{"id":317,"date":"2026-06-22T04:00:00","date_gmt":"2026-06-22T04:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/?p=317"},"modified":"2026-06-22T08:36:12","modified_gmt":"2026-06-22T08:36:12","slug":"commissione-europea-shinyhunters-350gb-breach-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/22\/commissione-europea-shinyhunters-350gb-breach-2026\/","title":{"rendered":"Commissione UE: ShinyHunters Ruba 350GB, 30 Enti Colpiti [2026]"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Il 24 marzo 2026, il Cybersecurity Operations Centre della Commissione Europea ha rilevato qualcosa di anomalo: richieste API sospette verso Amazon Web Services, un picco insolito nel traffico di rete e segnali di compromissione di un account cloud. In meno di 24 ore la notizia era pubblica. ShinyHunters, il gruppo cybercriminale responsabile di alcune delle pi\u00f9 grandi violazioni di dati degli ultimi anni, rivendicava il furto di oltre <strong>350 GB di dati riservati<\/strong> dall&#8217;infrastruttura cloud che ospita la piattaforma web Europa.eu. Almeno <strong>30 enti dell&#8217;Unione Europea<\/strong> risultavano potenzialmente coinvolti.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Era il secondo attacco in meno di due mesi alle istituzioni europee. A febbraio 2026 la Commissione aveva gi\u00e0 subito una violazione tramite una zero-day nel sistema di gestione dei dispositivi mobili Ivanti EPMM. Adesso, con un accesso all&#8217;account AWS compromesso attraverso la supply chain del tool di sicurezza Trivy, ShinyHunters aveva raggiunto qualcosa di molto pi\u00f9 grande.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"il-colpo-del-24-marzo-come-la-commissione-europea-e-stata-violata\">Il Colpo del 24 Marzo: Come la Commissione Europea \u00e8 Stata Violata<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;attacco \u00e8 avvenuto con una precisione che lascia pochi dubbi sulla premeditazione. Secondo la ricostruzione pubblicata da CERT-EU il 3 aprile 2026, il vettore di accesso iniziale \u00e8 stato una <strong>compromissione della supply chain di Trivy<\/strong>, il popolare scanner open source per la sicurezza dei container e delle immagini Docker. Il gruppo noto come TeamPCP, gi\u00e0 responsabile del furto di 3.800 repository GitHub in 18 minuti, aveva inserito codice malevolo nel processo di distribuzione di Trivy, ottenendo accesso privilegiato agli ambienti cloud che lo utilizzavano.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;account AWS compromesso era parte dell&#8217;infrastruttura tecnica che gestisce i siti web della Commissione Europea. Una volta dentro, gli attaccanti hanno avuto accesso a dati che normalmente sarebbero stati protetti da rigide politiche di accesso: dump dei server di posta elettronica, database interni, documenti riservati, contratti e materiale sensibile. Il Cybersecurity Operations Centre della Commissione ha ricevuto gli alert il 24 marzo stesso, rilevando potenziale uso improprio delle API Amazon, possibile compromissione di account e un aumento anomalo del traffico di rete.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione ha scoperto l&#8217;intrusione il 24 marzo. CERT-EU \u00e8 stato informato il 25 marzo. Il 27 marzo la Commissione ha pubblicato una dichiarazione ufficiale. Il 28 marzo i dati sono stati messi a disposizione sul dark web da ShinyHunters. In totale, dall&#8217;accesso iniziale alla pubblicazione pubblica dei dati, sono trascorsi <strong>meno di cinque giorni<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"i-dati-rubati-cosa-contengono-i-350gb-rivendicati-da-shinyhunters\">I Dati Rubati: Cosa Contengono i 350GB Rivendicati da ShinyHunters<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione Europea ha confermato che dati sono stati sottratti, ma non ha dettagliato pubblicamente il contenuto. ShinyHunters ha pubblicato screenshot che mostrano l&#8217;accesso a un volume di materiale eccezionalmente sensibile. I ricercatori di International Cyber Digest, che hanno analizzato il materiale trapelato, hanno identificato le seguenti categorie di dati:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Dump dei server di posta elettronica con messaggi e metadati delle comunicazioni<\/li>\n<li>Database interni di vari siti web di Europa.eu<\/li>\n<li>Documenti riservati, contratti e materiale classificato<\/li>\n<li>Informazioni personali (PII) dei dipendenti: nomi, indirizzi email, contenuto delle comunicazioni<\/li>\n<li>Chiavi DKIM per la firma dei messaggi email, potenzialmente usabili per campagne di spoofing<\/li>\n<li>URL di amministrazione interna e credenziali di accesso<\/li>\n<li>Dati dalla piattaforma di collaborazione NextCloud<\/li>\n<li>Dati del meccanismo di finanziamento militare Athena<\/li>\n<li>Possibile directory SSO (Single Sign-On) completa degli utenti istituzionali<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Il volume dichiarato da ShinyHunters \u00e8 di <strong>350 GB non compressi<\/strong>. CERT-EU ha stimato in modo indipendente un volume di <strong>circa 91,7 GB compressi<\/strong> esfiltrati dall&#8217;account AWS compromesso. La differenza riflette la compressione e il fatto che non tutti i dati rivendicati corrispondano necessariamente al singolo account violato.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Particolarmente preoccupante \u00e8 la presenza delle chiavi DKIM. Queste chiavi permettono di firmare email in modo che sembrino provenire autenticamente dal dominio della Commissione Europea. In mani criminali, potrebbero essere usate per campagne di phishing estremamente convincenti rivolte a funzionari governativi, ministeri e aziende che interagiscono con le istituzioni UE in tutta Europa.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8220;Una violazione delle chiavi DKIM di un&#8217;istituzione al livello della Commissione Europea rappresenta una minaccia che va ben oltre i dati esfiltrati. Chi le possiede pu\u00f2 falsificare email che superano tutti i filtri anti-spam, compromettendo catene di comunicazione diplomatica e operativa con impatti misurabili per mesi.&#8221;<\/p>\n<cite>Lukasz Olejnik, ricercatore indipendente di cybersecurity e consulente per istituzioni internazionali<\/cite>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"teampcp-e-la-compromissione-della-supply-chain-di-trivy\">TeamPCP e la Compromissione della Supply Chain di Trivy<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Il vettore di accesso iniziale, secondo la valutazione ad alta confidenza di CERT-EU, porta a TeamPCP attraverso una compromissione della supply chain dello strumento open source Trivy, sviluppato da Aqua Security e ampiamente utilizzato per la scansione delle vulnerabilit\u00e0 nei container Docker e nelle immagini Kubernetes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Gli attacchi alla supply chain del software sono diventati una delle categorie di minaccia pi\u00f9 insidiose perch\u00e9 sfruttano la fiducia implicita negli strumenti di sviluppo e sicurezza. Quando un&#8217;organizzazione integra Trivy nella propria pipeline CI\/CD, presuppone che il tool sia sicuro. Se il meccanismo di distribuzione di Trivy viene compromesso, ogni ambiente che lo utilizza diventa potenzialmente vulnerabile.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nel caso della Commissione Europea, il risultato \u00e8 stato l&#8217;accesso all&#8217;account Amazon Web Services che gestiva i siti web pubblici di Europa.eu. AWS ha chiarito che la propria infrastruttura non \u00e8 stata compromessa: la vulnerabilit\u00e0 era nelle credenziali e nella configurazione dell&#8217;account cliente della Commissione, non nella piattaforma cloud stessa. L&#8217;account compromesso era parte dell&#8217;infrastruttura tecnica che alimenta i siti web istituzionali della Commissione, e la sua portata di accesso era significativamente pi\u00f9 ampia di quanto un account puramente destinato all&#8217;hosting web avrebbe dovuto avere.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8220;Gli attacchi alla supply chain di strumenti open source di sicurezza sono particolarmente pericolosi perch\u00e9 colpiscono esattamente le organizzazioni che si preoccupano della sicurezza. \u00c8 una trappola ironica: uno scanner di vulnerabilit\u00e0 diventa il vettore di una violazione massiva.&#8221;<\/p>\n<cite>Hossein Jazi, senior threat researcher specializzato in supply chain attacks<\/cite>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"30-enti-ue-coinvolti-leffetto-a-cascata-sullecosistema-istituzionale\">30 Enti UE Coinvolti: L&#8217;Effetto a Cascata sull&#8217;Ecosistema Istituzionale<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;aspetto pi\u00f9 allarmante dell&#8217;attacco non riguarda solo la Commissione Europea in s\u00e9, ma l&#8217;estensione del danno all&#8217;intero ecosistema istituzionale dell&#8217;Unione. CERT-EU ha valutato che i dati pertinenti ad <strong>almeno 29 altri enti dell&#8217;Unione<\/strong> potrebbero essere stati compromessi attraverso la violazione dell&#8217;account AWS della Commissione.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione ha avviato la notifica degli enti potenzialmente coinvolti senza divulgare pubblicamente i nomi. Secondo quanto riportato da <a href=\"https:\/\/www.helpnetsecurity.com\/2026\/03\/30\/european-commission-cyberattack-cloud-infrastructure-website\/\" rel=\"noopener noreferrer\" target=\"_blank\">Help Net Security<\/a> e da <a href=\"https:\/\/securityaffairs.com\/190067\/data-breach\/the-european-commission-confirmed-a-cyberattack-affecting-part-of-its-cloud-systems.html\" rel=\"noopener noreferrer\" target=\"_blank\">Security Affairs<\/a>, la Commissione aveva reso noto che anche i siti web sono rimasti operativi durante e dopo l&#8217;incidente. La natura di questi enti, tuttavia, si pu\u00f2 dedurre dalla tipologia di dati che transitano per l&#8217;infrastruttura di Europa.eu: agenzie regolatrici, istituzioni finanziarie europee, organi giudiziari, autorit\u00e0 di protezione dei dati, strutture di sicurezza e difesa. Fonti secondarie hanno suggerito che anche ENISA, l&#8217;agenzia europea per la cybersicurezza, potrebbe essere tra i soggetti coinvolti, ma questa ipotesi non ha ottenuto conferma ufficiale.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La portata reale dell&#8217;incidente rimane in parte opaca. La Commissione ha dichiarato che l&#8217;indagine \u00e8 ancora in corso e che continuer\u00e0 a monitorare la situazione. Questo linguaggio cauto suggerisce che la valutazione dell&#8217;impatto completo richieder\u00e0 settimane, se non mesi.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Data<\/th><th>Evento<\/th><th>Soggetti Coinvolti<\/th><th>Impatto Accertato<\/th><\/tr><\/thead><tbody><tr><td>Febbraio 2026<\/td><td>Zero-day Ivanti EPMM<\/td><td>Commissione Europea, Autorit\u00e0 olandesi (Garante e Consiglio giudiziario)<\/td><td>Sistema MDM compromesso; contenuto in 9 ore; nomi, email e telefoni del personale esposti<\/td><\/tr><tr><td>24 marzo 2026<\/td><td>Compromissione account AWS via Trivy (TeamPCP)<\/td><td>Commissione Europea<\/td><td>350 GB rivendicati; 91,7 GB compressi confermati da CERT-EU; 30 enti EU coinvolti<\/td><\/tr><tr><td>25 marzo 2026<\/td><td>Notifica CERT-EU<\/td><td>Commissione Europea<\/td><td>Avvio risposta coordinata cross-istituzionale<\/td><\/tr><tr><td>27 marzo 2026<\/td><td>Dichiarazione pubblica della Commissione<\/td><td>Commissione Europea<\/td><td>Conferma violazione; sistemi interni non impattati; nessuna interruzione dei siti Europa.eu<\/td><\/tr><tr><td>28 marzo 2026<\/td><td>Pubblicazione dati su dark web da ShinyHunters<\/td><td>ShinyHunters<\/td><td>350 GB disponibili pubblicamente; chiavi DKIM, SSO directory e dati Athena esposti<\/td><\/tr><tr><td>3 aprile 2026<\/td><td>Raccomandazioni CERT-EU pubblicate<\/td><td>Tutti gli enti UE<\/td><td>Linee guida su supply chain, IAM cloud e protezione chiavi crittografiche<\/td><\/tr><tr><td>10-11 giugno 2026<\/td><td>Esercitazione Cyber Europe 2026 (ENISA)<\/td><td>27 nazioni europee<\/td><td>Risposta coordinata a scenari di attacco su trasporti e comunicazioni<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"la-risposta-della-commissione-sistemi-interni-protetti-ma-molte-domande-aperte\">La Risposta della Commissione: Sistemi Interni Protetti, ma Molte Domande Aperte<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione Europea ha sottolineato con forza che i <strong>sistemi interni non sono stati compromessi<\/strong>. Questa distinzione \u00e8 fondamentale per capire la portata effettiva dell&#8217;attacco. L&#8217;infrastruttura violata gestiva i siti web pubblici di Europa.eu, non le reti operative interne della Commissione. La risposta operativa \u00e8 stata relativamente rapida: l&#8217;attacco \u00e8 stato contenuto senza interruzioni alla disponibilit\u00e0 dei siti web. I visitatori di Europa.eu durante e dopo l&#8217;attacco non hanno riscontrato disservizi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Tuttavia, la presenza di documenti riservati, contratti e dati di dipendenti nell&#8217;infrastruttura cloud violata pone domande serie sulla policy di gestione dei dati sensibili. Perch\u00e9 materiale di tale natura era accessibile dall&#8217;account cloud che gestiva i siti web pubblici? La segmentazione apparente tra &#8220;esterno&#8221; e &#8220;interno&#8221; potrebbe essere meno netta di quanto dichiarato. Un account AWS che ha accesso a dump di mail server, chiavi DKIM, directory SSO e dati del meccanismo di finanziamento militare Athena non \u00e8 un account di hosting web standard.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione ha dichiarato che utilizzer\u00e0 i risultati dell&#8217;indagine per &#8220;migliorare ulteriormente le proprie capacit\u00e0 di cybersicurezza&#8221;. <a href=\"https:\/\/cert.europa.eu\" rel=\"noopener noreferrer\" target=\"_blank\">CERT-EU<\/a> ha pubblicato raccomandazioni specifiche per tutti gli enti dell&#8217;Unione, concentrate sulla sicurezza della supply chain, sulla gestione degli accessi cloud e sulla protezione delle chiavi crittografiche. ShinyHunters ha comunicato di non avere intenzione di estorcere la Commissione, preferendo rendere i dati pubblicamente disponibili sul proprio sito di leak sul dark web a partire dal 28 marzo.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"il-precedente-di-febbraio-2026-lo-zero-day-ivanti-epmm\">Il Precedente di Febbraio 2026: Lo Zero-Day Ivanti EPMM<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;attacco di marzo non \u00e8 stato isolato. A febbraio 2026, la Commissione Europea ha subito una violazione separata attraverso una vulnerabilit\u00e0 zero-day in Ivanti Endpoint Manager Mobile (EPMM), il sistema centralizzato di gestione dei dispositivi mobili dell&#8217;istituzione.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">In questo caso, la risposta \u00e8 stata notevolmente rapida: il sistema \u00e8 stato contenuto e ripristinato in <strong>9 ore<\/strong>. La Commissione ha confermato che nessun dispositivo mobile \u00e8 stato compromesso. Anche l&#8217;Autorit\u00e0 olandese per la protezione dei dati e il Consiglio giudiziario olandese hanno subito violazioni legate allo stesso zero-day Ivanti nello stesso periodo, con accesso a dati di lavoro inclusi nomi, indirizzi email e numeri di telefono del personale.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La vicinanza temporale tra i due attacchi (febbraio e marzo 2026) e la sofisticazione di entrambi suggerisce una campagna coordinata contro le istituzioni europee, non due incidenti casuali e separati. Il primo attacco pu\u00f2 aver anche avuto una funzione di ricognizione: testare i meccanismi di risposta della Commissione prima di sferrare l&#8217;operazione pi\u00f9 massiccia di marzo.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8220;Quando vediamo due attacchi distinti, con vettori diversi, contro la stessa istituzione a poche settimane di distanza, non possiamo escludere che si tratti di ricognizione progressiva. Il primo attacco serve a capire i meccanismi di risposta prima di sferrare quello di maggiore impatto.&#8221;<\/p>\n<cite>Bart Groothuis, ex membro del Parlamento Europeo e specialista di cybersecurity nelle istituzioni UE<\/cite>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"shinyhunters-il-gruppo-che-ha-scelto-di-non-estorcere-la-commissione\">ShinyHunters: Il Gruppo che Ha Scelto di Non Estorcere la Commissione<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">ShinyHunters \u00e8 uno dei gruppi di cybercriminali pi\u00f9 prolifici degli ultimi anni, specializzato in violazioni di dati su larga scala e nella successiva estorsione o vendita delle informazioni rubate. Il gruppo opera da anni con un approccio quasi industriale: identificare infrastrutture cloud con misconfigurazioni o accessi compromessi, estrarre volumi massivi di dati, quindi monetizzare attraverso ransomware, estorsione diretta o vendita sul dark web.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Nel caso della Commissione Europea, ShinyHunters ha adottato un comportamento insolito: ha dichiarato esplicitamente di non voler estorcere l&#8217;istituzione, preferendo pubblicare i dati direttamente. Questo scostamento dal normale modus operandi del gruppo apre diverse ipotesi. Potrebbe trattarsi di una scelta strategica per massimizzare il danno reputazionale senza entrare in una negoziazione con un&#8217;istituzione che ha la capacit\u00e0 di coordinare risposte legali internazionali. Potrebbe indicare motivazioni non puramente economiche, come quelle politiche o di stato sponsor. Potrebbe anche riflettere una valutazione che il danno da pubblicazione immediata supera quello ottenibile da un riscatto.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione Europea non ha attribuito ufficialmente l&#8217;attacco a ShinyHunters. L&#8217;attribuzione si basa sulle rivendicazioni pubbliche del gruppo, sugli screenshot pubblicati e sull&#8217;analisi di BleepingComputer e altri ricercatori, che hanno valutato il materiale come credibile.<\/p>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Vittima<\/th><th>Anno<\/th><th>Volume Dati<\/th><th>Categorie Esposte<\/th><th>Approccio ShinyHunters<\/th><\/tr><\/thead><tbody><tr><td>Canvas Instructure<\/td><td>2026<\/td><td>275 milioni di utenti<\/td><td>Dati studenti, credenziali, documenti accademici<\/td><td>Pubblicazione dark web<\/td><\/tr><tr><td>Commissione Europea<\/td><td>2026<\/td><td>350 GB \/ 30+ enti UE<\/td><td>Chiavi DKIM, contratti riservati, SSO, dati Athena<\/td><td>Pubblicazione senza riscatto (inusuale)<\/td><\/tr><tr><td>Odido (Paesi Bassi)<\/td><td>2026<\/td><td>6,5 milioni di clienti<\/td><td>Nomi, email, IBAN, numeri di passaporto<\/td><td>Riscatto di \u20ac1 milione richiesto<\/td><\/tr><tr><td>Spectrum Charter<\/td><td>2026<\/td><td>4,9 milioni di record<\/td><td>Dati clienti e dipendenti<\/td><td>Estorsione diretta<\/td><\/tr><tr><td>AT&#038;T (storico)<\/td><td>2024<\/td><td>73 milioni di clienti<\/td><td>SSN, numeri account, dati personali<\/td><td>Vendita sul dark web<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"il-contesto-geopolitico-sanzioni-ue-escalation-e-guerra-ibrida\">Il Contesto Geopolitico: Sanzioni UE, Escalation e Guerra Ibrida<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;attacco alla Commissione Europea non avviene nel vuoto. Nei mesi precedenti, l&#8217;Unione Europea aveva adottato misure diplomatiche significative: sanzioni contro aziende di Cina e Iran, accompagnate da sanzioni personali verso individui, per cyberattacchi condotti contro stati membri e partner dell&#8217;UE. Il messaggio europeo era esplicito: gli attacchi informatici non sarebbero stati tollerati e i responsabili avrebbero dovuto rispondere delle proprie azioni.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La cronologia degli attacchi (febbraio e marzo 2026) colloca le violazioni nelle settimane immediatamente successive a queste sanzioni. Questo, combinato con la simultanea campagna Qilin contro il partito tedesco Die Linke (definita dallo stesso partito &#8220;guerra ibrida&#8221; con connessioni a Mosca) e con l&#8217;Operation Neusploit di APT28 contro paesi dell&#8217;Europa centrale e orientale (gennaio 2026), compone un quadro coerente di pressione sistemica sulle istituzioni europee.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;<a href=\"https:\/\/industrialcyber.co\/news\/cyber-europe-2026-examines-eu-response-to-escalating-cyber-threats-against-transportation-networks\/\" rel=\"noopener noreferrer\" target=\"_blank\">esercitazione Cyber Europe 2026<\/a>, organizzata da ENISA il 10-11 giugno 2026 con la partecipazione di 27 nazioni, ha simulato scenari di attacco coordinato alle infrastrutture di trasporto ferroviario e marittimo dell&#8217;UE. Il fatto che questa esercitazione si sia svolta pochi mesi dopo gli attacchi reali di febbraio e marzo riflette la consapevolezza istituzionale di trovarsi in un periodo di escalation delle minacce.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"analisi-tecnica-i-tre-punti-di-debolezza-sfruttati\">Analisi Tecnica: I Tre Punti di Debolezza Sfruttati<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Dall&#8217;analisi disponibile emergono tre categorie di vulnerabilit\u00e0 strutturali che hanno reso possibile l&#8217;attacco alla Commissione Europea:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"1-supply-chain-del-software-open-source\">1. Supply Chain del Software Open Source<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Trivy \u00e8 uno strumento legittimo e ampiamente adottato nella community di sicurezza. Questo lo rende un vettore di attacco ad alto valore: compromettere la sua distribuzione equivale a compromettere potenzialmente tutti i suoi utenti contemporaneamente. Le organizzazioni che utilizzano tool open source nella propria pipeline di sicurezza devono implementare meccanismi di verifica dell&#8217;integrit\u00e0 (hash checking, firma crittografica dei pacchetti, Software Bill of Materials) che vanno ben oltre il semplice aggiornamento delle versioni. Il SBOM (Software Bill of Materials) avrebbe dovuto essere uno standard obbligatorio per tutti i fornitori della Commissione Europea.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"2-gestione-degli-accessi-cloud-iam\">2. Gestione degli Accessi Cloud (IAM)<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Il fatto che un account AWS utilizzato per l&#8217;hosting di siti web pubblici avesse accesso a documenti riservati, contratti e dati sensibili dei dipendenti \u00e8 un indicatore di una policy IAM (Identity and Access Management) insufficiente. Il principio del minimo privilegio, fondamentale in qualsiasi architettura cloud sicura, avrebbe dovuto limitare l&#8217;account di hosting web all&#8217;accesso esclusivo alle risorse necessarie per servire contenuti web. L&#8217;implementazione di policy IAM granulari, l&#8217;uso di ruoli temporanei con credenziali a scadenza automatica e il monitoraggio continuo delle autorizzazioni sono prassi che avrebbero potuto limitare drasticamente la portata della violazione.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"3-protezione-delle-chiavi-crittografiche-sensibili\">3. Protezione delle Chiavi Crittografiche Sensibili<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le chiavi DKIM non dovrebbero mai trovarsi in ambienti cloud accessibili da account con permessi ampi. La loro esposizione \u00e8 particolarmente grave perch\u00e9 non \u00e8 reversibile senza un processo completo di revoca e ri-configurazione dell&#8217;intero sistema di firma email, con possibili interruzioni nelle comunicazioni ufficiali dell&#8217;istituzione. Avrebbero dovuto essere gestite tramite HSM (Hardware Security Module) o servizi dedicati di Key Management come AWS KMS, Azure Key Vault o HashiCorp Vault, completamente separati dall&#8217;account cloud di hosting web.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8220;La Commissione Europea \u00e8 un bersaglio di primissimo piano perch\u00e9 concentra informazioni su politiche commerciali, negoziati diplomatici, questioni di sicurezza interna e decisioni regolamentari che riguardano 450 milioni di cittadini. Il valore dello spionaggio su questa infrastruttura \u00e8 incalcolabile per qualsiasi attore statale o non statale con obiettivi geopolitici.&#8221;<\/p>\n<cite>Juhan Lepassaar, Direttore Esecutivo di ENISA (European Union Agency for Cybersecurity)<\/cite>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"limpatto-per-le-aziende-e-i-cittadini-italiani\">L&#8217;Impatto per le Aziende e i Cittadini Italiani<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Per l&#8217;Italia, la violazione della Commissione Europea non \u00e8 una questione astratta. L&#8217;Italia \u00e8 tra i paesi che pi\u00f9 frequentemente interagisce con le istituzioni UE per questioni di fondi strutturali, sussidi agricoli, negoziati commerciali e procedure di infrazione. Molti dei dati che transitano per Europa.eu riguardano direttamente aziende, enti pubblici e cittadini italiani.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Se i dati esfiltrati includono comunicazioni relative a procedure di infrazione nei confronti dell&#8217;Italia, negoziati su fondi europei o questioni regolamentari nel settore bancario e finanziario, le implicazioni strategiche sono considerevoli. Qualsiasi organizzazione o individuo coinvolto in procedimenti o negoziati con la Commissione potrebbe vedere le proprie posizioni negoziali compromesse.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Sul fronte individuale, i dipendenti italiani della Commissione Europea e delle istituzioni satellite i cui dati personali sono stati esposti (nomi, email, contenuto di comunicazioni) devono aspettarsi un rischio elevato di phishing mirato, SIM swapping e tentativi di social engineering. Le chiavi DKIM esposte rendono particolarmente insidiosi eventuali messaggi che sembrano provenire da indirizzi ufficiali della Commissione nei prossimi mesi. Il Clusit ha gi\u00e0 registrato 507 attacchi informatici significativi contro obiettivi italiani nel 2025, e questa violazione aumenta la superficie di rischio nel 2026.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"nis2-e-cer-alla-prova-le-istituzioni-eu-come-test-case-della-propria-regolamentazione\">NIS2 e CER alla Prova: Le Istituzioni EU Come Test Case della Propria Regolamentazione<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">L&#8217;attacco alla Commissione Europea arriva mentre l&#8217;UE sta consolidando il proprio framework regolamentare sulla cybersicurezza. La Direttiva NIS2, entrata in vigore nel 2023 e recepita dagli stati membri entro ottobre 2024, impone requisiti stringenti di sicurezza e notifica degli incidenti per le entit\u00e0 essenziali e importanti. La Direttiva CER (Critical Entities Resilience) estende la protezione alle infrastrutture fisiche critiche.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Paradossalmente, la Commissione Europea, che ha proposto e promosso queste direttive, si trova ora a gestire un incidente che mette alla prova la propria capacit\u00e0 di conformit\u00e0. La notifica degli enti coinvolti, la collaborazione con CERT-EU, la trasparenza nella comunicazione dell&#8217;incidente e le misure di rimedio adottate vengono valutate anche come segnale della credibilit\u00e0 istituzionale dell&#8217;UE in materia di cybersicurezza. Il fatto che l&#8217;<a href=\"https:\/\/www.clusit.it\/rapporto-clusit\/\" rel=\"noopener noreferrer\" target=\"_blank\">Allianz Risk Barometer 2026<\/a> classifichi gli incidenti informatici come il rischio globale numero uno per il quinto anno consecutivo (con un punteggio record del 42% delle risposte) evidenzia quanto la sfida sia sistemica, non solo per le aziende private ma anche per le istituzioni pubbliche.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>&#8220;\u00c8 una cosa sana che anche le istituzioni che producono le norme sulla cybersicurezza vengano messe alla prova dagli attaccanti. L&#8217;importante \u00e8 come rispondono. La trasparenza della Commissione sulla violazione, pur limitata nei dettagli tecnici, \u00e8 un passo nella direzione giusta rispetto a istituzioni che preferiscono il silenzio.&#8221;<\/p>\n<cite>Andrea Zapparoli Manzoni, membro del Consiglio Direttivo di Clusit e analista di sicurezza informatica<\/cite>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"5-previsioni-per-la-sicurezza-delle-istituzioni-eu-nei-prossimi-12-mesi\">5 Previsioni per la Sicurezza delle Istituzioni EU nei Prossimi 12 Mesi<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Sulla base dell&#8217;analisi dell&#8217;incidente, degli attori coinvolti e delle tendenze nel panorama delle minacce europee, emergono cinque previsioni per i prossimi 12 mesi:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Moltiplicazione degli attacchi alla supply chain open source.<\/strong> La tecnica usata contro Trivy non \u00e8 isolata. Nei prossimi 12 mesi si prevedono almeno altri 3-5 incidenti significativi che sfrutteranno tool open source di sicurezza o DevOps per compromettere ambienti cloud istituzionali e aziendali in Europa. La replicabilit\u00e0 del vettore \u00e8 alta e la difesa richiede investimenti in verifica dell&#8217;integrit\u00e0 che molte organizzazioni non hanno ancora implementato.<\/li>\n<li><strong>CERT-EU ricever\u00e0 mandato e risorse ampliate.<\/strong> L&#8217;incidente accelerer\u00e0 il rafforzamento delle capacit\u00e0 operative di CERT-EU. Si prevedono aumenti di budget superiori al 30% entro fine 2026, in linea con le discussioni gi\u00e0 in corso nell&#8217;ambito della revisione della Cybersecurity Act. La finestra politica \u00e8 aperta e l&#8217;incidente fornisce la giustificazione necessaria.<\/li>\n<li><strong>Le chiavi DKIM esposte genereranno campagne di phishing sofisticate entro fine 2026.<\/strong> Ricercatori di sicurezza individueranno campagne che sfruttano le chiavi DKIM rubate per impersonare comunicazioni ufficiali della Commissione Europea. I principali bersagli saranno funzionari governativi di stati membri, aziende con procedimenti EU aperti e organizzazioni nel settore della difesa. La finestra di rischio \u00e8 di 12-18 mesi, il tempo necessario per completare la revoca e la sostituzione di tutte le chiavi compromesse.<\/li>\n<li><strong>Requisiti obbligatori di SBOM per i fornitori delle istituzioni EU.<\/strong> Sulla base di questo incidente, la Commissione accelerer\u00e0 l&#8217;adozione di requisiti specifici per la verifica crittografica della catena di fornitura del software utilizzato dalle istituzioni EU, probabilmente attraverso un aggiornamento degli standard di procurement pubblico e delle linee guida ENISA sulla sicurezza degli appalti ICT.<\/li>\n<li><strong>ShinyHunters colpir\u00e0 almeno altre 2 istituzioni europee di profilo alto entro fine 2026.<\/strong> Il gruppo ha dimostrato capacit\u00e0 tecniche e intelligence sufficiente per colpire la principale istituzione esecutiva dell&#8217;UE. La scelta di pubblicare senza riscatto suggerisce un&#8217;agenda che va oltre il profitto economico. Si prevedono ulteriori incidenti di profilo alto, con possibili obiettivi nel settore della giustizia, della difesa o delle autorit\u00e0 di regolamentazione finanziaria europee.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"copertura-correlata\">Copertura Correlata<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Per approfondire i temi trattati in questo articolo, consulta la nostra copertura sui principali incidenti di sicurezza in Europa e sui gruppi criminali coinvolti:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"\/it\/dragonforce-ransomware-580-vittime-italia-2026\/\">DragonForce: 580 Vittime nel 2026, Italia al 5\u00b0 Posto in Europa<\/a><\/li>\n<li><a href=\"\/it\/github-teampcp-breach-3800-repos-2026\/\">TeamPCP Viola GitHub: 3.800 Repository Rubati in 18 Minuti<\/a><\/li>\n<li><a href=\"\/it\/cyber-europe-2026-enisa-trasporti\/\">Cyber Europe 2026: ENISA Mobilita 27 Nazioni, Ferrovie e Porti nel Mirino<\/a><\/li>\n<li><a href=\"\/it\/russia-cyberattacchi-infrastrutture-critiche-europa-2026\/\">Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS nel 2026<\/a><\/li>\n<li><a href=\"\/it\/clusit-report-2026-507-attacchi-italia\/\">Clusit Report 2026: 507 Attacchi in Italia, Prima in Europa per Vittime<\/a><\/li>\n<li><a href=\"\/it\/interpol-synergia-iii-45000-ip-94-arresti-2026\/\">INTERPOL Synergia III: 45.000 IP Abbattuti, 94 Arrestati in 72 Paesi<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\" id=\"domande-frequenti\">Domande Frequenti<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"la-commissione-europea-ha-confermato-shinyhunters-come-responsabile\">La Commissione Europea ha confermato ShinyHunters come responsabile?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">No. La Commissione ha confermato la violazione e la sottrazione di dati, ma non ha attribuito ufficialmente l&#8217;attacco ad alcun gruppo. L&#8217;attribuzione a ShinyHunters si basa sulle rivendicazioni pubbliche del gruppo e sugli screenshot pubblicati, che ricercatori indipendenti e media specializzati come BleepingComputer hanno valutato come credibili. L&#8217;analisi tecnica di CERT-EU attribuisce l&#8217;accesso iniziale a TeamPCP tramite compromissione della supply chain di Trivy, ma le due attribuzioni non si escludono: TeamPCP potrebbe aver fornito l&#8217;accesso a ShinyHunters o i due gruppi potrebbero collaborare.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"i-sistemi-interni-della-commissione-europea-sono-stati-compromessi\">I sistemi interni della Commissione Europea sono stati compromessi?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Secondo la dichiarazione ufficiale della Commissione, i sistemi interni non sono stati impattati. La violazione ha riguardato l&#8217;infrastruttura cloud che ospita i siti web pubblici di Europa.eu. Tuttavia, la presenza di documenti riservati, chiavi DKIM e dati del meccanismo Athena in quell&#8217;ambiente solleva domande sulla robustezza della separazione tra ambienti pubblici e riservati.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"quanti-dati-sono-stati-effettivamente-rubati\">Quanti dati sono stati effettivamente rubati?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">ShinyHunters ha rivendicato oltre 350 GB di dati non compressi. La stima tecnica indipendente di CERT-EU \u00e8 di circa 91,7 GB compressi esfiltrati dall&#8217;account AWS compromesso. La discrepanza pu\u00f2 dipendere dalla compressione dei dati e da differenze nel perimetro considerato tra la rivendicazione del gruppo e la valutazione tecnica dell&#8217;incidente.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cosa-sono-le-chiavi-dkim-e-perche-la-loro-esposizione-e-critica\">Cosa sono le chiavi DKIM e perch\u00e9 la loro esposizione \u00e8 critica?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">DKIM (DomainKeys Identified Mail) \u00e8 un sistema di firma crittografica per le email che permette ai destinatari di verificare che un messaggio provenga autenticamente dal dominio dichiarato. La compromissione delle chiavi DKIM della Commissione Europea significa che un attaccante potrebbe inviare email che sembrano autenticamente provenire dalla Commissione, superando i filtri anti-spam e anti-phishing. Per mitigare il rischio \u00e8 necessario revocare e sostituire le chiavi compromesse e aggiornare i record DNS DKIM, un processo che richiede tempo e coordinamento tra decine di sistemi.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cosa-e-trivy-e-perche-e-stato-usato-come-vettore-di-attacco\">Cosa \u00e8 Trivy e perch\u00e9 \u00e8 stato usato come vettore di attacco?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Trivy \u00e8 un popolare scanner open source di vulnerabilit\u00e0 per container, immagini Docker e file system, sviluppato da Aqua Security. \u00c8 ampiamente utilizzato nelle pipeline CI\/CD di aziende e istituzioni per rilevare vulnerabilit\u00e0 prima del deployment. Compromettere la sua distribuzione \u00e8 un vettore di attacco ad alto impatto perch\u00e9 sfrutta la fiducia che le organizzazioni ripongono nei propri strumenti di sicurezza: uno scanner di vulnerabilit\u00e0 che diventa esso stesso la fonte della compromissione \u00e8 un attacco difficile da prevedere con i modelli di rischio tradizionali.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"le-organizzazioni-italiane-che-usano-trivy-sono-a-rischio\">Le organizzazioni italiane che usano Trivy sono a rischio?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">Le organizzazioni italiane che utilizzano Trivy nelle proprie pipeline dovrebbero verificare le versioni installate, controllare gli hash crittografici degli eseguibili rispetto ai valori pubblicati ufficialmente su GitHub da Aqua Security, monitorare i log di accesso ai sistemi dove Trivy ha accesso privilegiato e rivedere le autorizzazioni degli account sotto cui gira il tool. CERT-EU ha pubblicato raccomandazioni specifiche disponibili attraverso i canali istituzionali EU.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\" id=\"cosa-ha-fatto-la-commissione-europea-dopo-la-scoperta-dellattacco\">Cosa ha fatto la Commissione Europea dopo la scoperta dell&#8217;attacco?<\/h3>\n\n\n\n<p class=\"wp-block-paragraph\">La Commissione ha adottato misure immediate di contenimento, informato CERT-EU entro 24 ore, avviato la notifica degli enti potenzialmente coinvolti, pubblicato una comunicazione pubblica il 27 marzo e avviato un&#8217;indagine interna sull&#8217;impatto completo dell&#8217;incidente. Ha dichiarato che utilizzer\u00e0 i risultati per migliorare le proprie capacit\u00e0 di cybersicurezza. I siti web di Europa.eu non hanno mai subito interruzioni durante o dopo l&#8217;attacco.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Il 24 marzo 2026, il Cybersecurity Operations Centre della Commissione Europea ha rilevato qualcosa di anomalo: richieste API sospette verso Amazon Web Services, un picco insolito nel traffico di rete\u2026<\/p>\n","protected":false},"author":3,"featured_media":318,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-317","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/posts\/317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/comments?post=317"}],"version-history":[{"count":1,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/posts\/317\/revisions"}],"predecessor-version":[{"id":319,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/posts\/317\/revisions\/319"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/media\/318"}],"wp:attachment":[{"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/media?parent=317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/categories?post=317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/shattered.io\/it\/wp-json\/wp\/v2\/tags?post=317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}