranno vincolanti domani.
Fonti: Drooms, ISPI, CorCom
🔧 Open Source e ComposableAI e open source: il dibattito che si sta trasformando in strategia europea
IBM ha pubblicato questa settimana un contributo che anticipa quello che in molti stanno pensando: l'AI sta attraversando la stessa traiettoria che hanno percorso i sistemi operativi, il cloud e gli strumenti per sviluppatori. Prima prodotto chiuso, poi piattaforma, poi infrastruttura. E quando diventa infrastruttura, la chiusura smette di essere un vantaggio — diventa un rischio sistemico.
La Commissione Europea ha inserito una strategia sull'open source nel suo "Tech Sovereignty Package": l'obiettivo è promuovere software e tecnologie aperte come leva di indipendenza. Non ideologia, ma pragmatismo geopolitico. Chi controlla il codice su cui girano i servizi pubblici europei controlla, in ultima analisi, la PA europea.
Per le PMI: la strategia open source non riguarda solo i governi. Ogni azienda che sceglie soluzioni con codice aperto, standard documentati e portabilità dei dati si costruisce un margine di manovra reale. Non si tratta di rinunciare ai servizi cloud: si tratta di sceglierli con consapevolezza, sapendo da chi si dipende e con quali conseguenze.
Fonti: IBM Newsroom, Commissione Europea, Rivista AI
🔬 Dal laboratorioIl 2026 è l'anno in cui il cybercrime è diventato automatico
TrendMicro ha definito il 2026 "l'anno dell'industrializzazione del cybercrime": gli attacchi non vengono più pianificati da esseri umani che decidono il bersaglio, costruiscono il vettore e scelgono il momento. Vengono eseguiti da agenti AI che scansionano, individuano vulnerabilità, le sfruttano e ne monetizzano i risultati — tutto in modo autonomo, scalabile e a costi marginali quasi zero per chi attacca.
Le implicazioni per le PMI sono dirette: "non siamo un target abbastanza interessante" non è più una strategia di sicurezza valida. Gli agenti automatizzati non scelgono i bersagli per importanza strategica — li scelgono per vulnerabilità tecnica. Un firewall non aggiornato in un'azienda di medie dimensioni è esattamente interessante quanto uno in una grande impresa.
Fonte: TrendMicro Security Predictions 2026, Clusit Rapporto 2026
🎯 Strumento della settimanaOpenCloud — La piattaforma europea per file e collaborazione, senza dipendenze USA
Cos'è: OpenCloud è una piattaforma open source per la gestione, condivisione e collaborazione sui file, sviluppata in Go e pensata esplicitamente per chi vuole un'alternativa europea a Google Drive, OneDrive e Dropbox. Supporta WebDAV, OpenID Connect e le API Graph di Microsoft — quindi è compatibile con i client esistenti. Può girare su un Raspberry Pi per uso individuale o scalare su infrastrutture data center.
Perché è rilevante questa settimana: dopo il caso Sistemi Informativi, la domanda "chi gestisce i miei dati?" diventa concreta. OpenCloud offre la possibilità di rispondere "li gestiamo noi, su infrastruttura nostra, sotto la nostra giurisdizione". Non è la soluzione per tutti, ma è la risposta giusta per chi tratta dati sensibili di clienti, contratti riservati o proprietà intellettuale.
→ opencloud.eu — open source, europeo, self-hosted o managed. Comunità attiva su Matrix, deployment via Docker Compose.
Via Indipendenza
La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.
Un progetto promosso da airpim srl