Il 16 aprile 2025, per 17 ore, il sistema globale di catalogazione delle vulnerabilità informatiche ha rischiato di fermarsi. Un problema contrattuale tra la CISA e MITRE ha portato il programma CVE (Common Vulnerabilities and Exposures) sull’orlo del collasso. Ventisette giorni dopo, il 13 maggio, l’ENISA ha risposto con una mossa storica: il lancio dell’EUVD, il primo database europeo dedicato alle vulnerabilità software. Il risultato oggi: due sistemi paralleli, oltre 265.000 voci catalogate, ma un gap di oltre 50.000 CVE non ancora coperti dalla versione europea.
Per i team di sicurezza italiani ed europei, la posta in gioco è concreta. Ogni CVE non analizzato in tempo è una finestra aperta per attaccanti che già conoscono la falla. Con l’EUVD che conta oltre 50.000 voci in meno rispetto al NIST NVD americano, la domanda diventa urgente: l’Europa può davvero gestire in autonomia la propria infrastruttura di gestione delle vulnerabilità?
17 Ore che Hanno Cambiato la Governance del CVE
La mattina del 15 aprile 2025, una lettera interna di Yosry Barsoum, vicepresidente di MITRE, è trapelata online. Il testo era diretto: il contratto tra CISA e MITRE per finanziare il programma CVE sarebbe scaduto alla mezzanotte del 16 aprile, senza un rinnovo in vista. Senza fondi, nessun nuovo CVE sarebbe stato assegnato agli utenti non accreditati come CNA (CVE Numbering Authorities).
La reazione della comunità di sicurezza globale fu immediata. Ricercatori, vendor e CERT di tutto il mondo sollevarono l’allarme: il CVE non è un database qualunque. È l’infrastruttura fondamentale su cui poggiano strumenti di scansione, sistemi SIEM, piattaforme di vulnerability management e processi di patch management in ogni organizzazione del pianeta. Senza di esso, interi workflow automatizzati si sarebbero fermati.
Dopo 17 ore di incertezza, la CISA ha annunciato un’estensione del contratto con MITRE di 11 mesi, portando la scadenza a marzo 2026. Matt Hartman, direttore generale ad interim della CISA, ha chiarito pubblicamente il 23 aprile 2025: “Non c’è stato alcun problema di finanziamento, ma piuttosto un problema amministrativo contrattuale, risolto prima che si verificasse una scadenza.”
La crisi era tecnicamente rientrata. Ma la scossa aveva già prodotto un effetto permanente: lo stesso 16 aprile, un gruppo di membri del CVE Board ha fondato la CVE Foundation, un’organizzazione no-profit indipendente pensata per sottrarre la governance del programma alla dipendenza da un singolo governo. Il costo stimato del programma CVE nell’anno precedente era di circa 40 milioni di dollari, interamente a carico del DHS americano.
La CVE Foundation: Governance Multi-Stakeholder dopo 26 Anni
Il programma CVE esiste dal 1999. Per 26 anni, il suo finanziamento è dipeso quasi interamente dal Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) e dalla CISA, con MITRE come gestore operativo. La CVE Foundation nasce per spezzare questa dipendenza strutturale.
Bruce Allor, membro del CVE Board che ha guidato la transizione, ha dichiarato: “La CVE Foundation potrebbe essere operativa entro dicembre 2025. Decine di aziende private e quattro governi non americani hanno già confermato il loro supporto.” La governance prevede un consiglio multi-stakeholder con rappresentanza da vendor, ricercatori, comunità open source e partner internazionali, strutturato in modo che nessun singolo governo possa esercitare controllo unilaterale.
Il modello di finanziamento proposto è distribuito: i contributi arrivano da grandi vendor tecnologici, organizzazioni di sicurezza e governi partner. Questa struttura è progettata per proteggere il CVE da pressioni politiche, in un contesto geopolitico dove i dati sulle vulnerabilità sono considerati informazioni di rilevanza strategica.
Il team di Checkmarx Security ha sintetizzato il significato dell’episodio con una valutazione netta: “Gli eventi dell’aprile 2025 dimostrano che la comunità non può permettersi di trattare sistemi fondamentali come il CVE come qualcosa di secondario. Sono infrastrutture strategiche.” Questa lettura rispecchia la visione di chi opera nella gestione delle vulnerabilità a livello enterprise: un’interruzione del CVE, anche di sole 48 ore, avrebbe bloccato workflow automatizzati in migliaia di organizzazioni in tutto il mondo.
ENISA Risponde: L’EUVD Lanciato il 13 Maggio 2025
Il 13 maggio 2025, meno di un mese dopo la crisi del CVE americano, l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) ha lanciato l’EU Vulnerability Database (EUVD). Il messaggio implicito era chiaro: l’Europa non può dipendere esclusivamente da infrastrutture americane per la propria sicurezza digitale. La mossa si inserisce in una strategia più ampia di autonomia digitale europea, parallela al Cyber Resilience Act e alla direttiva NIS2.
L’EUVD si presenta come un database downstream rispetto al CVE globale: raccoglie gli stessi identificatori di vulnerabilità, li arricchisce con contesto europeo specifico (classificazioni CWE, punteggi CVSS aggiuntivi, riferimenti alle direttive NIS2 e CRA) e li rende disponibili in un formato machine-readable ottimizzato per l’ecosistema regolatorio dell’Unione Europea.
Al lancio, il database contava già 264.920 voci, risultato dell’integrazione automatizzata con i dati del CVE e del NIST NVD accumulati negli anni precedenti. Nel novembre 2025, un passaggio ulteriore ha rafforzato il ruolo dell’agenzia: l’ENISA è stata elevata a CVE Program Root, il livello di autorità più alto nel sistema CVE, che le conferisce la supervisione sui CNA europei. Questa promozione trasforma l’ENISA da semplice fruitore del sistema a co-protagonista della sua governance globale.
EUVD vs NIST NVD: Il Confronto Tecnico nei Numeri
Nonostante la rapida crescita, l’EUVD presenta gap significativi rispetto al NVD americano. Patrick Garrity di VulnCheck, che ha condotto un’analisi indipendente approfondita, è stato diretto nella sua valutazione: “L’API e il sito dell’EUVD mostrano meno vulnerabilità rispetto a CVE.org e al NIST NVD, con oltre 50.000 CVE non disponibili tramite l’endpoint API principale delle vulnerabilità, anche se molti sono presenti nel sito e la maggior parte sembra accessibile tramite ricerca e query diretta.”
| Parametro | NIST NVD | ENISA EUVD | CVE.org |
|---|---|---|---|
| Voci totali (maggio 2025) | 294.484 | 264.920 (sito) | ~294.000 |
| Voci disponibili via API | 279.338 | 243.969 | N/D |
| Gap rispetto al NVD via API | N/A | +50.000 mancanti | Minimo |
| Supporto CVSS v4.0 | Parziale (v3.1 principale) | Nei record recenti | Sì |
| Classificazione CWE | Sì | Parziale | No |
| Dati CPE (prodotto affetto) | Sì | Limitato | No |
| Contesto regolatorio EU (NIS2, CRA) | No | Sì | No |
| Accesso API gratuito | Sì | Sì | Sì |
| Frequenza di aggiornamento | Alta | Media | Alta |
Il gap di 50.000 CVE nell’API dell’EUVD non è solo una questione numerica. Incide direttamente sull’efficacia dei processi automatizzati di vulnerability management. Gli strumenti che interrogano l’EUVD come fonte primaria per ottenere liste aggiornate di vulnerabilità potrebbero perdere decine di falle attivamente sfruttate, con conseguenze dirette sul rischio operativo. Per i team di sicurezza europei, la raccomandazione operativa è chiara: l’EUVD affianca il NVD, non lo sostituisce.
L’Ecosistema CVE nel 2025: 300 CNA e 294.000 Voci
Il programma CVE non è gestito da un’unica entità centralizzata. Opera attraverso una rete di oltre 300 CVE Numbering Authorities (CNA) globali, organizzazioni autorizzate ad assegnare identificatori CVE nell’ambito del proprio perimetro di competenza. Tra i CNA principali figurano MITRE, Microsoft, Red Hat, GitHub, Google, Cisco, Ubuntu e ora anche l’ENISA stessa nella sua veste di Root CVE Program.
Questo modello distribuito ha una duplice valenza. Da un lato garantisce rapidità nell’assegnazione: i vendor possono emettere CVE per le proprie vulnerabilità senza attendere l’approvazione centralizzata di MITRE, riducendo il tempo dalla scoperta alla pubblicazione dell’identificatore. Dall’altro introduce variabilità nella qualità e completezza dei record, con alcuni CNA che pubblicano schede ricche di metadati e altri che inseriscono informazioni minime.
In termini di volume, il sistema CVE assegna tra 22.000 e 25.000 nuovi identificatori all’anno. Nel 2023 ne sono stati assegnati 22.497, nel 2024 la cifra è salita a 23.812. Il totale complessivo dal 1999 a maggio 2025 supera i 294.000 record. Con l’entrata a regime del Cyber Resilience Act europeo, che impone ai produttori di software e hardware nuovi obblighi di segnalazione, il volume annuale potrebbe superare i 30.000 entro il 2027.
CVSS v4.0: Il Nuovo Standard per Misurare il Rischio
Il Common Vulnerability Scoring System versione 4.0, pubblicato da FIRST nel 2023, introduce miglioramenti significativi rispetto al CVSS v3.1 ancora dominante nella maggior parte dei database. Per i professionisti della sicurezza italiani, conoscere le differenze è rilevante perché i nuovi strumenti di compliance NIS2 e CRA iniziano ad adottare CVSS v4.0 come riferimento.
Le novità principali di CVSS v4.0 includono: una nomenclatura strutturata (CVSS-B per il punteggio base, CVSS-BT per base più temporale, CVSS-BE per base più ambientale), metriche specifiche per ambienti OT/ICS e tecnologie operative, e supporto nativo per l’automazione nei workflow di vulnerability management. Il range di punteggi rimane 0.0-10.0, ma la granularità nella distinzione tra impatto sulla riservatezza, integrità e disponibilità è aumentata.
L’adozione nel 2025 rimane parziale. L’EUVD visualizza punteggi CVSS v4.0 nei record recenti, con valori come 9.2 e 6.9 già visibili nelle schede CVE pubblicate dopo il 2024. Il NIST NVD usa ancora CVSS v3.1 come formato principale. Questo doppio standard crea discontinuità negli strumenti di vulnerability management che devono normalizzare i dati provenienti da fonti diverse: un livello di complessità tecnica che grava soprattutto sui team di sicurezza più piccoli.
Il Backlog delle Vulnerabilità: un Problema Strutturale
Il gap di 50.000 CVE nell’EUVD non nasce dal nulla. Ha radici in un problema strutturale già emerso al NIST NVD nel 2024: la crisi del backlog. Il database americano aveva rallentato in modo significativo l’arricchimento delle schede CVE con metadati critici come punteggi CVSS, CPE e classificazioni CWE, creando un accumulo di decine di migliaia di vulnerabilità prive di analisi completa.
L’EUVD ha ereditato parte di questo problema. Lanciato come aggregatore downstream, ha inglobato i dati già disponibili ma non ha potuto colmare retroattivamente le lacune del NVD. Le schede EUVD per vulnerabilità pre-2024 sono spesso incomplete: mancano i CPE (le specifiche del prodotto affetto), i link alle patch e le classificazioni CWE dettagliate. Per un team di sicurezza che cerca di automatizzare il processo di patch prioritization, questi metadati mancanti rappresentano un ostacolo concreto.
VulnCheck ha documentato il fenomeno con precisione tecnica: “L’analisi indipendente ha rilevato che l’EUVD mostra meno vulnerabilità rispetto a CVE.org o al NIST NVD, con oltre 50.000 CVE assenti dall’endpoint API principale, anche se molti sono presenti nel sito e la maggior parte risulta accessibile tramite ricerca diretta.” Questo impatto è particolarmente critico per le organizzazioni che usano l’API per alimentare piattaforme di vulnerability management in modo automatizzato.
Il Panorama dei Database: CVE, NVD, EUVD, OSV e VulnDB a Confronto
| Database | Gestore | Modello | Punti di forza | Limitazioni |
|---|---|---|---|---|
| CVE.org | MITRE / CVE Foundation | Standard globale gratuito | Identificatore universale, 300+ CNA attivi | Solo ID, nessun punteggio nativo |
| NIST NVD | NIST (USA) | Pubblico, gratuito | CVSS, CPE, CWE completi | Backlog 2024, controllo americano |
| ENISA EUVD | ENISA (UE) | Pubblico, gratuito | Contesto EU, NIS2/CRA, CVSS v4.0 | 50.000+ CVE mancanti in API |
| OSV | Google + community open source | Open source | YAML machine-first, ecosistemi OSS | Solo software open source |
| VulnDB | Checkmarx | Commerciale | Dati exploit, intelligence avanzata | A pagamento, non pubblico |
La fotografia che emerge è quella di un ecosistema frammentato dove nessun database copre tutto. CVE.org fornisce gli identificatori univoci. Il NVD aggiunge il contesto tecnico con CVSS e CPE. L’EUVD aggiunge il contesto regolatorio europeo. OSV serve l’open source. VulnDB serve l’intelligence commerciale con dati sugli exploit. I team di sicurezza maturi non scelgono una sola fonte: integrano le API da fonti multiple per ottenere una visione completa e azionabile.
Impatto sulle Aziende Italiane: NIS2, CRA e CSIRT-IT
Per il mercato italiano, la combinazione EUVD, NIS2 e CRA crea un nuovo standard de facto per la gestione delle vulnerabilità. La direttiva NIS2, in vigore dall’ottobre 2024 e recepita in Italia con il Decreto Legislativo, impone alle organizzazioni nei settori critici (energia, trasporti, bancario, sanità, infrastrutture digitali) di implementare processi strutturati di vulnerability management con tempi di risposta definiti. L’EUVD diventa il riferimento naturale per questi processi in ambito europeo.
Il Cyber Resilience Act (CRA), in fase di implementazione nel 2025-2026, aggiunge un livello ulteriore. I produttori di software e hardware con elementi digitali devono segnalare le vulnerabilità attivamente sfruttate entro 24 ore e quelle critiche entro 72 ore all’ENISA. Questo flusso di segnalazioni alimenterà direttamente l’EUVD, colmando progressivamente il gap con il NVD. Per le aziende italiane che sviluppano software, il rispetto di questi obblighi richiede processi interni di vulnerability disclosure formalizzati, spesso attraverso l’accreditamento come CNA.
Secondo il CLUSIT Report 2026, l’Italia ha registrato 507 attacchi gravi nel 2025, con il 34% classificato come di gravità critica o elevata. Una quota significativa di questi attacchi ha sfruttato vulnerabilità con CVE noti ma non patchati in tempo. Il ritardo medio tra la pubblicazione di un CVE critico e l’applicazione della patch nelle PMI italiane supera i 90 giorni, un intervallo durante il quale gli attaccanti con accesso ai database di exploit hanno piena libertà operativa.
Il CSIRT-IT, che opera sotto la supervisione dell’ACN (Agenzia per la Cybersicurezza Nazionale), beneficia direttamente dell’upgrade dell’ENISA a CVE Root. Il coordinamento tra CSIRT nazionali per le vulnerabilità che interessano infrastrutture critiche italiane passa ora attraverso una catena di autorità europea consolidata, riducendo i tempi di comunicazione e aumentando la coerenza nella risposta a livello continentale.
Cronologia: Dal Lancio del CVE all’EUVD Europeo
| Anno | Evento | Impatto sul sistema globale |
|---|---|---|
| 1999 | Lancio del programma CVE da parte di MITRE | Primo standard universale per le vulnerabilità software |
| 2005 | Introduzione del CVSS v1 da parte di FIRST | Sistema di scoring standardizzato per la gravità |
| 2011 | CVSS v2 adottato da NVD e vendor globali | Diffusione massiva nei tool commerciali di sicurezza |
| 2019 | Sistema CNA multi-livello esteso a 100+ organizzazioni | Decentralizzazione dell’assegnazione degli identificatori |
| 2023 | CVSS v4.0 pubblicato da FIRST | Supporto OT/ICS, granularità aumentata, CVSS-B/BT/BE |
| 2024 | Crisi del backlog NVD | Decine di migliaia di CVE senza metadati completi |
| 16 aprile 2025 | Contratto CISA-MITRE a rischio per 17 ore, poi esteso | CVE Foundation creata; 11 mesi garantiti fino a marzo 2026 |
| 13 maggio 2025 | ENISA lancia EUVD con 264.920 voci | Primo database europeo autonomo di vulnerabilità |
| Novembre 2025 | ENISA elevata a CVE Program Root | Supervisione dei CNA europei centralizzata in ENISA |
5 Previsioni per la Gestione CVE nel 2026-2028
L’evoluzione del sistema CVE nei prossimi due anni sarà guidata da tre forze: le tensioni geopolitiche sulla sovranità dei dati, le pressioni regolatorie europee del CRA, e l’adozione crescente di strumenti AI per la scoperta e il triage delle vulnerabilità. Queste cinque previsioni sintetizzano le traiettorie più probabili per il mercato italiano ed europeo:
- La CVE Foundation sarà pienamente operativa nel 2026, con il primo bilancio autonomo. Le decine di aziende e i quattro governi che hanno già promesso supporto forniscono i fondi necessari. Il modello multi-sponsor riduce il rischio di una nuova crisi contrattuale come quella dell’aprile 2025. ENISA e governi europei contribuiranno al pool di finanziamento.
- L’EUVD chiuderà il gap con il NVD entro il 2027. Con i nuovi obblighi di segnalazione del CRA, il flusso di dati verso l’EUVD aumenterà in modo significativo. Il gap di 50.000 CVE si ridurrà progressivamente nel corso del 2026, con parità attesa entro la fine del 2027, a condizione di investimenti tecnici nell’infrastruttura API.
- CVSS v4.0 diventerà lo standard principale entro la fine del 2026. I vendor e i CERT europei, guidati dal framework EUVD, accelereranno la migrazione da v3.1. Il NIST seguirà con un aggiornamento del NVD nella seconda metà del 2026. La pressione regolatori del CRA, che cita esplicitamente il CVSS come metrica di valutazione, sarà il driver principale.
- Il numero di CNA supererà i 400 entro il 2027. Il CRA impone ai produttori di software e hardware di segnalare e documentare le vulnerabilità nei propri prodotti, spingendo un numero crescente di aziende europee a richiedere l’accreditamento CNA tramite il canale ENISA-Root. Le PMI del settore IT potrebbero rappresentare la quota più significativa di nuovi accreditamenti.
- L’AI accelererà l’assegnazione automatica dei CVE. Strumenti LLM specializzati in security research inizieranno ad assistere l’identificazione e la classificazione automatica delle vulnerabilità, riducendo i tempi medi dalla scoperta all’assegnazione da giorni a ore. Questo non eliminerà la revisione umana, ma ridurrà il backlog strutturale che affligge il sistema da anni.
Cosa Fare Subito: Guida Operativa per i Team di Sicurezza Italiani
La moltiplicazione dei database di vulnerabilità non semplifica il lavoro dei team di sicurezza: lo complica. La risposta efficace richiede un approccio strutturato che integri le diverse fonti e le prioritizzi in base al contesto operativo dell’organizzazione.
Il primo passo è l’integrazione dell’API dell’EUVD negli strumenti di vulnerability management già in uso, affiancandola all’API del NVD senza sostituirla. Per le organizzazioni soggette a NIS2, l’uso dell’EUVD non è opzionale nel lungo termine: diventerà il riferimento normativo nelle verifiche condotte dalle autorità competenti. Scanner come Nessus o OpenVAS devono essere configurati per integrare i feed EUVD, con aggiornamenti delle configurazioni e, in alcuni casi, connettori personalizzati.
Il secondo passo è la valutazione dell’accreditamento come CNA. Le organizzazioni che sviluppano software o hardware traggono vantaggio dall’accreditamento: assegnano CVE ai propri prodotti con tempi ridotti, rafforzano la fiducia degli utenti e anticipano gli obblighi del CRA. ENISA gestisce il processo di accreditamento per le organizzazioni europee come CVE Program Root. Per le organizzazioni che segnalano vulnerabilità in prodotti di terze parti, il canale appropriato rimane il programma di vulnerability disclosure coordinato dall’ENISA.
Copertura Correlata
- EU Cybersecurity Act 2.0: 18 Settori, Multa 7%, 36 Mesi ai Fornitori Rischiosi [2026]
- CLUSIT Report 2026: 507 Attacchi in Italia, Prima in Europa
- Nessus vs OpenVAS: Scanner di Vulnerabilità, $3.990 vs Gratis [2026]
- Fortinet Report 2026: 640 Miliardi di Attacchi, Ransomware +389%
- Commissione UE: ShinyHunters Ruba 350GB, 30 Enti Colpiti [2026]
- Guida alla Sicurezza Informatica: Fondamenti e Best Practice
Domande Frequenti
Cos’è l’EUVD e come si differenzia dal CVE?
L’EUVD (EU Vulnerability Database) è il database europeo delle vulnerabilità gestito dall’ENISA, lanciato il 13 maggio 2025. Non sostituisce il CVE: usa gli stessi identificatori ma aggiunge contesto regolatorio europeo, inclusi riferimenti alle direttive NIS2 e CRA. Il CVE rimane lo standard globale universale; l’EUVD è uno strato di arricchimento specifico per l’ecosistema dell’Unione Europea.
Perché l’EUVD ha oltre 50.000 CVE in meno rispetto al NVD?
Il gap deriva da due fattori: il database è stato lanciato di recente e non ha ancora raggiunto la parità di copertura storica con il NVD, e molte voci sono presenti nel sito ma non nell’endpoint API principale. L’integrazione progressiva dei dati e i nuovi obblighi di segnalazione del Cyber Resilience Act ridurranno questo gap nel corso del 2026-2027.
Cos’è la CVE Foundation e perché è stata creata?
La CVE Foundation è un’organizzazione no-profit indipendente fondata il 16 aprile 2025 da membri del CVE Board, in risposta al rischio contrattuale tra CISA e MITRE. Il suo obiettivo è garantire che il programma CVE rimanga neutrale e non dipendente da un singolo governo. Ha ottenuto il supporto di decine di aziende private e di quattro governi non americani, con un piano di piena operatività entro il 2026.
Cosa sono i CNA e come diventare CNA in Europa?
I CNA (CVE Numbering Authorities) sono organizzazioni autorizzate ad assegnare identificatori CVE nel proprio ambito di competenza. Esistono oltre 300 CNA globali, tra cui vendor come Microsoft, Red Hat e GitHub, CERT nazionali, e ora anche l’ENISA come CVE Program Root. Le organizzazioni europee possono richiedere l’accreditamento come CNA attraverso il canale ENISA, che supervisiona i CNA dell’Unione Europea dal novembre 2025.
Cos’è CVSS v4.0 e cosa cambia rispetto a v3.1?
CVSS v4.0, pubblicato da FIRST nel 2023, introduce una nomenclatura strutturata (CVSS-B, CVSS-BT, CVSS-BE), metriche specifiche per ambienti OT/ICS e maggiore granularità nell’impatto. Nel 2025, l’EUVD lo mostra nei record recenti mentre il NVD usa ancora principalmente CVSS v3.1. La transizione completa verso CVSS v4.0 come standard dominante è attesa nel corso del 2026, trainata dalla pressione regolatoria del Cyber Resilience Act.
Le aziende italiane devono usare l’EUVD per la conformità NIS2?
La direttiva NIS2 non impone esplicitamente l’uso dell’EUVD, ma essendo il database di riferimento dell’ENISA per le vulnerabilità in ambito UE, il suo utilizzo nei processi di vulnerability management supporta la dimostrazione di conformità durante le verifiche delle autorità competenti. Per i soggetti essenziali e importanti, integrare l’EUVD affianco al NVD è la pratica raccomandata per coprire sia la completezza tecnica sia il contesto regolatorio europeo.
Quanti CVE vengono pubblicati ogni anno e qual è il totale storico?
Il programma CVE assegna tra 22.000 e 25.000 nuovi identificatori all’anno. Nel 2023 ne sono stati assegnati 22.497, nel 2024 la cifra è salita a 23.812. Il totale complessivo dalla fondazione del programma nel 1999 a maggio 2025 supera i 294.000 record, di cui 279.338 disponibili tramite l’API del NIST NVD escludendo i record rifiutati. Con l’entrata in vigore del CRA, il volume annuale potrebbe superare i 30.000 entro il 2027.
