Via Indipendenza #017 — 13 luglio 2026

Via Indipendenza

Cybersecurity · Geopolitica · Software · Open Source
#017 — Lunedì 13 luglio 2026
Editoriale della settimana

La guerra ibrida non è uno scenario. È già in corso. E passa anche dalle aziende

Il 7 luglio 2026 i Carabinieri del ROS hanno arrestato due ex agenti dell'intelligence italiana — Gavino Raoul Piras e Vincenzo Di Pasquale — con l'accusa di aver ceduto segreti militari ai servizi russi per dodici anni, attraverso incontri in parchi, bigliettini scambiati su panchine, buste con quattromila euro in contanti. Tra i segreti rivelati: l'identità di agenti operativi impegnati in controspionaggio. Il governo ha espulso due diplomatici russi. Il ministro Crosetto ha parlato di "conflitto ibrido quotidiano, una guerra latente costante per indebolire le nostre istituzioni".

Il giorno prima, il 7 luglio, la presidente della vigilanza bancaria della BCE Claudia Buch aveva firmato una lettera ai CEO delle 110 principali banche dell'eurozona: i modelli AI di frontiera sono in grado di individuare vulnerabilità e generare exploit in modo automatico, alla velocità che nessun team umano può seguire. Entro il 31 ottobre presentate un piano. Il sistema finanziario non è abbastanza protetto.

Due notizie, un unico contesto. La guerra ibrida descritta da Crosetto — fatta di spionaggio, infiltrazione e indebolimento sistematico delle istituzioni — è la stessa guerra che l'ESRB descrive in termini di rischio sistemico per il sistema finanziario. Gli strumenti cambiano: i pizzini sui bigliettini di carta, le chiavi USB, i modelli AI capaci di trovare zero-day in pochi minuti. Ma la logica è la stessa. E le aziende — PMI comprese — non sono spettatrici. Sono il terreno.

A 20 giorni dal 2 agosto, con le banche europee sotto allerta e due ex 007 agli arresti, questo numero racconta la settimana in cui la sicurezza digitale ha smesso di essere una questione IT. È una questione di sopravvivenza organizzativa. In cinque minuti.

🌍 Geopolitica digitale

Due ex 007 italiani vendevano segreti alla Russia. "Dodici anni, migliaia di informazioni, quattromila euro a busta"

L'operazione del ROS coordinata dalla Procura di Roma ha portato il 7 luglio all'arresto di Gavino Raoul Piras, 59 anni, ex sottufficiale dell'Arma ed ex appartenente all'AISI, e Vincenzo Di Pasquale, 59 anni, ex agente AISI. Secondo le accuse, Piras avrebbe alimentato una rete informativa di sei fonti — tra cui quattro militari attualmente in servizio — per raccogliere informazioni classificate (da "riservato" a "segreto") da consegnare a un diplomatico russo accreditato a Roma e coperto da immunità. In un'intercettazione captata dagli investigatori, Piras ricordava al suo interlocutore russo di aver fornito "in dodici anni migliaia di informazioni". L'8 luglio, a 24 ore dall'arresto, il governo ha espulso due addetti militari dell'ambasciata russa a Roma, identificati come i contatti operativi dei due agenti.

Tra i materiali consegnati — secondo l'ordinanza del GIP — ci sarebbero anche le identità di agenti in attività di controspionaggio, un dato di gravità eccezionale perché espone personale operativo e compromette dossier aperti. Il ministro Crosetto ha inquadrato l'episodio in termini che vale la pena leggere con attenzione: "È la punta di un iceberg gigantesco, la guerra ibrida, fatta di nemici esterni e traditori interni che sono pronti a vendere la loro Nazione per soldi o per potere". Non è retorica politica. È una descrizione operativa.

La lettura per chi gestisce un'azienda: lo spionaggio industriale non riguarda solo i servizi segreti. Le stesse tecniche — accesso privilegiato, fiducia mal riposta, piccole rivelazioni cumulate nel tempo — si applicano al furto di proprietà intellettuale, a credenziali condivise in modo improprio, a ex dipendenti con accesso residuo ai sistemi. Il vettore cambia; la logica no. In un contesto di conflitto ibrido dichiarato dal governo, la gestione delle autorizzazioni di accesso ai sistemi aziendali, la verifica delle credenziali di fornitori e collaboratori esterni, e la cultura della riservatezza interna non sono opzioni: sono misure di sicurezza nazionalmente rilevanti.

Fonti: ANSA, Sky TG24, Open Online, La Presse — 7-10 luglio 2026

🔒 Cybersecurity per chi decide

La BCE scrive a 110 CEO di banche: "I modelli AI amplificano i rischi a una velocità senza precedenti. Piano entro il 31 ottobre"

Il 7 luglio la presidente del Consiglio di vigilanza della BCE, Claudia Buch, ha firmato una lettera formale ai vertici delle 110 banche significative dell'eurozona — tra cui Intesa Sanpaolo, UniCredit, Deutsche Bank, BNP Paribas, Santander. Il testo è diretto e inusualmente esplicito: i modelli AI di frontiera "sono in grado di identificare vulnerabilità software e produrre exploit funzionanti comprimendo l'intervallo temporale tra la scoperta della falla e il suo sfruttamento in modo senza precedenti". Questo non è un rischio nuovo — è un'amplificazione strutturale dei rischi già noti. Ogni debolezza che le banche si trascinano da anni — sistemi obsoleti, aggiornamenti arretrati, fornitori poco presidiati — diventa improvvisamente più pericolosa perché "fuori" qualcosa trova quelle debolezze molto più in fretta.

La richiesta è operativa e con scadenza fissa: entro il 31 ottobre 2026, ogni banca deve presentare al proprio Joint Supervisory Team un piano con misure concrete, risorse dedicate, responsabilità assegnate e tempi definiti. Il piano dovrà dare priorità a: chiusura immediata delle vulnerabilità ancora aperte emerse dalle ispezioni 2024; monitoraggio e rilevamento potenziati anche con strumenti AI difensivi; verifica rigorosa dei fornitori terzi (perché le banche restano responsabili anche dei servizi esternalizzati); protezione prioritaria degli asset esposti a internet, incluse le componenti open source e il software di terze parti. Per liberare risorse sulle priorità, la BCE ha spostato il suo questionario annuale sui rischi IT da settembre 2026 a febbraio 2027.

In parallelo, l'ESRB — il Comitato europeo per il rischio sistemico — ha pubblicato lo stesso giorno un warning formale classificando il rischio cyber da AI come "grave" (upgrade rispetto al livello "elevato" di marzo). Ha indicato esplicitamente che la concentrazione dei principali sviluppatori AI al di fuori dell'UE crea dipendenza strategica e rischio geopolitico. Il cerchio si chiude: il 12 giugno Washington aveva spento Anthropic per le banche europee senza preavviso; il 7 luglio la BCE ha formalizzato quel rischio in una lettera ai CEO.

La lettura della BCE tradotta per le PMI: la lettera ai CEO delle banche descrive un problema che vale per qualsiasi organizzazione che dipende da sistemi digitali. Tre principi operativi che si trasferiscono direttamente:

1. Chiudere prima le debolezze note. Prima di pensare a nuove difese, risolvere quelle già emerse. Un sistema non aggiornato da sei mesi è oggi più pericoloso di quanto non fosse l'anno scorso, perché gli strumenti per sfruttarlo sono più veloci.

2. I fornitori sono responsabilità vostra. Se un vostro fornitore di software cloud viene compromesso, il danno è il vostro. Verificare che i fornitori critici abbiano patch policy documentate non è un esercizio burocratico — è l'unico modo per tenere sotto controllo il rischio supply chain.

3. La velocità di risposta alle vulnerabilità è diventata il metro della difesa. Non conta solo avere le patch — conta applicarle prima che qualcuno le sfrutti. Il tempo medio tra pubblicazione della patch e sfruttamento della vulnerabilità si è accorciato drasticamente nel 2026.

Fonti: BCE, ESRB, Agenda Digitale, Tom's Hardware, Euronews, AI4Business — 7 luglio 2026

☁️ Software e Cloud

20 giorni al 2 agosto. La checklist finale per chi non ha ancora iniziato

Il 2 agosto è il momento in cui il regime sanzionatorio dell'AI Act diventa operativo in tutta l'UE e l'ACN italiana prende servizio come autorità di vigilanza. Le sanzioni per la violazione degli obblighi di trasparenza (articolo 50) arrivano fino a 15 milioni di euro o il 3% del fatturato mondiale — e si applicano anche a chi usa AI, non solo a chi la sviluppa. Mancano 20 giorni. Per chi non ha ancora avviato la preparazione, questa è la finestra: non è troppo tardi per costruire una base di compliance dimostrabile, ma lo diventerà la prossima settimana.

La settimana scorsa vi abbiamo dato la lista delle priorità. Questa settimana aggiungiamo il contesto che cambia il modo in cui guardarla: non si tratta di evitare una multa. Si tratta di costruire documentazione che dimostri che la vostra azienda ha pensato all'AI in modo responsabile. In caso di incidente — un chatbot che ha dato informazioni sbagliate a un cliente, un sistema di supporto HR che ha influenzato una decisione di assunzione — la differenza tra un'azienda con registro AI e policy documentata e una senza è la differenza tra "abbiamo sbagliato, ma in buona fede e con procedure" e "non avevate nemmeno pensato al problema". La seconda posizione è quella che espone a sanzione.

Stato di preparazione in 4 domande — dove siete adesso?

1. Avete un elenco di tutti i sistemi AI in uso in azienda? Se la risposta è no, iniziate da qui. Meno di due ore di lavoro con i responsabili dei principali reparti.

2. I vostri chatbot o assistenti automatici si identificano come AI? Se avete un assistente virtuale sul sito o un sistema di risposta automatica, verificate che comunichi chiaramente di essere un sistema automatico prima che il 2 agosto.

3. Avete firmato un Data Processing Agreement con i provider AI che usate? Se usate versioni aziendali di ChatGPT (Teams/Enterprise), Microsoft Copilot o Google Workspace AI, il DPA è già incluso. Se usate account personali dei dipendenti, non lo è.

4. C'è una policy scritta sull'uso dell'AI in azienda? Anche una sola pagina, che dica chi può usare cosa, con quali dati e con quale supervisione, è sufficiente come punto di partenza. Senza, non avete documentazione da mostrare.

Fonti: Attrahere, UniverseIT, Cybersecurity360 — luglio 2026

🔧 Open Source e Composable

L'UE vuole più autonomia nell'AI operativa. L'85% dei sistemi gira ancora su infrastruttura extra-europea

La settimana del warning BCE ha portato in superficie un dato che circolava nei corridoi della Commissione ma non aveva ancora trovato una formulazione ufficiale così esplicita: l'Europa dipende per oltre l'80% da tecnologie di paesi extra-UE, e l'85% delle banche usa strumenti AI che girano su infrastrutture americane. L'ESRB ha scritto nero su bianco che questa concentrazione geografica dei fornitori AI crea "dipendenza strategica e rischi geopolitici" — lo stesso linguaggio usato dopo il caso Anthropic del 12 giugno.

La risposta europea si muove su due binari. Il primo è regolatorio: il Tech Sovereignty Package del 3 giugno, il Cloud and AI Development Act, gli incentivi alle AI Gigafactories europee il cui bando parte a luglio. Il secondo è open source: la Commissione ha pubblicato linee guida aggiornate sulla strategia open source per la PA, con obblighi progressivi di trasparenza sui sistemi in uso e preferenza per soluzioni con standard aperti negli appalti pubblici. Per le imprese private, il segnale è lo stesso di sempre: chi sceglie oggi soluzioni con standard aperti e portabilità dei dati si costruisce una posizione di minor dipendenza che vale — anche commercialmente — molto di più di qualsiasi risparmio immediato sui costi di licenza.

Il paradosso che nessuno dice ad alta voce: le stesse banche che la BCE sta spingendo a ridurre la dipendenza dai modelli AI americani usano infrastrutture cloud americane per il 70-80% dei loro carichi di lavoro critici. Ridurre la dipendenza dai modelli AI è necessario ma non sufficiente se il problema sottostante è strutturale. Per le PMI, la lezione è più immediata: quando scegliete un nuovo strumento cloud o AI, chiedete sempre dove girano i dati, chi controlla l'infrastruttura e cosa succede se il fornitore riceve un ordine da un governo estero. Sono le stesse domande che la BCE sta chiedendo alle banche — in scala diversa, ma con la stessa logica.

Fonti: Cybersecurity Italia, AI4Business, Commissione Europea — 8 luglio 2026

🔬 Dal laboratorio

Negli attacchi agentic AI il fattore umano resta centrale. E questo è il problema

Un paper pubblicato questa settimana su questo fronte apre una finestra interessante: anche negli attacchi ransomware più automatizzati — quelli in cui i modelli AI identificano le vulnerabilità e le sfruttano in modo autonomo — il fattore umano resta centrale. Non perché gli attaccanti commettano errori tecnici, ma perché le vittime li commettono. La catena di attacco più efficace nel 2026 non è quella che sfrutta una vulnerabilità software zero-day: è quella che combina una vulnerabilità tecnica nota (non aggiornata) con una credenziale rubata (phishing), entrambe rese disponibili da una decisione umana: non aggiornare il sistema perché "c'è poco tempo", condividere la password con un collega perché "è più comodo".

La rilevanza pratica di questo dato è controintuitiva: significa che l'automazione degli attacchi non ha ridotto l'importanza della formazione del personale — l'ha aumentata. Quando un attaccante automatizzato trova una vulnerabilità in pochi minuti e tenta di sfruttarla, l'unico sistema di difesa che può rispondere alla stessa velocità è uno che non richiede decisioni umane in tempo reale: sistemi di patch management automatico, MFA configurato in modo corretto, backup immutabile già in esecuzione. Il personale entra in gioco prima — nella configurazione — e dopo — nella risposta. Ma nel mezzo, deve stare un sistema che funziona da solo.

Fonte: Cybersecurity Italia, studio ransomware agentic AI — 8 luglio 2026

🎯 Strumento della settimana

Patch Manager Plus — Gestione automatica delle patch su tutti i sistemi aziendali, da un unico pannello

Cos'è: ManageEngine Patch Manager Plus è una piattaforma di patch management che automatizza il rilevamento, il download e l'installazione degli aggiornamenti di sicurezza su tutti i dispositivi della rete aziendale — Windows, macOS, Linux, e oltre 900 applicazioni di terze parti come Chrome, Adobe, Java e i principali software aziendali. Identifica i sistemi non aggiornati, prioritizza le patch critiche in base al punteggio CVSS delle vulnerabilità, e può installare aggiornamenti automaticamente durante le finestre di manutenzione senza interrompere il lavoro.

Perché è rilevante questa settimana: la lettera della BCE ai CEO delle banche indica come priorità assoluta la velocità di risposta alle vulnerabilità note. Il tempo tra la disponibilità di una patch e la sua applicazione è oggi il principale fattore di rischio nelle PMI italiane — come documentato nei casi Qilin, PTC Windchill e Fortinet delle scorse settimane. Un sistema di patch management automatizzato elimina la finestra di rischio tra "patch disponibile" e "patch installata". Nelle realtà senza un team IT dedicato, questa automazione non è un lusso: è la differenza tra essere vulnerabili per settimane e esserlo per ore.

manageengine.com/patch-management — versione gratuita per fino a 25 dispositivi, piano aziendale da circa 345€/anno per 50 dispositivi. Alternativa open source: Wazuh (già presentato in #012) include moduli di vulnerability management che segnalano i sistemi non aggiornati.

Nota: per le aziende che usano Microsoft 365, Windows Update for Business con Intune offre funzionalità equivalenti già incluse nel piano Microsoft 365 Business Premium — spesso attivate male o non attivate affatto.

Via Indipendenza

La newsletter settimanale per chi guida un'azienda e vuole capire la tecnologia, non subirla.

Un progetto promosso da airpim srl

viaindipendenza.com

Keep Reading