{"id":91,"date":"2026-06-13T04:29:12","date_gmt":"2026-06-13T04:29:12","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/13\/attacco-commissione-europea-350gb\/"},"modified":"2026-06-13T08:20:43","modified_gmt":"2026-06-13T08:20:43","slug":"attacco-commissione-europea-350gb","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/13\/attacco-commissione-europea-350gb\/","title":{"rendered":"Attacco alla Commissione UE: 350 GB Rubati [2026]"},"content":{"rendered":"\n

Il 24 marzo 2026 la Commissione Europea ha scoperto un attacco informatico contro l’infrastruttura cloud che ospita Europa.eu, il portale pubblico delle istituzioni dell’Unione. Tre giorni dopo Bruxelles ha confermato la violazione, mentre il gruppo criminale ShinyHunters rivendicava il furto di circa 350 GB di dati. Per la seconda volta in pochi mesi, l’esecutivo comunitario \u00e8 finito nel mirino. L’episodio non \u00e8 solo un incidente di sicurezza: \u00e8 la prova, plateale, di quanto la macchina amministrativa europea dipenda da infrastrutture cloud statunitensi e di quanto resti esposta proprio mentre Bruxelles predica sovranit\u00e0 digitale.<\/p>\n\n\n\n

Questo attacco alla Commissione Europea<\/strong> arriva in un anno record per il cybercrimine nel continente. Il Rapporto Clusit 2026 ha contato 5.265 attacchi gravi nel mondo nel 2025, l’anno peggiore di sempre. L’Italia, con 507 incidenti gravi e una crescita del 42%, assorbe quasi un attacco su dieci a livello globale. In questo quadro, la violazione di Europa.eu diventa il caso simbolo di una stagione in cui nessuna istituzione, per quanto grande, pu\u00f2 dirsi al sicuro.<\/p>\n\n\n\n

Cosa \u00e8 successo: la cronologia dell’attacco a Europa.eu<\/h2>\n\n\n\n

La Commissione ha individuato attivit\u00e0 sospette il 24 marzo 2026 all’interno dell’infrastruttura cloud pubblica che alimenta la presenza web dell’istituzione sul dominio Europa.eu. Il 26 marzo l’esecutivo ha pubblicato un comunicato ufficiale (riferimento IP\/26\/748) confermando di aver risposto all’incidente. Il 27 marzo, dopo che gli aggressori avevano gi\u00e0 rivendicato il furto di dati, la conferma \u00e8 diventata pubblica anche attraverso la stampa internazionale.<\/p>\n\n\n\n

Secondo la ricostruzione fornita da Bruxelles, l’attacco ha colpito infrastrutture cloud ospitate esternamente, non i sistemi interni della Commissione. La distinzione \u00e8 cruciale dal punto di vista tecnico e politico: le reti amministrative interne, dove transitano comunicazioni riservate e dossier negoziali, sarebbero rimaste isolate. I dati sottratti riguarderebbero invece i siti pubblici e i servizi accessori ospitati sul cloud commerciale. Resta il fatto che gli investigatori hanno confermato l’esfiltrazione di informazioni dalle propriet\u00e0 web colpite.<\/p>\n\n\n\n

Thomas Regnier, portavoce della Commissione Europea, ha dichiarato il 27 marzo che l’istituzione aveva “contenuto l’attacco” e attivato “misure di mitigazione del rischio”, aggiungendo che le reti interne restavano sicure. \u00c8 la formula classica della comunicazione di crisi: rassicurare sul perimetro critico senza minimizzare l’accaduto. Una formula che, per\u00f2, lascia aperte molte domande sul volume reale dei dati persi e sulla catena di responsabilit\u00e0 tra Commissione e fornitore cloud.<\/p>\n\n\n\n

ShinyHunters e i 350 GB rivendicati<\/h2>\n\n\n\n

La rivendicazione porta la firma di ShinyHunters, uno dei collettivi di estorsione pi\u00f9 prolifici degli ultimi anni, gi\u00e0 associato a numerose violazioni di grandi aziende e piattaforme cloud. Il gruppo ha sostenuto di aver compromesso circa 350 GB di dati, tra cui contenuti di mail server, database, documenti riservati e contratti riconducibili alla Commissione. Le prime analisi indipendenti hanno parlato di possibili directory di utenti SSO (Single Sign-On) tra i dati esposti, un dettaglio che, se confermato, amplierebbe la superficie di rischio ben oltre i singoli siti pubblici.<\/p>\n\n\n\n

Va detto con chiarezza: 350 GB \u00e8 la cifra rivendicata dagli aggressori, non un dato verificato in via ufficiale dalla Commissione. Nel cybercrimine le rivendicazioni servono a costruire pressione negoziale e tendono a gonfiare i numeri. Le indagini interne, nelle settimane successive, hanno lavorato per delimitare il volume effettivamente esfiltrato, che resta inferiore e pi\u00f9 incerto rispetto al totale annunciato. La cautela \u00e8 d’obbligo, ma anche una frazione di 350 GB di documenti e contratti istituzionali rappresenta un patrimonio informativo di valore strategico.<\/p>\n\n\n\n

Il modus operandi \u00e8 coerente con la nuova economia dell’estorsione dati. Non sempre c’\u00e8 cifratura ransomware: spesso basta rubare archivi sensibili e minacciarne la pubblicazione. \u00c8 lo stesso schema che ha colpito decine di organizzazioni nel 2025, lo stesso che ritroviamo in altre violazioni di dati<\/a> di grande scala. Il bersaglio non \u00e8 pi\u00f9 solo l’azienda privata: le istituzioni pubbliche, con i loro archivi e la loro esposizione mediatica, sono diventate prede di prima fascia.<\/p>\n\n\n\n

Non \u00e8 la prima volta nel 2026: la seconda violazione dell’anno<\/h2>\n\n\n\n

L’aspetto pi\u00f9 scomodo per Bruxelles \u00e8 che l’attacco di marzo \u00e8 il secondo incidente di sicurezza confermato dalla Commissione nello stesso anno. A gennaio 2026 era stata colpita la piattaforma di gestione dei dispositivi mobili (MDM, Mobile Device Management) dell’istituzione, un sistema che governa smartphone e tablet del personale. Due violazioni in tre mesi, su componenti diverse, raccontano un problema sistemico pi\u00f9 che un evento isolato.<\/p>\n\n\n\n

La ripetizione cambia la lettura politica del caso. Un singolo attacco si pu\u00f2 derubricare a fatalit\u00e0; due in pochi mesi spostano l’attenzione sulla postura difensiva complessiva. La Commissione gestisce un ecosistema digitale enorme, frammentato tra direzioni generali, agenzie e fornitori esterni. Ogni nodo di questa rete \u00e8 una potenziale porta d’ingresso. Quando il perimetro \u00e8 cos\u00ec esteso e dato in outsourcing, la probabilit\u00e0 di un anello debole cresce in modo non lineare.<\/p>\n\n\n\n

Il tema della catena di fornitura \u00e8 centrale. Le prime analisi sull’incidente di marzo hanno ipotizzato un vettore legato a componenti software e accessi fidati lungo la supply chain, un meccanismo che permette di aggirare i controlli sfruttando relazioni di fiducia preesistenti. \u00c8 lo stesso schema che ha reso devastanti episodi come l’attacco Ivanti<\/a>, dove una vulnerabilit\u00e0 in un prodotto diffuso ha aperto le porte a centinaia di organizzazioni a valle.<\/p>\n\n\n\n

La dipendenza dal cloud USA: il nodo della sovranit\u00e0 digitale<\/h2>\n\n\n\n

Il punto che ha trasformato un incidente tecnico in un caso politico \u00e8 la natura dell’infrastruttura colpita. I siti pubblici di Europa.eu poggiano su cloud commerciale gestito da hyperscaler statunitensi. La Commissione ha precisato che i servizi del fornitore non sarebbero stati compromessi alla radice, ma il messaggio che \u00e8 arrivato all’opinione pubblica \u00e8 un altro: il portale ufficiale dell’Unione Europea dipende da infrastrutture extra-europee, e quando qualcosa va storto Bruxelles \u00e8 esposta come qualsiasi altro cliente.<\/p>\n\n\n\n

Il paradosso \u00e8 evidente. Da anni l’Unione finanzia programmi per la sovranit\u00e0 digitale, dal progetto Gaia-X agli incentivi per cloud europei, proprio per ridurre la dipendenza da Amazon Web Services, Microsoft Azure e Google Cloud. Eppure la maggior parte dei carichi di lavoro critici, in Europa, gira ancora su queste tre piattaforme americane. La violazione di marzo ha reso tangibile un rischio finora discusso solo nei convegni: la concentrazione del cloud \u00e8 anche concentrazione del rischio.<\/p>\n\n\n\n

La questione non \u00e8 la sicurezza tecnica degli hyperscaler, che investono in protezione cifre superiori a quelle di interi Stati. Il problema \u00e8 giurisdizionale e strategico. Dati istituzionali europei ospitati su infrastrutture soggette a legislazioni extra-UE pongono interrogativi su accesso, confisca e continuit\u00e0 del servizio in scenari di tensione geopolitica. L’attacco a Europa.eu ha dato a questi interrogativi un volto concreto e una data precisa.<\/p>\n\n\n\n

La risposta di Bruxelles: il nuovo Cybersecurity Act<\/h2>\n\n\n\n

La reazione politica era gi\u00e0 in moto prima di marzo. A gennaio 2026 la Commissione, attraverso Henna Virkkunen, commissaria europea con delega alla sicurezza informatica, aveva proposto un nuovo Cybersecurity Act per rafforzare la resilienza dell’Unione. La proposta punta a potenziare il ruolo dell’ENISA, l’agenzia europea per la cybersicurezza, e a costruire un quadro di certificazione unificato per i prodotti e i servizi ICT venduti nel mercato comune.<\/p>\n\n\n\n

Juhan Lepassaar, direttore esecutivo dell’ENISA, ha collegato esplicitamente l’incidente di marzo alla necessit\u00e0 del nuovo schema di certificazione. La sua posizione, espressa nelle settimane successive all’attacco, \u00e8 che le vulnerabilit\u00e0 lungo la catena di fornitura restano il tallone d’Achille della difesa europea e che senza standard comuni e verificabili ogni fornitore diventa un punto cieco. \u00c8 un’analisi che sposta il baricentro dalla difesa del singolo perimetro alla governance dell’intero ecosistema.<\/p>\n\n\n\n

Il pacchetto normativo europeo non si esaurisce qui. Il Cyber Solidarity Act, pensato per creare un sistema di allerta rapida e meccanismi di mutua assistenza tra Stati membri, e la direttiva NIS2 completano l’impianto. In Italia la NIS2 \u00e8 stata recepita con il Decreto Legislativo 138\/2024, che amplia drasticamente la platea dei soggetti obbligati a misure di sicurezza e notifica degli incidenti. Chi vuole capire gli obblighi concreti per le imprese italiane trova un quadro dettagliato nella nostra analisi sulla direttiva NIS2 in Italia<\/a>.<\/p>\n\n\n\n

I numeri del cybercrimine europeo nel 2025-2026<\/h2>\n\n\n\n

L’attacco a Europa.eu non \u00e8 un’anomalia, ma la punta di un iceberg ben misurato. Nel primo trimestre del 2026 gli attacchi di cybercrimine lanciati dall’Europa hanno superato i 50 milioni, circa il doppio del volume proveniente dagli Stati Uniti nello stesso periodo. Il continente \u00e8 diventato contemporaneamente bersaglio e piattaforma di lancio di attivit\u00e0 offensive su scala industriale.<\/p>\n\n\n\n

Il Rapporto Clusit 2026 fotografa la dimensione del fenomeno. Nel 2025 sono stati censiti 5.265 attacchi gravi a livello globale, con una crescita a doppia cifra rispetto al 2024. L’Italia ne ha assorbiti 507, in aumento del 42%, pari al 9,6% del totale mondiale. Nel quinquennio 2021-2025 il Paese ha registrato 1.432 attacchi gravi, di cui oltre un terzo concentrati nel solo 2025. \u00c8 la prova che la curva non sta rallentando, anzi accelera.<\/p>\n\n\n\n

La tabella seguente riassume le metriche chiave del panorama europeo e italiano emerse dalle principali fonti del 2025-2026.<\/p>\n\n\n\n

\n
Metrica<\/th>Valore 2025-2026<\/th>Fonte<\/th><\/tr><\/thead>
Attacchi gravi nel mondo (2025)<\/td>5.265<\/td>Rapporto Clusit 2026<\/td><\/tr>\n
Attacchi gravi in Italia (2025)<\/td>507 (+42%)<\/td>Rapporto Clusit 2026<\/td><\/tr>\n
Quota italiana sul totale globale<\/td>9,6%<\/td>Rapporto Clusit 2026<\/td><\/tr>\n
Attacchi gravi in Italia (2021-2025)<\/td>1.432<\/td>Rapporto Clusit 2026<\/td><\/tr>\n
Casi ransomware in Italia (2025)<\/td>166 (+14%)<\/td>TIM Cyber Security Report 2026<\/td><\/tr>\n
Crescita ransomware globale (2025)<\/td>+42%<\/td>TIM Cyber Security Report 2026<\/td><\/tr>\n
Attacchi cybercrime dall’Europa (Q1 2026)<\/td>oltre 50 milioni<\/td>Dark Reading \/ dati di settore<\/td><\/tr>\n
Eventi cyber contro la PA italiana<\/td>46% del totale imprese\/istituzioni<\/td>TIM Cyber Security Report 2026<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Il dato sul settore pubblico \u00e8 quello che pi\u00f9 si lega all’attacco di Bruxelles. Secondo il Cyber Security Report 2026 di TIM e della Cyber Security Foundation, il 46% degli eventi cyber che colpiscono imprese e istituzioni in Italia ha preso di mira il settore governativo. Oltre la met\u00e0 dell’attivit\u00e0 di sfruttamento attribuita risulta riconducibile ad attori statuali o para-statuali. La pubblica amministrazione, in Europa, \u00e8 il bersaglio numero uno.<\/p>\n\n\n\n

Quanto costa una violazione: il conto economico<\/h2>\n\n\n\n

La dimensione economica aiuta a inquadrare la posta in gioco. Il Cost of a Data Breach Report 2025 di IBM ha fissato il costo medio globale di una violazione a 4,44 milioni di dollari, in calo del 9% rispetto ai 4,88 milioni del 2024, primo arretramento dopo cinque anni di crescita. Negli Stati Uniti, per\u00f2, il costo medio \u00e8 salito al massimo storico di 10,22 milioni di dollari. La discesa globale \u00e8 merito di rilevamento e contenimento pi\u00f9 rapidi, sostenuti anche dall’automazione e dall’intelligenza artificiale difensiva.<\/p>\n\n\n\n

Per un’istituzione pubblica il conto non si misura solo in euro. Si misura in fiducia erosa, in dossier riservati potenzialmente esposti, in leva negoziale persa nei tavoli internazionali. Una violazione che tocca contratti e comunicazioni della Commissione ha un costo reputazionale e strategico difficile da quantificare ma reale. \u00c8 il motivo per cui l’attacco di marzo, pur non avendo toccato le reti interne critiche, pesa pi\u00f9 di molte violazioni aziendali di pari volume.<\/p>\n\n\n\n

La tabella che segue confronta i parametri economici e operativi tra il settore privato e quello pubblico-istituzionale, mostrando perch\u00e9 gli attacchi alle istituzioni richiedono una metrica diversa.<\/p>\n\n\n\n

\n
Parametro<\/th>Settore privato<\/th>Settore pubblico\/istituzionale<\/th><\/tr><\/thead>
Costo medio violazione (2025)<\/td>4,44 mln USD (media globale IBM)<\/td>difficile da quantificare, alto impatto reputazionale<\/td><\/tr>\n
Movente prevalente<\/td>profitto economico<\/td>estorsione, spionaggio, attribuzione statuale<\/td><\/tr>\n
Dato pi\u00f9 esposto<\/td>credenziali, dati clienti<\/td>documenti riservati, contratti, directory SSO<\/td><\/tr>\n
Conseguenza principale<\/td>perdita finanziaria diretta<\/td>danno strategico e geopolitico<\/td><\/tr>\n
Pressione mediatica<\/td>medio-alta<\/td>molto alta<\/td><\/tr>\n
Quadro normativo applicabile<\/td>GDPR, NIS2<\/td>NIS2, regole istituzionali UE, Cyber Solidarity Act<\/td><\/tr>\n<\/tbody><\/table><\/figure>\n\n\n\n

Confronto con gli altri attacchi alle istituzioni europee<\/h2>\n\n\n\n

L’attacco a Europa.eu si inserisce in una serie ormai fitta di colpi contro l’infrastruttura digitale europea. A febbraio 2026 diversi portali governativi di Stati membri sono finiti sotto campagne DDoS, attribuite ad attori hacktivisti opportunisti pi\u00f9 che a una singola APT statuale, tanto da spingere l’Unione ad attivare i propri team di reazione rapida. Sempre nel 2025-2026 il continente ha visto colpi mirati a settori critici, dal trasporto aereo alla logistica.<\/p>\n\n\n\n

Il parallelo pi\u00f9 diretto \u00e8 con gli attacchi alle infrastrutture di trasporto. La paralisi che ha colpito alcuni scali continentali, documentata nel nostro approfondimento sul ransomware agli aeroporti europei<\/a>, ha mostrato la stessa logica: un fornitore di servizi condiviso compromesso, e l’onda d’urto che si propaga a decine di organizzazioni a valle. Cambia il settore, non lo schema. La supply chain \u00e8 il moltiplicatore comune.<\/p>\n\n\n\n

C’\u00e8 poi la componente di minaccia statuale. Gruppi come APT28, legati all’intelligence russa, hanno continuato nel 2025-2026 a colpire obiettivi governativi europei sfruttando vulnerabilit\u00e0 di prodotti diffusi, come ricostruito nell’analisi di Operation Neusploit<\/a>. A marzo 2026 l’Unione ha sanzionato entit\u00e0 cinesi e iraniane, oltre a due individui, per attacchi contro Stati membri. Per l’incidente specifico di Europa.eu, per\u00f2, l’attribuzione resta indirizzata verso il cybercrimine a scopo estorsivo pi\u00f9 che verso una APT statuale, segno di quanto i confini tra criminalit\u00e0 organizzata e operazioni geopolitiche siano sempre pi\u00f9 sfumati.<\/p>\n\n\n\n

Il contesto storico: dieci anni di attacchi alle istituzioni UE<\/h2>\n\n\n\n

Le istituzioni europee non sono nuove al fuoco cyber. Negli ultimi anni Parlamento, Consiglio, agenzie e organismi tecnici hanno subito intrusioni, campagne di spionaggio e attacchi DDoS con frequenza crescente. Quello che \u00e8 cambiato \u00e8 la natura dei bersagli: dalle reti interne, storicamente l’obiettivo dello spionaggio classico, si \u00e8 passati alle infrastrutture cloud pubbliche, dove i dati sono pi\u00f9 accessibili e l’estorsione pi\u00f9 immediata.<\/p>\n\n\n\n

Il salto \u00e8 anche di scala. Fino a pochi anni fa un attacco a un’istituzione comunitaria era un evento eccezionale; oggi \u00e8 parte di un flusso continuo. L’ENISA, nel suo panorama delle minacce, ha documentato per il 2025 migliaia di incidenti significativi a livello europeo, con l’hacktivismo come componente in forte crescita accanto al cybercrimine tradizionale. Chi vuole il quadro completo lo trova nella nostra sintesi dell’ENISA Threat Landscape 2025<\/a>.<\/p>\n\n\n\n

La traiettoria storica spiega l’urgenza normativa. NIS, poi NIS2, poi il Cybersecurity Act, poi il Cyber Solidarity Act: ogni nuovo strumento risponde a una lezione appresa sul campo. L’attacco di marzo 2026 sar\u00e0 ricordato come il caso che ha trasformato la sovranit\u00e0 cloud da slogan a priorit\u00e0 operativa, perch\u00e9 ha colpito non un’azienda qualsiasi, ma il volto digitale stesso dell’Unione.<\/p>\n\n\n\n

L’impatto sul mercato della cybersicurezza europea<\/h2>\n\n\n\n

Ogni grande incidente istituzionale muove il mercato. La violazione di Europa.eu rafforza la domanda di servizi di sicurezza cloud, di soluzioni di gestione delle identit\u00e0 e di strumenti per la difesa della catena di fornitura software. I fornitori europei di cybersicurezza, da anni in cerca di spazio contro i giganti americani, trovano in questo caso un argomento di vendita potente: la sovranit\u00e0 non \u00e8 un valore astratto, \u00e8 una richiesta concreta di clienti pubblici e privati.<\/p>\n\n\n\n

Cresce anche la spesa difensiva nel settore pubblico. La pubblica amministrazione europea, a lungo sottofinanziata sul fronte cyber, si trova ora sotto pressione politica per adeguare difese e personale. Il problema \u00e8 strutturale: in Italia, secondo le stime emerse dal dibattito sul Rapporto Clusit, l’investimento in sicurezza informatica resta una frazione minima del PIL, sproporzionata rispetto al volume di attacchi subiti. Il divario tra minaccia e budget \u00e8 il vero tallone d’Achille.<\/p>\n\n\n\n

Sul fronte degli hyperscaler, l’incidente accelera la corsa alle offerte di cloud sovrano. AWS, Azure e Google Cloud hanno gi\u00e0 lanciato in Europa configurazioni dedicate, con dati e operazioni confinati nel territorio UE e gestione affidata a personale europeo. La domanda, dopo marzo 2026, \u00e8 se queste soluzioni basteranno a placare la richiesta di indipendenza o se la spinta politica imporr\u00e0 alternative realmente europee. La risposta decider\u00e0 miliardi di euro di spesa nei prossimi anni.<\/p>\n\n\n\n

La voce degli esperti<\/h2>\n\n\n\n

Il coro di analisi attorno all’incidente converge su un punto: il problema non \u00e8 il singolo bug, ma la governance dell’ecosistema. Thomas Regnier, per la Commissione, ha tenuto la linea del contenimento, ribadendo che “le reti interne restano sicure” e che le misure di mitigazione sono state attivate tempestivamente. Una posizione difensiva, attenta a separare il danno pubblico dal cuore riservato dell’istituzione.<\/p>\n\n\n\n

Juhan Lepassaar, alla guida dell’ENISA, ha spostato il discorso sul piano sistemico, indicando nella vulnerabilit\u00e0 della catena di fornitura la lezione centrale dell’attacco e nella certificazione comune europea la risposta strutturale. \u00c8 la stessa logica che anima la commissaria Henna Virkkunen, promotrice del nuovo Cybersecurity Act: senza standard verificabili e senza un’ENISA pi\u00f9 forte, ogni fornitore resta una scatola nera e ogni scatola nera \u00e8 un rischio.<\/p>\n\n\n\n

Dal versante italiano, l’osservatorio Clusit, di cui Gabriele Faggioli \u00e8 figura di riferimento, da tempo segnala come il settore pubblico sia diventato il bersaglio preferito, con l’hacktivismo in crescita accanto al cybercrimine a scopo di profitto. La lettura \u00e8 coerente: l’attacco a Europa.eu non \u00e8 un fulmine a ciel sereno, ma il prodotto atteso di una tendenza misurata da anni. Gli esperti concordano che la sorpresa non \u00e8 l’attacco in s\u00e9, ma la persistenza dell’esposizione nonostante gli allarmi ripetuti.<\/p>\n\n\n\n

Cinque previsioni per la cybersicurezza europea<\/h2>\n\n\n\n

Sulla base dei dati e delle dinamiche in corso, ecco cinque scenari plausibili per i prossimi 12-18 mesi.<\/p>\n\n\n\n

    \n
  1. Accelerazione del cloud sovrano.<\/strong> La pressione politica seguita all’attacco spinger\u00e0 nuove gare pubbliche con requisiti stringenti di residenza e giurisdizione dei dati. Gli hyperscaler risponderanno ampliando le offerte sovrane europee, ma cresceranno anche le commesse per provider continentali.<\/li>\n
  2. Pi\u00f9 obblighi sulla catena di fornitura.<\/strong> Il nuovo Cybersecurity Act e l’applicazione della NIS2 imporranno verifiche e certificazioni a cascata sui fornitori. Le aziende che vendono software e servizi alla PA dovranno dimostrare la sicurezza dell’intera filiera, non solo del proprio prodotto.<\/li>\n
  3. Estorsione dati senza ransomware in crescita.<\/strong> Il furto e la minaccia di pubblicazione, senza cifratura, diventeranno il modello dominante contro le istituzioni, perch\u00e9 pi\u00f9 rapidi da eseguire e altrettanto efficaci nella leva negoziale.<\/li>\n
  4. Convergenza tra cybercrimine e attori statuali.<\/strong> I confini tra gruppi criminali e operazioni geopolitiche continueranno a sfumare, rendendo l’attribuzione pi\u00f9 difficile e le risposte sanzionatorie pi\u00f9 frequenti ma meno mirate.<\/li>\n
  5. Crescita degli investimenti pubblici, ma con ritardo.<\/strong> I budget cyber della PA europea aumenteranno, sospinti dagli incidenti, ma resteranno indietro rispetto alla curva degli attacchi. Il divario tra minaccia e difesa si ridurr\u00e0 solo lentamente.<\/li>\n<\/ol>\n\n\n\n

    Cosa possono imparare imprese e PA<\/h2>\n\n\n\n

    L’attacco a Europa.eu offre lezioni che valgono ben oltre Bruxelles. La prima \u00e8 la segmentazione: il fatto che le reti interne della Commissione siano rimaste isolate dimostra il valore di separare nettamente i sistemi pubblici da quelli critici. Un’architettura a comparti stagni limita il raggio del danno quando, non se, un perimetro cede.<\/p>\n\n\n\n

    La seconda \u00e8 la gestione della catena di fornitura. Affidarsi a cloud e software di terzi \u00e8 inevitabile, ma richiede inventario, monitoraggio e clausole contrattuali che definiscano responsabilit\u00e0 e tempi di risposta. La terza \u00e8 la trasparenza: la Commissione ha comunicato in pochi giorni, una scelta che, pur con tutti i limiti, ha contenuto il danno reputazionale. Nascondere un incidente, oggi, costa pi\u00f9 che ammetterlo.<\/p>\n\n\n\n

    Per le aziende italiane il messaggio \u00e8 diretto. Con la NIS2 in vigore, la notifica degli incidenti e la sicurezza della filiera non sono pi\u00f9 buone pratiche facoltative, ma obblighi di legge. L’episodio di Bruxelles, letto accanto al caso italiano del ransomware in Italia secondo Clusit<\/a>, mostra che il rischio \u00e8 trasversale: nessun settore, nessuna dimensione aziendale, nessuna istituzione ne \u00e8 immune.<\/p>\n\n\n\n

    Domande frequenti<\/h2>\n\n\n\n

    Quando \u00e8 avvenuto l’attacco alla Commissione Europea?<\/h3>\n\n\n\n

    La Commissione Europea ha scoperto l’attacco il 24 marzo 2026 e lo ha confermato pubblicamente nei giorni successivi, con un comunicato ufficiale del 26 marzo e conferme alla stampa il 27 marzo 2026.<\/p>\n\n\n\n

    Quali dati sono stati rubati?<\/h3>\n\n\n\n

    Il gruppo ShinyHunters ha rivendicato circa 350 GB di dati, tra cui contenuti di mail server, database, documenti riservati e contratti. \u00c8 una cifra dichiarata dagli aggressori, non confermata ufficialmente dalla Commissione. I dati provengono dalle infrastrutture cloud pubbliche, non dalle reti interne.<\/p>\n\n\n\n

    Chi c’\u00e8 dietro l’attacco?<\/h3>\n\n\n\n

    La rivendicazione \u00e8 del collettivo di estorsione ShinyHunters. L’attribuzione punta al cybercrimine a scopo economico pi\u00f9 che a una APT statuale, anche se i confini tra criminalit\u00e0 e operazioni geopolitiche sono sempre pi\u00f9 sfumati.<\/p>\n\n\n\n

    Le reti interne della Commissione sono state compromesse?<\/h3>\n\n\n\n

    Secondo Bruxelles, no. L’attacco ha colpito l’infrastruttura cloud pubblica che ospita Europa.eu, mentre le reti interne, dove transitano comunicazioni riservate, sarebbero rimaste sicure e isolate.<\/p>\n\n\n\n

    Perch\u00e9 si parla di sovranit\u00e0 digitale?<\/h3>\n\n\n\n

    Perch\u00e9 il portale ufficiale dell’Unione poggia su cloud commerciale gestito da hyperscaler statunitensi. L’incidente ha riacceso il dibattito sulla dipendenza europea da infrastrutture extra-UE e sulla necessit\u00e0 di alternative sovrane.<\/p>\n\n\n\n

    Quanto costa in media una violazione di dati nel 2025?<\/h3>\n\n\n\n

    Secondo il Cost of a Data Breach Report 2025 di IBM, il costo medio globale \u00e8 di 4,44 milioni di dollari, in calo del 9% rispetto al 2024. Negli Stati Uniti il costo medio sale al record di 10,22 milioni di dollari.<\/p>\n\n\n\n

    Cosa cambia con il nuovo Cybersecurity Act europeo?<\/h3>\n\n\n\n

    La proposta di gennaio 2026 mira a rafforzare l’ENISA e a introdurre un quadro di certificazione unificato per prodotti e servizi ICT nell’UE, con l’obiettivo di mettere in sicurezza la catena di fornitura, indicata come il punto debole emerso dall’attacco di marzo.<\/p>\n\n\n\n

    Come si proteggono le aziende italiane?<\/h3>\n\n\n\n

    Con la NIS2, recepita in Italia dal Decreto Legislativo 138\/2024, le imprese obbligate devono adottare misure di sicurezza, notificare gli incidenti e gestire la sicurezza della catena di fornitura. Segmentazione delle reti, inventario dei fornitori e piani di risposta agli incidenti sono le priorit\u00e0 operative.<\/p>\n\n\n\n

    Approfondimenti correlati<\/h3>\n\n\n\n