Passa ai contenuti principali

L’Europa arma la cyberdifesa, ma funzionerà davvero?

Il 6 giugno 2025, i ministri Ue della telecomunicazione hanno approvato un nuovo "Blueprint" per affrontare crisi informatiche su scala europea. L’obiettivo è ambizioso: creare una risposta strutturata e multilivello agli attacchi informatici, con una vera catena di comando tra enti civili, militari, tecnici e politici. Il sistema si attiva quando un attacco supera le capacità di uno Stato membro o coinvolge più paesi contemporaneamente. Si articola in tre livelli principali: tecnico (monitoraggio e allerta precoce), operativo (coordinamento tra centri nazionali e CERT), e politico (gestione strategica e comunicazioni ufficiali). A supervisionare ci sono organismi come ENISA, il network EU-CyCLONe e il Political and Security Committee (PSC). Sul piano militare, la risposta è integrata nella cornice della Politica di Sicurezza e Difesa Comune (CSDP), con il contributo di agenzie come la European Defence Agency (EDA) e la cooperazione rafforzata PESCO. Esistono già contatti diretti tra l’UE e la NATO per condividere informazioni e risorse. Tutto questo è stato pensato per garantire una reazione coordinata, veloce e interoperabile in caso di incidenti gravi come ransomware di massa, attacchi ibridi, o campagne di disinformazione ad alto impatto.

Funziona così: se un CERT nazionale rileva un attacco anomalo, può rivolgersi all’ENISA e al gruppo EU-CyCLONe per coordinare la risposta. Se la situazione peggiora, si attiva il Blueprint e si scala il coordinamento a livello europeo. Entrano in campo anche CERT militari e il Politico-Military Group, che decide se coinvolgere la NATO o attivare strumenti della difesa comune europea. Sono previste esercitazioni su larga scala a partire dal 2026, che coinvolgeranno sia enti pubblici che privati.

Tutto questo suona promettente, almeno sulla carta. Ma personalmente resto perplesso su un punto: il coordinamento. Mettere insieme apparati civili e militari di 27 paesi, ognuno con logiche e velocità diverse, non è semplice. La distinzione tra giurisdizioni e l’eventuale conflitto tra approcci politici, tecnici e strategici potrebbe creare ritardi o ambiguità nei momenti più critici. E anche se i canali con la NATO esistono, la cooperazione reale richiederà fiducia, condivisione e tempismo — cose non sempre scontate in ambito geopolitico. Staremo a vedere se questa macchina sarà davvero pronta a muoversi in modo coordinato quando sarà il momento.

Tag:

Commenti

Posta un commento

Popolari

WinRAR sotto attacco, zero-day critica sfruttata da hacker russi

Il 10 agosto 2025 è stata resa pubblica la vulnerabilità CVE-2025-8088 di WinRAR, una falla di tipo directory traversal già sfruttata in attacchi mirati da RomCom, gruppo hacker legato alla Russia e noto per operazioni di cyber-spionaggio ed estorsione. Il problema risiede nella gestione dei percorsi all’interno di archivi compressi: un file RAR malevolo può includere riferimenti a directory specifiche del sistema, forzando WinRAR a estrarre file in percorsi diversi da quelli scelti dall’utente. In particolare, è possibile copiare eseguibili nelle cartelle di avvio automatico di Windows, come %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup o %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp. Alla successiva accensione del PC, il malware viene avviato in automatico, ottenendo così persistenza sul sistema e potenzialmente consentendo il controllo remoto. Gli attacchi osservati sono stati condotti tramite campagne di spear-phishing: le vittime ricevevano email contenenti...
Posta un commento
Continua a leggere »

Nuovo attacco agli ambienti ibridi Microsoft, l’allarme lanciato a Black Hat. Active Directory ed Entra ID sotto esame, la tecnica che sfida MFA e controlli tradizionali

A Black Hat USA 2025 è stata mostrata una lezione dura ma utile per chiunque gestisca identità e mail aziendali: un ricercatore ha dimostrato come, in certi ambienti ibridi che sincronizzano Active Directory locale con Microsoft Entra ID (ex Azure AD), un account cloud apparentemente a bassa priorità possa essere trasformato in un account “ibrido” con privilegi amministrativi, senza passare dalle normali barriere di autenticazione e senza far scattare gli allarmi tradizionali. La dimostrazione — presentata da Dirk-jan Mollema di Outsider Security — ha messo in luce vettori di abuso legati al server di sincronizzazione (Entra Connect), alle modalità di corrispondenza degli account tra on-prem e cloud (soft matching) e a token/claim usati nei meccanismi di delega e in Exchange ibrido. Per chi non mastica quotidianamente questi termini: molte aziende hanno ancora un Active Directory “dentro l’azienda” per utenti e servizi, e allo stesso tempo usano servizi cloud come Microsoft 365. Per fa...
Posta un commento
Continua a leggere »

Italia, via libera al contrattacco cyber. Il nostro Paese ora può rispondere colpo su colpo

Immagina una stanza blindata, luci basse, grafici e mappe digitali proiettati sulle pareti: in mezzo al tavolo, una decisione da prendere in pochi minuti. È lo scenario che la nuova norma italiana rende possibile, dando al Presidente del Consiglio il potere di autorizzare, dopo consultazione con CISR e Copasir, un contrattacco cibernetico vero e proprio. Non parliamo di alzare firewall o bloccare un IP, ma di operazioni offensive su scala statale, condotte da AISE e AISI, con il coordinamento del DIS e il supporto del Ministero della Difesa. Il quadro è stato reso operativo con il Decreto Sicurezza (DL 48/2025, legge dal 9 giugno), che ha messo nero su bianco procedure, ruoli e condizioni. La norma prevede tre requisiti fondamentali: il bersaglio dev’essere identificabile con alto grado di certezza (ad esempio un gruppo APT o un’infrastruttura C2 specifica), le difese convenzionali devono essersi dimostrate inefficaci e la minaccia deve riguardare la sicurezza nazionale o quella di un...
Posta un commento
Continua a leggere »