Via Indipendenza
La settimana in cui l'Italia ha scoperto le sue password
Due notizie distanti in apparenza, ma con lo stesso filo: questa settimana si è saputo che il 67% delle aziende italiane che hanno subìto un attacco informatico nel 2025 è stato colpito attraverso credenziali compromesse — il triplo della media europea. E il caso IBM-PA, emerso domenica scorsa, continua il suo corso: la Procura Antiterrorismo di Roma ha aperto un fascicolo di indagine, IBM ha confermato l'incidente e negato l'attribuzione a Salt Typhoon, l'ACN lavora alla bonifica.
Il collegamento non è casuale. Nella maggior parte degli attacchi — grandi o piccoli, alla PA o alle PMI — il punto di ingresso è banale: una credenziale rubata, riutilizzata o mai aggiornata. Non è una questione di sofisticazione tecnologica. È una questione di igiene digitale sistematicamente ignorata.
Nel frattempo, in Europa si gioca una partita commerciale con gli Stati Uniti che ha una data di scadenza ravvicinata: il 19 maggio. Se entro quella data non viene ratificato l'accordo di Turnberry sui dazi, Trump ha già annunciato che le tariffe sull'automotive europeo salgono al 25%. Non è solo una questione di macchine: è il segnale di quanto le interdipendenze economiche siano diventate strumenti di pressione geopolitica.
Questa settimana, in cinque minuti, trovate tutto quello che serve per decidere con più consapevolezza.
🔒 Cybersecurity per chi decideWorld Password Day 2026: il 67% delle aziende italiane colpite passa dalla password
Il 7 maggio è stato il World Password Day, e quest'anno i dati hanno reso la ricorrenza più concreta del solito. Secondo il Rapporto sulla Sicurezza Fisica di Genetec — ricerca su 7.368 professionisti a livello mondiale — la compromissione delle credenziali ha colpito il 67% delle organizzazioni italiane che hanno subìto attacchi nel 2025. In Europa la stessa percentuale si ferma al 25%. Tre volte tanto. Gli attacchi DDoS riguardano il 55% delle aziende italiane contro il 30% europeo. Il phishing, stabile al 55%.
Kaspersky ha analizzato 231 milioni di password compromesse tra il 2023 e il 2026: il 68% può essere violato nell'arco di una giornata. E la lunghezza non basta più — algoritmi AI riescono a compromettere oltre il 20% delle password da 15 caratteri in meno di un minuto, se seguono schemi prevedibili.
Tre azioni concrete da fare questa settimana: verificare che tutti gli account aziendali critici abbiano l'autenticazione a due fattori attiva (email, gestionale, cloud); controllare se qualche credenziale aziendale è finita in un data breach noto su haveibeenpwned.com; valutare l'adozione di un password manager condiviso per il team. Nessuna di queste richiede budget, solo 30 minuti.
Il caso Sistemi Informativi-IBM intanto si arricchisce di un elemento rilevante: la Procura Antiterrorismo di Roma ha aperto un fascicolo ipotizzando il reato di accesso abusivo a sistema informatico. IBM ha confermato che l'incidente è rimasto confinato all'ambiente di Sistemi Informativi, che i dati delle Pubbliche Amministrazioni non risultano rubati, e che l'attribuzione a Salt Typhoon non è al momento sostenuta dalle loro indagini interne.
Fonti: Genetec, Kaspersky, ANSA, Il Sole 24 Ore — 5-8 maggio 2026
🌍 Geopolitica digitale19 maggio: la data che può cambiare il costo della tecnologia in Europa
Il negoziato commerciale tra Unione Europea e Stati Uniti ha una nuova scadenza: il 19 maggio. L'accordo di Turnberry — che dovrebbe stabilizzare i rapporti tra le due sponde dell'Atlantico e bloccare nuove escalation tariffarie — è stato approvato dal Parlamento Europeo in marzo, ma non è ancora operativo. Trump ha già annunciato: se entro luglio non è in vigore, le tariffe sull'automotive europeo salgono dal 15% al 25%.
Non è una questione solo automobilistica. I dazi sono diventati lo strumento con cui Washington esercita pressione sulle normative europee in materia digitale — dalle digital services tax alle regole antitrust sulle Big Tech. In parallelo, la Corte federale americana sul commercio ha dichiarato illegali il 7 maggio i dazi globali del 10% imposti da Trump a febbraio, ma l'amministrazione può fare appello e ha già sostituito i vecchi dazi con nuove basi normative.
Perché interessa alle PMI: i dazi non colpiscono solo chi esporta direttamente. Colpiscono le catene di fornitura, il costo dei componenti importati, la competitività nei mercati internazionali. E quando le tensioni commerciali si inaspriscono, spesso arrivano misure che toccano anche il software, le licenze e i servizi cloud — come già visto con le digital services tax nel Regno Unito.
Sullo sfondo, una valutazione di Coface mette in chiaro chi paga davvero i dazi: circa l'80% del costo ricade su aziende e consumatori americani, non sugli esportatori stranieri. Ma questo non riduce la pressione politica sul negoziato europeo, che deve chiudersi prima che Washington decida di trasformarlo in un ordine esecutivo.
Fonti: Rivista AI, Sky TG24, Coface — 6-9 maggio 2026
☁️ Software e CloudOpenAI incontra le PMI italiane: l'AI non è più solo per i grandi
OpenAI e Confartigianato hanno lanciato lo SME AI Accelerator, un programma gratuito e aperto a tutte le PMI italiane per passare dalla sperimentazione a un uso concreto ed efficace dell'intelligenza artificiale. L'iniziativa è rivolta a imprese di tutti i settori e punta a colmare il gap tra chi l'AI la conosce solo per sentito dire e chi la usa ogni giorno per automatizzare processi, generare contenuti o supportare decisioni operative.
È un segnale interessante, perché arriva da un soggetto come OpenAI che ha tutto l'interesse a espandere la base di utilizzo delle proprie API. Il programma è gratuito, ma porta verso un ecosistema che ha costi ricorrenti. Non è una critica — è una precisazione utile per chi valuta.
La domanda che vale la pena porsi non è "devo usare l'AI?" ma "quale AI, con quali dati, su quale infrastruttura, con quale fornitore?" Sono domande diverse, e le risposte cambiano molto l'esposizione a rischi di lock-in, privacy e dipendenza tecnologica.
Fonte: Confartigianato — aprile 2026
🔧 Open Source e ComposableAI open source nel 2026: il gap con i modelli chiusi si è quasi chiuso
Il panorama dell'AI open source è cambiato in modo sostanziale nell'ultimo anno. Llama 4 di Meta (con finestra di contesto da 10 milioni di token), DeepSeek-R1 (costo operativo inferiore del 79% rispetto a GPT-4o per task di coding e ragionamento), Mistral Large 3 e Gemma 4 di Google hanno portato capacità un tempo riservate ai modelli proprietari dentro l'ecosistema aperto.
Per le aziende che trattano dati sensibili questo è rilevante: non c'è più una giustificazione tecnica obbligata per mandare i propri dati a server di terze parti. I modelli self-hosted permettono inferenza in locale — contratti riservati, dati di bilancio, comunicazioni strategiche restano dentro la propria infrastruttura.
Il punto normativo: con la piena applicabilità dell'AI Act prevista per agosto 2026, i sistemi AI ad alto rischio dovranno rispettare obblighi di trasparenza e auditabilità. I modelli open source — dove il codice è ispezionabile — partono in vantaggio rispetto alle "black box" proprietarie proprio su questo fronte. Chi inizia a valutare oggi ha ancora tempo per scegliere con calma.
Fonti: Kinetikon, SMsoft — aprile/maggio 2026
🔬 Dal laboratorioUn prompt su 28 inviati da ambienti aziendali agli strumenti AI contiene dati sensibili
Un dato emerso in settimana vale la pena fermarsi a leggere: a marzo 2026, uno su 28 prompt inviati da ambienti aziendali a strumenti di AI generativa presentava un alto rischio di esfiltrazione di dati sensibili. L'82% di queste operazioni avviene attraverso account personali dei dipendenti — non account aziendali gestiti, non soggetti a policy di sicurezza, non monitorati.
Il fenomeno è noto come shadow AI: i dipendenti usano ChatGPT, Gemini o Copilot con i propri account personali per fare lavoro aziendale, inconsapevoli (o indifferenti) del fatto che i dati inseriti potrebbero finire nei dataset di training o essere accessibili al provider.
Non è un problema tecnico — è un problema di cultura organizzativa. La soluzione non è vietare l'AI in azienda (inefficace e controproducente), ma dotarsi di strumenti gestiti, con policy chiare, e formare le persone su cosa può e non può essere inserito in un sistema di AI esterno.
Fonte: Security OpenLab — 7 maggio 2026
🎯 Strumento della settimanaBitwarden — Il password manager open source che le aziende possono ospitare in casa propria
Cos'è: Bitwarden è un password manager open source che permette di gestire in modo centralizzato tutte le credenziali aziendali, con accesso condiviso tra team, ruoli e permessi configurabili, e audit log completi. La versione cloud è disponibile con piano gratuito per uso personale e piani business a partire da pochi euro per utente al mese. La versione self-hosted è completamente gratuita — si installa su un proprio server e i dati non escono mai dall'infrastruttura aziendale.
Perché è rilevante questa settimana: con il 67% delle aziende italiane colpite attraverso credenziali compromesse, un password manager aziendale non è più un lusso da grandi imprese. È la risposta pratica e immediata al problema più diffuso. Bitwarden supporta l'autenticazione a due fattori, l'integrazione con directory aziendali (LDAP, Azure AD) e il monitoraggio delle password esposte in breach noti.
→ bitwarden.com — open source, auditable, self-hostable. Piano Teams da 4$/utente/mese; versione Enterprise con SSO e policy avanzate. Il codice sorgente è pubblico su GitHub.
Via Indipendenza
La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.
Un progetto promosso da airpim srl