Il 24 marzo 2026 la Commissione Europea ha scoperto un attacco informatico contro l’infrastruttura cloud che ospita Europa.eu, il portale pubblico delle istituzioni dell’Unione. Tre giorni dopo Bruxelles ha confermato la violazione, mentre il gruppo criminale ShinyHunters rivendicava il furto di circa 350 GB di dati. Per la seconda volta in pochi mesi, l’esecutivo comunitario è finito nel mirino. L’episodio non è solo un incidente di sicurezza: è la prova, plateale, di quanto la macchina amministrativa europea dipenda da infrastrutture cloud statunitensi e di quanto resti esposta proprio mentre Bruxelles predica sovranità digitale.
Questo attacco alla Commissione Europea arriva in un anno record per il cybercrimine nel continente. Il Rapporto Clusit 2026 ha contato 5.265 attacchi gravi nel mondo nel 2025, l’anno peggiore di sempre. L’Italia, con 507 incidenti gravi e una crescita del 42%, assorbe quasi un attacco su dieci a livello globale. In questo quadro, la violazione di Europa.eu diventa il caso simbolo di una stagione in cui nessuna istituzione, per quanto grande, può dirsi al sicuro.
Cosa è successo: la cronologia dell’attacco a Europa.eu
La Commissione ha individuato attività sospette il 24 marzo 2026 all’interno dell’infrastruttura cloud pubblica che alimenta la presenza web dell’istituzione sul dominio Europa.eu. Il 26 marzo l’esecutivo ha pubblicato un comunicato ufficiale (riferimento IP/26/748) confermando di aver risposto all’incidente. Il 27 marzo, dopo che gli aggressori avevano già rivendicato il furto di dati, la conferma è diventata pubblica anche attraverso la stampa internazionale.
Secondo la ricostruzione fornita da Bruxelles, l’attacco ha colpito infrastrutture cloud ospitate esternamente, non i sistemi interni della Commissione. La distinzione è cruciale dal punto di vista tecnico e politico: le reti amministrative interne, dove transitano comunicazioni riservate e dossier negoziali, sarebbero rimaste isolate. I dati sottratti riguarderebbero invece i siti pubblici e i servizi accessori ospitati sul cloud commerciale. Resta il fatto che gli investigatori hanno confermato l’esfiltrazione di informazioni dalle proprietà web colpite.
Thomas Regnier, portavoce della Commissione Europea, ha dichiarato il 27 marzo che l’istituzione aveva “contenuto l’attacco” e attivato “misure di mitigazione del rischio”, aggiungendo che le reti interne restavano sicure. È la formula classica della comunicazione di crisi: rassicurare sul perimetro critico senza minimizzare l’accaduto. Una formula che, però, lascia aperte molte domande sul volume reale dei dati persi e sulla catena di responsabilità tra Commissione e fornitore cloud.
ShinyHunters e i 350 GB rivendicati
La rivendicazione porta la firma di ShinyHunters, uno dei collettivi di estorsione più prolifici degli ultimi anni, già associato a numerose violazioni di grandi aziende e piattaforme cloud. Il gruppo ha sostenuto di aver compromesso circa 350 GB di dati, tra cui contenuti di mail server, database, documenti riservati e contratti riconducibili alla Commissione. Le prime analisi indipendenti hanno parlato di possibili directory di utenti SSO (Single Sign-On) tra i dati esposti, un dettaglio che, se confermato, amplierebbe la superficie di rischio ben oltre i singoli siti pubblici.
Va detto con chiarezza: 350 GB è la cifra rivendicata dagli aggressori, non un dato verificato in via ufficiale dalla Commissione. Nel cybercrimine le rivendicazioni servono a costruire pressione negoziale e tendono a gonfiare i numeri. Le indagini interne, nelle settimane successive, hanno lavorato per delimitare il volume effettivamente esfiltrato, che resta inferiore e più incerto rispetto al totale annunciato. La cautela è d’obbligo, ma anche una frazione di 350 GB di documenti e contratti istituzionali rappresenta un patrimonio informativo di valore strategico.
Il modus operandi è coerente con la nuova economia dell’estorsione dati. Non sempre c’è cifratura ransomware: spesso basta rubare archivi sensibili e minacciarne la pubblicazione. È lo stesso schema che ha colpito decine di organizzazioni nel 2025, lo stesso che ritroviamo in altre violazioni di dati di grande scala. Il bersaglio non è più solo l’azienda privata: le istituzioni pubbliche, con i loro archivi e la loro esposizione mediatica, sono diventate prede di prima fascia.
Non è la prima volta nel 2026: la seconda violazione dell’anno
L’aspetto più scomodo per Bruxelles è che l’attacco di marzo è il secondo incidente di sicurezza confermato dalla Commissione nello stesso anno. A gennaio 2026 era stata colpita la piattaforma di gestione dei dispositivi mobili (MDM, Mobile Device Management) dell’istituzione, un sistema che governa smartphone e tablet del personale. Due violazioni in tre mesi, su componenti diverse, raccontano un problema sistemico più che un evento isolato.
La ripetizione cambia la lettura politica del caso. Un singolo attacco si può derubricare a fatalità; due in pochi mesi spostano l’attenzione sulla postura difensiva complessiva. La Commissione gestisce un ecosistema digitale enorme, frammentato tra direzioni generali, agenzie e fornitori esterni. Ogni nodo di questa rete è una potenziale porta d’ingresso. Quando il perimetro è così esteso e dato in outsourcing, la probabilità di un anello debole cresce in modo non lineare.
Il tema della catena di fornitura è centrale. Le prime analisi sull’incidente di marzo hanno ipotizzato un vettore legato a componenti software e accessi fidati lungo la supply chain, un meccanismo che permette di aggirare i controlli sfruttando relazioni di fiducia preesistenti. È lo stesso schema che ha reso devastanti episodi come l’attacco Ivanti, dove una vulnerabilità in un prodotto diffuso ha aperto le porte a centinaia di organizzazioni a valle.
La dipendenza dal cloud USA: il nodo della sovranità digitale
Il punto che ha trasformato un incidente tecnico in un caso politico è la natura dell’infrastruttura colpita. I siti pubblici di Europa.eu poggiano su cloud commerciale gestito da hyperscaler statunitensi. La Commissione ha precisato che i servizi del fornitore non sarebbero stati compromessi alla radice, ma il messaggio che è arrivato all’opinione pubblica è un altro: il portale ufficiale dell’Unione Europea dipende da infrastrutture extra-europee, e quando qualcosa va storto Bruxelles è esposta come qualsiasi altro cliente.
Il paradosso è evidente. Da anni l’Unione finanzia programmi per la sovranità digitale, dal progetto Gaia-X agli incentivi per cloud europei, proprio per ridurre la dipendenza da Amazon Web Services, Microsoft Azure e Google Cloud. Eppure la maggior parte dei carichi di lavoro critici, in Europa, gira ancora su queste tre piattaforme americane. La violazione di marzo ha reso tangibile un rischio finora discusso solo nei convegni: la concentrazione del cloud è anche concentrazione del rischio.
La questione non è la sicurezza tecnica degli hyperscaler, che investono in protezione cifre superiori a quelle di interi Stati. Il problema è giurisdizionale e strategico. Dati istituzionali europei ospitati su infrastrutture soggette a legislazioni extra-UE pongono interrogativi su accesso, confisca e continuità del servizio in scenari di tensione geopolitica. L’attacco a Europa.eu ha dato a questi interrogativi un volto concreto e una data precisa.
La risposta di Bruxelles: il nuovo Cybersecurity Act
La reazione politica era già in moto prima di marzo. A gennaio 2026 la Commissione, attraverso Henna Virkkunen, commissaria europea con delega alla sicurezza informatica, aveva proposto un nuovo Cybersecurity Act per rafforzare la resilienza dell’Unione. La proposta punta a potenziare il ruolo dell’ENISA, l’agenzia europea per la cybersicurezza, e a costruire un quadro di certificazione unificato per i prodotti e i servizi ICT venduti nel mercato comune.
Juhan Lepassaar, direttore esecutivo dell’ENISA, ha collegato esplicitamente l’incidente di marzo alla necessità del nuovo schema di certificazione. La sua posizione, espressa nelle settimane successive all’attacco, è che le vulnerabilità lungo la catena di fornitura restano il tallone d’Achille della difesa europea e che senza standard comuni e verificabili ogni fornitore diventa un punto cieco. È un’analisi che sposta il baricentro dalla difesa del singolo perimetro alla governance dell’intero ecosistema.
Il pacchetto normativo europeo non si esaurisce qui. Il Cyber Solidarity Act, pensato per creare un sistema di allerta rapida e meccanismi di mutua assistenza tra Stati membri, e la direttiva NIS2 completano l’impianto. In Italia la NIS2 è stata recepita con il Decreto Legislativo 138/2024, che amplia drasticamente la platea dei soggetti obbligati a misure di sicurezza e notifica degli incidenti. Chi vuole capire gli obblighi concreti per le imprese italiane trova un quadro dettagliato nella nostra analisi sulla direttiva NIS2 in Italia.
I numeri del cybercrimine europeo nel 2025-2026
L’attacco a Europa.eu non è un’anomalia, ma la punta di un iceberg ben misurato. Nel primo trimestre del 2026 gli attacchi di cybercrimine lanciati dall’Europa hanno superato i 50 milioni, circa il doppio del volume proveniente dagli Stati Uniti nello stesso periodo. Il continente è diventato contemporaneamente bersaglio e piattaforma di lancio di attività offensive su scala industriale.
Il Rapporto Clusit 2026 fotografa la dimensione del fenomeno. Nel 2025 sono stati censiti 5.265 attacchi gravi a livello globale, con una crescita a doppia cifra rispetto al 2024. L’Italia ne ha assorbiti 507, in aumento del 42%, pari al 9,6% del totale mondiale. Nel quinquennio 2021-2025 il Paese ha registrato 1.432 attacchi gravi, di cui oltre un terzo concentrati nel solo 2025. È la prova che la curva non sta rallentando, anzi accelera.
La tabella seguente riassume le metriche chiave del panorama europeo e italiano emerse dalle principali fonti del 2025-2026.
| Metrica | Valore 2025-2026 | Fonte |
|---|---|---|
| Attacchi gravi nel mondo (2025) | 5.265 | Rapporto Clusit 2026 |
| Attacchi gravi in Italia (2025) | 507 (+42%) | Rapporto Clusit 2026 |
| Quota italiana sul totale globale | 9,6% | Rapporto Clusit 2026 |
| Attacchi gravi in Italia (2021-2025) | 1.432 | Rapporto Clusit 2026 |
| Casi ransomware in Italia (2025) | 166 (+14%) | TIM Cyber Security Report 2026 |
| Crescita ransomware globale (2025) | +42% | TIM Cyber Security Report 2026 |
| Attacchi cybercrime dall’Europa (Q1 2026) | oltre 50 milioni | Dark Reading / dati di settore |
| Eventi cyber contro la PA italiana | 46% del totale imprese/istituzioni | TIM Cyber Security Report 2026 |
Il dato sul settore pubblico è quello che più si lega all’attacco di Bruxelles. Secondo il Cyber Security Report 2026 di TIM e della Cyber Security Foundation, il 46% degli eventi cyber che colpiscono imprese e istituzioni in Italia ha preso di mira il settore governativo. Oltre la metà dell’attività di sfruttamento attribuita risulta riconducibile ad attori statuali o para-statuali. La pubblica amministrazione, in Europa, è il bersaglio numero uno.
Quanto costa una violazione: il conto economico
La dimensione economica aiuta a inquadrare la posta in gioco. Il Cost of a Data Breach Report 2025 di IBM ha fissato il costo medio globale di una violazione a 4,44 milioni di dollari, in calo del 9% rispetto ai 4,88 milioni del 2024, primo arretramento dopo cinque anni di crescita. Negli Stati Uniti, però, il costo medio è salito al massimo storico di 10,22 milioni di dollari. La discesa globale è merito di rilevamento e contenimento più rapidi, sostenuti anche dall’automazione e dall’intelligenza artificiale difensiva.
Per un’istituzione pubblica il conto non si misura solo in euro. Si misura in fiducia erosa, in dossier riservati potenzialmente esposti, in leva negoziale persa nei tavoli internazionali. Una violazione che tocca contratti e comunicazioni della Commissione ha un costo reputazionale e strategico difficile da quantificare ma reale. È il motivo per cui l’attacco di marzo, pur non avendo toccato le reti interne critiche, pesa più di molte violazioni aziendali di pari volume.
La tabella che segue confronta i parametri economici e operativi tra il settore privato e quello pubblico-istituzionale, mostrando perché gli attacchi alle istituzioni richiedono una metrica diversa.
| Parametro | Settore privato | Settore pubblico/istituzionale |
|---|---|---|
| Costo medio violazione (2025) | 4,44 mln USD (media globale IBM) | difficile da quantificare, alto impatto reputazionale |
| Movente prevalente | profitto economico | estorsione, spionaggio, attribuzione statuale |
| Dato più esposto | credenziali, dati clienti | documenti riservati, contratti, directory SSO |
| Conseguenza principale | perdita finanziaria diretta | danno strategico e geopolitico |
| Pressione mediatica | medio-alta | molto alta |
| Quadro normativo applicabile | GDPR, NIS2 | NIS2, regole istituzionali UE, Cyber Solidarity Act |
Confronto con gli altri attacchi alle istituzioni europee
L’attacco a Europa.eu si inserisce in una serie ormai fitta di colpi contro l’infrastruttura digitale europea. A febbraio 2026 diversi portali governativi di Stati membri sono finiti sotto campagne DDoS, attribuite ad attori hacktivisti opportunisti più che a una singola APT statuale, tanto da spingere l’Unione ad attivare i propri team di reazione rapida. Sempre nel 2025-2026 il continente ha visto colpi mirati a settori critici, dal trasporto aereo alla logistica.
Il parallelo più diretto è con gli attacchi alle infrastrutture di trasporto. La paralisi che ha colpito alcuni scali continentali, documentata nel nostro approfondimento sul ransomware agli aeroporti europei, ha mostrato la stessa logica: un fornitore di servizi condiviso compromesso, e l’onda d’urto che si propaga a decine di organizzazioni a valle. Cambia il settore, non lo schema. La supply chain è il moltiplicatore comune.
C’è poi la componente di minaccia statuale. Gruppi come APT28, legati all’intelligence russa, hanno continuato nel 2025-2026 a colpire obiettivi governativi europei sfruttando vulnerabilità di prodotti diffusi, come ricostruito nell’analisi di Operation Neusploit. A marzo 2026 l’Unione ha sanzionato entità cinesi e iraniane, oltre a due individui, per attacchi contro Stati membri. Per l’incidente specifico di Europa.eu, però, l’attribuzione resta indirizzata verso il cybercrimine a scopo estorsivo più che verso una APT statuale, segno di quanto i confini tra criminalità organizzata e operazioni geopolitiche siano sempre più sfumati.
Il contesto storico: dieci anni di attacchi alle istituzioni UE
Le istituzioni europee non sono nuove al fuoco cyber. Negli ultimi anni Parlamento, Consiglio, agenzie e organismi tecnici hanno subito intrusioni, campagne di spionaggio e attacchi DDoS con frequenza crescente. Quello che è cambiato è la natura dei bersagli: dalle reti interne, storicamente l’obiettivo dello spionaggio classico, si è passati alle infrastrutture cloud pubbliche, dove i dati sono più accessibili e l’estorsione più immediata.
Il salto è anche di scala. Fino a pochi anni fa un attacco a un’istituzione comunitaria era un evento eccezionale; oggi è parte di un flusso continuo. L’ENISA, nel suo panorama delle minacce, ha documentato per il 2025 migliaia di incidenti significativi a livello europeo, con l’hacktivismo come componente in forte crescita accanto al cybercrimine tradizionale. Chi vuole il quadro completo lo trova nella nostra sintesi dell’ENISA Threat Landscape 2025.
La traiettoria storica spiega l’urgenza normativa. NIS, poi NIS2, poi il Cybersecurity Act, poi il Cyber Solidarity Act: ogni nuovo strumento risponde a una lezione appresa sul campo. L’attacco di marzo 2026 sarà ricordato come il caso che ha trasformato la sovranità cloud da slogan a priorità operativa, perché ha colpito non un’azienda qualsiasi, ma il volto digitale stesso dell’Unione.
L’impatto sul mercato della cybersicurezza europea
Ogni grande incidente istituzionale muove il mercato. La violazione di Europa.eu rafforza la domanda di servizi di sicurezza cloud, di soluzioni di gestione delle identità e di strumenti per la difesa della catena di fornitura software. I fornitori europei di cybersicurezza, da anni in cerca di spazio contro i giganti americani, trovano in questo caso un argomento di vendita potente: la sovranità non è un valore astratto, è una richiesta concreta di clienti pubblici e privati.
Cresce anche la spesa difensiva nel settore pubblico. La pubblica amministrazione europea, a lungo sottofinanziata sul fronte cyber, si trova ora sotto pressione politica per adeguare difese e personale. Il problema è strutturale: in Italia, secondo le stime emerse dal dibattito sul Rapporto Clusit, l’investimento in sicurezza informatica resta una frazione minima del PIL, sproporzionata rispetto al volume di attacchi subiti. Il divario tra minaccia e budget è il vero tallone d’Achille.
Sul fronte degli hyperscaler, l’incidente accelera la corsa alle offerte di cloud sovrano. AWS, Azure e Google Cloud hanno già lanciato in Europa configurazioni dedicate, con dati e operazioni confinati nel territorio UE e gestione affidata a personale europeo. La domanda, dopo marzo 2026, è se queste soluzioni basteranno a placare la richiesta di indipendenza o se la spinta politica imporrà alternative realmente europee. La risposta deciderà miliardi di euro di spesa nei prossimi anni.
La voce degli esperti
Il coro di analisi attorno all’incidente converge su un punto: il problema non è il singolo bug, ma la governance dell’ecosistema. Thomas Regnier, per la Commissione, ha tenuto la linea del contenimento, ribadendo che “le reti interne restano sicure” e che le misure di mitigazione sono state attivate tempestivamente. Una posizione difensiva, attenta a separare il danno pubblico dal cuore riservato dell’istituzione.
Juhan Lepassaar, alla guida dell’ENISA, ha spostato il discorso sul piano sistemico, indicando nella vulnerabilità della catena di fornitura la lezione centrale dell’attacco e nella certificazione comune europea la risposta strutturale. È la stessa logica che anima la commissaria Henna Virkkunen, promotrice del nuovo Cybersecurity Act: senza standard verificabili e senza un’ENISA più forte, ogni fornitore resta una scatola nera e ogni scatola nera è un rischio.
Dal versante italiano, l’osservatorio Clusit, di cui Gabriele Faggioli è figura di riferimento, da tempo segnala come il settore pubblico sia diventato il bersaglio preferito, con l’hacktivismo in crescita accanto al cybercrimine a scopo di profitto. La lettura è coerente: l’attacco a Europa.eu non è un fulmine a ciel sereno, ma il prodotto atteso di una tendenza misurata da anni. Gli esperti concordano che la sorpresa non è l’attacco in sé, ma la persistenza dell’esposizione nonostante gli allarmi ripetuti.
Cinque previsioni per la cybersicurezza europea
Sulla base dei dati e delle dinamiche in corso, ecco cinque scenari plausibili per i prossimi 12-18 mesi.
- Accelerazione del cloud sovrano. La pressione politica seguita all’attacco spingerà nuove gare pubbliche con requisiti stringenti di residenza e giurisdizione dei dati. Gli hyperscaler risponderanno ampliando le offerte sovrane europee, ma cresceranno anche le commesse per provider continentali.
- Più obblighi sulla catena di fornitura. Il nuovo Cybersecurity Act e l’applicazione della NIS2 imporranno verifiche e certificazioni a cascata sui fornitori. Le aziende che vendono software e servizi alla PA dovranno dimostrare la sicurezza dell’intera filiera, non solo del proprio prodotto.
- Estorsione dati senza ransomware in crescita. Il furto e la minaccia di pubblicazione, senza cifratura, diventeranno il modello dominante contro le istituzioni, perché più rapidi da eseguire e altrettanto efficaci nella leva negoziale.
- Convergenza tra cybercrimine e attori statuali. I confini tra gruppi criminali e operazioni geopolitiche continueranno a sfumare, rendendo l’attribuzione più difficile e le risposte sanzionatorie più frequenti ma meno mirate.
- Crescita degli investimenti pubblici, ma con ritardo. I budget cyber della PA europea aumenteranno, sospinti dagli incidenti, ma resteranno indietro rispetto alla curva degli attacchi. Il divario tra minaccia e difesa si ridurrà solo lentamente.
Cosa possono imparare imprese e PA
L’attacco a Europa.eu offre lezioni che valgono ben oltre Bruxelles. La prima è la segmentazione: il fatto che le reti interne della Commissione siano rimaste isolate dimostra il valore di separare nettamente i sistemi pubblici da quelli critici. Un’architettura a comparti stagni limita il raggio del danno quando, non se, un perimetro cede.
La seconda è la gestione della catena di fornitura. Affidarsi a cloud e software di terzi è inevitabile, ma richiede inventario, monitoraggio e clausole contrattuali che definiscano responsabilità e tempi di risposta. La terza è la trasparenza: la Commissione ha comunicato in pochi giorni, una scelta che, pur con tutti i limiti, ha contenuto il danno reputazionale. Nascondere un incidente, oggi, costa più che ammetterlo.
Per le aziende italiane il messaggio è diretto. Con la NIS2 in vigore, la notifica degli incidenti e la sicurezza della filiera non sono più buone pratiche facoltative, ma obblighi di legge. L’episodio di Bruxelles, letto accanto al caso italiano del ransomware in Italia secondo Clusit, mostra che il rischio è trasversale: nessun settore, nessuna dimensione aziendale, nessuna istituzione ne è immune.
Domande frequenti
Quando è avvenuto l’attacco alla Commissione Europea?
La Commissione Europea ha scoperto l’attacco il 24 marzo 2026 e lo ha confermato pubblicamente nei giorni successivi, con un comunicato ufficiale del 26 marzo e conferme alla stampa il 27 marzo 2026.
Quali dati sono stati rubati?
Il gruppo ShinyHunters ha rivendicato circa 350 GB di dati, tra cui contenuti di mail server, database, documenti riservati e contratti. È una cifra dichiarata dagli aggressori, non confermata ufficialmente dalla Commissione. I dati provengono dalle infrastrutture cloud pubbliche, non dalle reti interne.
Chi c’è dietro l’attacco?
La rivendicazione è del collettivo di estorsione ShinyHunters. L’attribuzione punta al cybercrimine a scopo economico più che a una APT statuale, anche se i confini tra criminalità e operazioni geopolitiche sono sempre più sfumati.
Le reti interne della Commissione sono state compromesse?
Secondo Bruxelles, no. L’attacco ha colpito l’infrastruttura cloud pubblica che ospita Europa.eu, mentre le reti interne, dove transitano comunicazioni riservate, sarebbero rimaste sicure e isolate.
Perché si parla di sovranità digitale?
Perché il portale ufficiale dell’Unione poggia su cloud commerciale gestito da hyperscaler statunitensi. L’incidente ha riacceso il dibattito sulla dipendenza europea da infrastrutture extra-UE e sulla necessità di alternative sovrane.
Quanto costa in media una violazione di dati nel 2025?
Secondo il Cost of a Data Breach Report 2025 di IBM, il costo medio globale è di 4,44 milioni di dollari, in calo del 9% rispetto al 2024. Negli Stati Uniti il costo medio sale al record di 10,22 milioni di dollari.
Cosa cambia con il nuovo Cybersecurity Act europeo?
La proposta di gennaio 2026 mira a rafforzare l’ENISA e a introdurre un quadro di certificazione unificato per prodotti e servizi ICT nell’UE, con l’obiettivo di mettere in sicurezza la catena di fornitura, indicata come il punto debole emerso dall’attacco di marzo.
Come si proteggono le aziende italiane?
Con la NIS2, recepita in Italia dal Decreto Legislativo 138/2024, le imprese obbligate devono adottare misure di sicurezza, notificare gli incidenti e gestire la sicurezza della catena di fornitura. Segmentazione delle reti, inventario dei fornitori e piani di risposta agli incidenti sono le priorità operative.
Approfondimenti correlati
- ENISA Threat Landscape 2025: 4.900 incidenti e 80% hacktivismo
- NIS2 in Italia: multe fino a 10 milioni e solo il 3,9% pronto
- Ransomware in Italia: 166 casi e 507 attacchi gravi
- Attacco Ivanti: 600 IP colpiti e CVSS 9.8
- Ransomware agli aeroporti europei: voli e dati a rischio
- Operation Neusploit: APT28 e la vulnerabilità Office
- Violazioni di dati: come avvengono e come proteggersi
- Sicurezza online: la guida completa
