BCyber

06/05/2026

📚 𝐏𝐫𝐢𝐦𝐚 𝐝𝐢 𝐥𝐚𝐧𝐜𝐢𝐚𝐫𝐞 𝐮𝐧 𝐚𝐭𝐭𝐚𝐜𝐜𝐨, 𝐮𝐧 𝐭𝐡𝐫𝐞𝐚𝐭 𝐚𝐜𝐭𝐨𝐫 𝐩𝐚𝐬𝐬𝐚 𝐠𝐢𝐨𝐫𝐧𝐢 𝐚 𝐥𝐞𝐠𝐠𝐞𝐫𝐞 𝐪𝐮𝐞𝐥𝐥𝐨 𝐜𝐡𝐞 𝐩𝐮𝐛𝐛𝐥𝐢𝐜𝐡𝐢 𝐭𝐮

Non i tuoi log, ma i tuoi annunci di lavoro.
E le slide che il CFO ha caricato su SlideShare nel 2021.
E il commit GitHub di un junior dev di tre anni fa.
E le foto del team building dove si vedono i badge al collo.
E la recensione su Glassdoor in cui un ex dipendente cita per nome il software gestionale.

Si chiama , Open Source Intelligence, è la fase di ricognizione, ed è gratis. Per l'attaccante e per chi difende.

Quando un cliente ci chiama dopo una compromissione e ci chiede "𝑐𝑜𝑚𝑒 ℎ𝑎𝑛𝑛𝑜 𝑓𝑎𝑡𝑡𝑜 𝑎 𝑠𝑎𝑝𝑒𝑟𝑒 𝑋 𝑑𝑖 𝑛𝑜𝑖?", la risposta nove volte su dieci è che l'avete pubblicato voi. In dieci anni di presenza online. Loro hanno solo letto.

Con i , il gioco è cambiato di scala.
Quello che prima richiedeva settimane di scraping, dorking e correlazioni manuali oggi 𝐮𝐧 𝐋𝐋𝐌 𝐥𝐨 𝐟𝐚 𝐢𝐧 𝐯𝐞𝐧𝐭𝐢 𝐦𝐢𝐧𝐮𝐭𝐢. La superficie OSINT delle aziende non è cresciuta, è diventata interrogabile in linguaggio naturale, da chiunque, gratuitamente.

Su questo Gianluca Boccacci, il nostro Head of Ethical Hacking, ha appena firmato un libro insieme a Gianluigi Bonanomi: "𝐈𝐥 𝐧𝐮𝐨𝐯𝐨 𝐩𝐞𝐭𝐫𝐨𝐥𝐢𝐨 (𝐨𝐧𝐥𝐢𝐧𝐞). 𝐎𝐒𝐈𝐍𝐓 𝐞 𝐢𝐧𝐭𝐞𝐥𝐥𝐢𝐠𝐞𝐧𝐳𝐚 𝐚𝐫𝐭𝐢𝐟𝐢𝐜𝐢𝐚𝐥𝐞: 𝐚 𝐜𝐚𝐜𝐜𝐢𝐚 𝐝𝐢 𝐝𝐚𝐭𝐢 𝐩𝐮𝐛𝐛𝐥𝐢𝐜𝐢 𝐧𝐞𝐥𝐥'𝐞𝐫𝐚 𝐝𝐞𝐢 𝐜𝐡𝐚𝐭𝐛𝐨𝐭" (Ledizioni).

I dati pubblici sono il petrolio del decennio e il problema più grande è che non hai un'azienda petrolifera con recinzioni e telecamere intorno al pozzo. Hai un giacimento aperto, e adesso anche le pompe sono diventate self-service.

Fieri di questo nuovo traguardo (da aggiungere alla lista degli innumerevoli raggiunti da Gianluca) - e sì, il libro merita una raccomandazione 😎

🔗 https://www.amazon.it/-/en/Gianluigi-Bonanomi/dp/B0GYBCYNC7

29/04/2026

🔴 𝐑𝐞𝐝 𝐓𝐞𝐚𝐦 𝐒𝐭𝐨𝐫𝐢𝐞𝐬: 𝐥𝐚 𝐩𝐚𝐬𝐬𝐰𝐨𝐫𝐝 𝐞 𝐥’𝐚𝐜𝐪𝐮𝐚𝐫𝐢𝐨

Quindi, 𝐥𝐚 𝐩𝐚𝐬𝐬𝐰𝐨𝐫𝐝 𝐞𝐫𝐚 𝐛𝐮𝐨𝐧𝐚 e rispettava tutti i canoni richiesti, 𝐢𝐥 𝐩𝐫𝐨𝐛𝐥𝐞𝐦𝐚 𝐞𝐫𝐚 𝐭𝐮𝐭𝐭𝐨 𝐢𝐧𝐭𝐨𝐫𝐧𝐨.

Succede spesso: policy corretta, il MFA attivo, gli accessi nominali (revisionati una volta all’anno…) e le password lunghe abbastanza da far felice chi compila la checklist.

Poi guardi il processo:
𝐶𝑜𝑚𝑒 𝑠𝑖 𝑟𝑒𝑐𝑢𝑝𝑒𝑟𝑎 𝑢𝑛 𝑎𝑐𝑐𝑜𝑢𝑛𝑡?
𝐶ℎ𝑖 𝑝𝑢𝑜̀ 𝑐ℎ𝑖𝑒𝑑𝑒𝑟𝑒 𝑢𝑛 𝑟𝑒𝑠𝑒𝑡?
𝐶𝑜𝑠𝑎 𝑠𝑢𝑐𝑐𝑒𝑑𝑒 𝑞𝑢𝑎𝑛𝑑𝑜 𝑒𝑛𝑡𝑟𝑎 𝑢𝑛 𝑓𝑜𝑟𝑛𝑖𝑡𝑜𝑟𝑒?
𝑄𝑢𝑎𝑛𝑡𝑜 𝑟𝑒𝑠𝑡𝑎 𝑎𝑡𝑡𝑖𝑣𝑜 𝑢𝑛 𝑢𝑡𝑒𝑛𝑡𝑒 “𝑡𝑒𝑚𝑝𝑜𝑟𝑎𝑛𝑒𝑜”?
𝐶ℎ𝑖 𝑐𝑜𝑛𝑡𝑟𝑜𝑙𝑙𝑎 𝑔𝑙𝑖 𝑎𝑐𝑐𝑒𝑠𝑠𝑖 𝑑𝑒𝑔𝑙𝑖 𝑎𝑝𝑝𝑎𝑟𝑎𝑡𝑖 𝑐ℎ𝑒 𝑛𝑒𝑠𝑠𝑢𝑛𝑜 𝑐𝑜𝑛𝑠𝑖𝑑𝑒𝑟𝑎 𝑠𝑒𝑟𝑣𝑒𝑟?

Il 𝐩𝐮𝐧𝐭𝐨 𝐝𝐞𝐛𝐨𝐥𝐞 sta nel flusso operativo che un’azienda usa tutti i giorni senza più vederlo, 𝐨𝐫𝐚𝐦𝐚𝐢 𝐞̀ 𝐮𝐧 𝐟𝐨𝐠𝐥𝐢𝐨 𝐧𝐞𝐥 𝐜𝐚𝐬𝐬𝐞𝐭𝐭𝐨; ma un attaccante sente odore di via d’accesso quando la routine non viene più vista e diventa parte della tappezzeria.

Il caso del 𝐂𝐚𝐬𝐢𝐧𝐨̀ 𝐜𝐨𝐧 𝐮𝐧 𝐭𝐞𝐫𝐦𝐨𝐦𝐞𝐭𝐫𝐨 𝐬𝐦𝐚𝐫𝐭 𝐝𝐞𝐥𝐥’𝐚𝐜𝐪𝐮𝐚𝐫𝐢𝐨, sfruttato da un attaccante, resta uno degli esempi più surreali: secondo Darktrace, il dispositivo fu usato come foothold, poi gli attaccanti provarono a muoversi nella rete e a far uscire dati verso l’esterno.

𝐔𝐧 𝐚𝐜𝐪𝐮𝐚𝐫𝐢𝐨.

Non un firewall.
Non un server critico.
Un acquario.

Da fuori fa sorridere, da dentro fa male, perché qualcuno aveva collegato un oggetto alla rete senza chiedersi che ruolo avrebbe avuto in caso di compromissione.

𝐀𝐯𝐞𝐭𝐞 𝐚𝐩𝐩𝐚𝐫𝐞𝐜𝐜𝐡𝐢 𝐬𝐦𝐚𝐫𝐭 𝐝𝐢 𝐧𝐮𝐨𝐯𝐚 𝐢𝐧𝐬𝐭𝐚𝐥𝐥𝐚𝐳𝐢𝐨𝐧𝐞?
Ecco, forse è il caso di rivedere dove vanno.. a parare 🙄

28/04/2026

𝐈𝐥 𝐩𝐞𝐧𝐭𝐞𝐬𝐭 𝐦𝐢𝐠𝐥𝐢𝐨𝐫𝐞? 𝐐𝐮𝐞𝐥𝐥𝐨 𝐜𝐡𝐞 𝐧𝐨𝐧 𝐡𝐚𝐢 𝐚𝐧𝐜𝐨𝐫𝐚 𝐟𝐚𝐭𝐭𝐨 😎

L’uso delle AI per tutto, dalla ricetta delle migliori 𝐟𝐞𝐭𝐭𝐮𝐜𝐜𝐢𝐧𝐞 𝐀𝐥𝐟𝐫𝐞𝐝𝐨 (spoiler: non esistono) fino alla riparazione della console della 𝐜𝐞𝐧𝐭𝐫𝐚𝐥𝐞 𝐧𝐮𝐜𝐥𝐞𝐚𝐫𝐞 𝐝𝐢 𝐒𝐩𝐫𝐢𝐧𝐠𝐟𝐢𝐞𝐥𝐝, ha fatto anche cose buone, ad esempio automatizzare il lungo lavoro di reporting.

Peccato che i report di pentest siano oramai diventati una 𝐥𝐮𝐧𝐠𝐚 𝐥𝐢𝐬𝐭𝐚: tante righe, tanti score, tanti colori. Che può anche sembrare rassicurante, ma inevitabilmente arriva il momento delle decisioni e nessuno sa da dove partire.

Stesso schema: il 𝐛𝐨𝐚𝐫𝐝 vuole sapere se il rischio è reale, l’𝐈𝐓 vuole sapere cosa chiudere prima e il 𝐂𝐈𝐒𝐎 vuole capire se una vulnerabilità isolata può diventare una catena d’attacco. Ci si aggiunge anche il 𝐭𝐞𝐚𝐦 𝐭𝐞𝐜𝐧𝐢𝐜𝐨 che vuole dettagli, prove, screenshot, passaggi ripetibili.

Ecco, il 𝐫𝐞𝐩𝐨𝐫𝐭 𝐝𝐢 𝐮𝐧 𝐩𝐞𝐧𝐭𝐞𝐬𝐭 fatto bene deve parlare a tutti questi livelli, deve dire: “𝑞𝑢𝑒𝑠𝑡𝑎 𝑐𝑜𝑠𝑎 𝑒̀ 𝑒𝑠𝑝𝑜𝑠𝑡𝑎, 𝑞𝑢𝑒𝑠𝑡𝑎 𝑠𝑖 𝑝𝑢𝑜̀ 𝑠𝑓𝑟𝑢𝑡𝑡𝑎𝑟𝑒, 𝑞𝑢𝑒𝑠𝑡𝑎 𝑝𝑜𝑟𝑡𝑎 𝑎 𝑐𝑟𝑒𝑑𝑒𝑛𝑧𝑖𝑎𝑙, 𝑞𝑢𝑒𝑠𝑡𝑎 𝑎𝑝𝑟𝑒 𝑚𝑜𝑣𝑖𝑚𝑒𝑛𝑡𝑜 𝑙𝑎𝑡𝑒𝑟𝑎𝑙𝑒 𝑒 𝑞𝑢𝑒𝑠𝑡𝑎 𝑝𝑢𝑜̀ 𝑑𝑖𝑣𝑒𝑛𝑡𝑎𝑟𝑒 𝑢𝑛 𝑖𝑚𝑝𝑎𝑡𝑡𝑜 𝑖𝑚𝑝𝑜𝑟𝑡𝑎𝑛𝑡𝑒 𝑠𝑢𝑙 𝑏𝑢𝑠𝑖𝑛𝑒𝑠𝑠”.

Il resto è fuffa.
Anche perché oggi il perimetro non finisce più dove finiva prima: ci sono stampanti, router, telecamere, sensori, NAS, access point, device di filiale, appliance vecchie, oggetti comprati anni fa e mai inseriti davvero in una gestione security - e non solo a casa.

Il caso lo ha mostrato anni fa con brutalità: router, videocamere IP e DVR con credenziali di fabbrica sono diventati 𝐛𝐨𝐭 𝐩𝐞𝐫 𝐃𝐃𝐨𝐒 𝐬𝐮 𝐥𝐚𝐫𝐠𝐚 𝐬𝐜𝐚𝐥𝐚.

Da un report, quindi, c’è una domanda utile che deve sempre emergere: 𝐪𝐮𝐚𝐥𝐞 𝐜𝐨𝐦𝐛𝐢𝐧𝐚𝐳𝐢𝐨𝐧𝐞 𝐝𝐢 𝐞𝐫𝐫𝐨𝐫𝐢 𝐩𝐞𝐫𝐦𝐞𝐭𝐭𝐞 𝐚 𝐪𝐮𝐚𝐥𝐜𝐮𝐧𝐨 𝐝𝐢 𝐞𝐧𝐭𝐫𝐚𝐫𝐞, 𝐫𝐞𝐬𝐭𝐚𝐫𝐞 𝐞 𝐟𝐚𝐫𝐞 𝐝𝐚𝐧𝐧𝐨?

(e se il vostro ultimo test non vi ha aiutato a rispondere, forse vi ha dato solo una lista, non una direzione)

27/04/2026

🔴 𝐑𝐞𝐝 𝐓𝐞𝐚𝐦 𝐒𝐭𝐨𝐫𝐢𝐞𝐬: ..𝐞̀ 𝐜𝐨𝐦𝐞 𝐟𝐢𝐥𝐦 𝐝𝐢 𝐨𝐫𝐫𝐨𝐫𝐞!

Una 𝐦𝐚𝐜𝐜𝐡𝐢𝐧𝐚 𝐭𝐞𝐦𝐩𝐨𝐫𝐚𝐧𝐞𝐚 accesa da tre anni (tre, three, trois).
Sembra una frase da inventario fatto male (o da film horror di serie B), in realtà è una delle cose che, in un assessment, fanno ve**re voglia di fermarsi e respirare.

La scena è questa:
- un ambiente creato per un test
- un servizio esposto “solo per qualche giorno”
- una credenziale usata da più persone, perché tanto era roba interna
- una regola firewall lasciata lì, perché nessuno voleva rischiare di rompere qualcosa

Poi passano i mesi, e cambia il fornitore, e cambia il sysadmin, e cambia la priorità (che al mercato mio padre comprò) ma 𝐥𝐚 𝐦𝐚𝐜𝐜𝐡𝐢𝐧𝐚 𝐫𝐞𝐬𝐭𝐚.

Quando guardi una rete con occhi da attaccante, i sistemi importanti non sono sempre quelli che il cliente indica come critici;a volte 𝐢𝐥 𝐩𝐞𝐫𝐜𝐨𝐫𝐬𝐨 𝐩𝐚𝐬𝐬𝐚 𝐝𝐚 𝐜𝐢𝐨̀ 𝐜𝐡𝐞 𝐧𝐞𝐬𝐬𝐮𝐧𝐨 𝐧𝐨𝐦𝐢𝐧𝐚 𝐩𝐢𝐮̀.

Una stampante con pannello web esposto.
Un router dimenticato in una sede secondaria.
Un NAS con firmware vecchio.
Un appliance che “𝑔𝑒𝑠𝑡𝑖𝑠𝑐𝑒 𝑠𝑜𝑙𝑜 𝑢𝑛𝑎 𝑐𝑜𝑠𝑎”.

Nel 2025 ha documentato vulnerabilità su 𝐜𝐞𝐧𝐭𝐢𝐧𝐚𝐢𝐚 𝐝𝐢 𝐦𝐨𝐝𝐞𝐥𝐥𝐢 𝐁𝐫𝐨𝐭𝐡𝐞𝐫 𝐞 𝐎𝐄𝐌 𝐜𝐨𝐥𝐥𝐞𝐠𝐚𝐭𝐢: in un caso, conoscendo il seriale della stampante, un attaccante poteva generare la password admin di default. E il seriale poteva essere recuperato via HTTP, HTTPS, IPP, SNMP o PJL.

La porta d’ingresso raramente ha scritto “porta d’ingresso”, spesso ha un cartellone con scritto “printer”, “test”, “old”, “backup”, “temporary” - e nessuno la guarda più.

24/04/2026

⚖️ 𝐋𝐚 𝐫𝐞𝐬𝐩𝐨𝐧𝐬𝐚𝐛𝐢𝐥𝐢𝐭𝐚̀ 𝐩𝐞𝐫 𝐥𝐚 𝐠𝐞𝐬𝐭𝐢𝐨𝐧𝐞 𝐝𝐞𝐥 𝐫𝐢𝐬𝐜𝐡𝐢𝐨 𝐜𝐲𝐛𝐞𝐫 𝐧𝐨𝐧 𝐩𝐮𝐨̀ 𝐞𝐬𝐬𝐞𝐫𝐞 𝐝𝐞𝐥𝐞𝐠𝐚𝐭𝐚 𝐚𝐥𝐥'𝐈𝐓

Una delle novità più rilevanti della normativa (e tra le meno discusse) è che la responsabilità per la gestione del rischio cyber non può essere delegata all'IT; ricade sugli organi di gestione: il consiglio di amministrazione, i vertici esecutivi, chi firma le decisioni strategiche.

𝐍𝐨𝐧 𝐞̀ 𝐮𝐧𝐚 𝐬𝐟𝐮𝐦𝐚𝐭𝐮𝐫𝐚 𝐧𝐨𝐫𝐦𝐚𝐭𝐢𝐯𝐚.
Se un incidente significativo si verifica e emerge che il board non aveva approvato politiche adeguate, non aveva stanziato risorse sufficienti, o non aveva ricevuto informazioni regolari sullo stato della sicurezza, 𝐥𝐚 𝐫𝐞𝐬𝐩𝐨𝐧𝐬𝐚𝐛𝐢𝐥𝐢𝐭𝐚̀ 𝐞̀ 𝐩𝐞𝐫𝐬𝐨𝐧𝐚𝐥𝐞, 𝐧𝐨𝐧 𝐬𝐨𝐥𝐨 𝐚𝐳𝐢𝐞𝐧𝐝𝐚𝐥𝐞.

Abbiamo chiesto a Christian Leblanc, qual è il ruolo del DPO: “𝑈𝑛𝑜 𝑑𝑒𝑖 𝑐𝑜𝑚𝑝𝑖𝑡𝑖 𝑑𝑒𝑙 𝐷𝑃𝑂 𝑒̀ 𝑟𝑖𝑓𝑒𝑟𝑖𝑟𝑒 𝑎𝑖 𝑣𝑒𝑟𝑡𝑖𝑐𝑖 𝑑𝑒𝑙𝑙'𝑜𝑟𝑔𝑎𝑛𝑖𝑧𝑧𝑎𝑧𝑖𝑜𝑛𝑒, 𝑐𝑜𝑛 𝑑𝑎𝑡𝑖 𝑒𝑑 𝑒𝑣𝑖𝑑𝑒𝑛𝑧𝑒, 𝑖 𝑟𝑖𝑠𝑐ℎ𝑖 𝑙𝑒𝑔𝑎𝑡𝑖 𝑎𝑙 𝑡𝑟𝑎𝑡𝑡𝑎𝑚𝑒𝑛𝑡𝑜 𝑑𝑒𝑖 𝑑𝑎𝑡𝑖 𝑝𝑒𝑟𝑠𝑜𝑛𝑎𝑙𝑖 𝑒 𝑙𝑒 𝑒𝑣𝑒𝑛𝑡𝑢𝑎𝑙𝑖 𝑙𝑎𝑐𝑢𝑛𝑒 𝑜 𝑐𝑎𝑟𝑒𝑛𝑧𝑒 𝑛𝑒𝑙𝑙𝑒 𝑚𝑖𝑠𝑢𝑟𝑒 𝑑𝑖 𝑠𝑖𝑐𝑢𝑟𝑒𝑧𝑧𝑎 𝑝𝑟𝑒𝑣𝑖𝑠𝑡𝑒 𝑑𝑎𝑙𝑙'𝑎𝑟𝑡. 32 (𝑒, 𝑝𝑒𝑟 𝑒𝑠𝑡𝑒𝑛𝑠𝑖𝑜𝑛𝑒, 𝑑𝑒𝑔𝑙𝑖 𝑎𝑟𝑡𝑡. 33, 34 𝑒 35) 𝑑𝑒𝑙 𝐺𝐷𝑃𝑅. 𝑄𝑢𝑎𝑛𝑑𝑜 𝑞𝑢𝑒𝑠𝑡𝑜 𝑓𝑙𝑢𝑠𝑠𝑜 𝑖𝑛𝑓𝑜𝑟𝑚𝑎𝑡𝑖𝑣𝑜 𝑚𝑎𝑛𝑐𝑎 𝑜 𝑒̀ 𝑝𝑎𝑟𝑧𝑖𝑎𝑙𝑒, 𝑖𝑙 𝑝𝑟𝑜𝑏𝑙𝑒𝑚𝑎 𝑛𝑜𝑛 𝑟𝑖𝑔𝑢𝑎𝑟𝑑𝑎 𝑠𝑜𝑙𝑜 𝑙𝑎 𝑝𝑟𝑖𝑣𝑎𝑐𝑦, 𝑚𝑎 𝑎𝑛𝑐ℎ𝑒 𝑙𝑎 𝑔𝑜𝑣𝑒𝑟𝑛𝑎𝑛𝑐𝑒. 𝐿'𝐸𝐷𝑃𝐵, 𝑐ℎ𝑒 𝑐𝑜𝑜𝑟𝑑𝑖𝑛𝑎 𝑙𝑒 𝑎𝑢𝑡𝑜𝑟𝑖𝑡𝑎̀ 𝑔𝑎𝑟𝑎𝑛𝑡𝑖 𝑑𝑒𝑔𝑙𝑖 𝑆𝑡𝑎𝑡𝑖 𝑚𝑒𝑚𝑏𝑟𝑖, 𝑙𝑜 ℎ𝑎 𝑠𝑒𝑔𝑛𝑎𝑙𝑎𝑡𝑜 𝑡𝑟𝑎 𝑙𝑒 𝑐𝑟𝑖𝑡𝑖𝑐𝑖𝑡𝑎̀ 𝑝𝑖𝑢̀ 𝑟𝑖𝑐𝑜𝑟𝑟𝑒𝑛𝑡𝑖. 𝐴𝑛𝑐ℎ𝑒 𝑖𝑙 𝑞𝑢𝑎𝑑𝑟𝑜 𝑛𝑜𝑟𝑚𝑎𝑡𝑖𝑣𝑜 𝑒𝑢𝑟𝑜𝑝𝑒𝑜 𝑣𝑎 𝑛𝑒𝑙𝑙𝑎 𝑠𝑡𝑒𝑠𝑠𝑎 𝑑𝑖𝑟𝑒𝑧𝑖𝑜𝑛𝑒 𝑒 𝑟𝑎𝑓𝑓𝑜𝑟𝑧𝑎 𝑖𝑙 𝑐𝑜𝑛𝑐𝑒𝑡𝑡𝑜. 𝐼𝑛𝑓𝑎𝑡𝑡𝑖, 𝑙𝑎 𝐷𝑖𝑟𝑒𝑡𝑡𝑖𝑣𝑎 𝑁𝐼𝑆2 (2022/2555), 𝑟𝑒𝑐𝑒𝑝𝑖𝑡𝑎 𝑖𝑛 𝐼𝑡𝑎𝑙𝑖𝑎 𝑐𝑜𝑛 𝑖𝑙 𝐷.𝑙𝑔𝑠. 138/2024 𝑖𝑚𝑝𝑜𝑛𝑒 𝑎𝑔𝑙𝑖 𝑜𝑟𝑔𝑎𝑛𝑖 𝑑𝑖 𝑎𝑚𝑚𝑖𝑛𝑖𝑠𝑡𝑟𝑎𝑧𝑖𝑜𝑛𝑒 𝑙𝑎 𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑎𝑏𝑖𝑙𝑖𝑡𝑎̀ 𝑑𝑖 𝑣𝑎𝑙𝑢𝑡𝑎𝑟𝑒 𝑖𝑙 𝑟𝑖𝑠𝑐ℎ𝑖𝑜 𝑑𝑖 𝑐𝑦𝑏𝑒𝑟𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑦 𝑒 𝑑𝑖 𝑣𝑒𝑟𝑖𝑓𝑖𝑐𝑎𝑟𝑛𝑒 𝑙'𝑎𝑡𝑡𝑢𝑎𝑧𝑖𝑜𝑛𝑒. 𝐴𝑙𝑙’𝑎𝑟𝑡. 23 𝑑𝑒𝑙 𝑑𝑒𝑐𝑟𝑒𝑡𝑜 𝑠𝑖 𝑙𝑒𝑔𝑔𝑒 𝑐ℎ𝑒 “𝑙𝑒 𝑝𝑒𝑟𝑠𝑜𝑛𝑒 𝑓𝑖𝑠𝑖𝑐ℎ𝑒 𝑐𝑜𝑛 𝑓𝑢𝑛𝑧𝑖𝑜𝑛𝑖 𝑑𝑖𝑟𝑖𝑔𝑒𝑛𝑧𝑖𝑎𝑙𝑖 𝑝𝑜𝑠𝑠𝑜𝑛𝑜 𝑒𝑠𝑠𝑒𝑟𝑒 𝑟𝑖𝑡𝑒𝑛𝑢𝑡𝑒 𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑎𝑏𝑖𝑙𝑖 𝑖𝑛 𝑐𝑎𝑠𝑜 𝑑𝑖 𝑣𝑖𝑜𝑙𝑎𝑧𝑖𝑜𝑛𝑒”.
𝑄𝑢𝑖𝑛𝑑𝑖, 𝑝𝑟𝑖𝑣𝑎𝑐𝑦 𝑒 𝑐𝑦𝑏𝑒𝑟𝑠𝑒𝑐𝑢𝑟𝑖𝑡𝑦 𝑛𝑜𝑛 𝑠𝑜𝑛𝑜 𝑝𝑖𝑢̀ 𝑚𝑎𝑡𝑒𝑟𝑖𝑒 𝑒𝑠𝑐𝑙𝑢𝑠𝑖𝑣𝑎𝑚𝑒𝑛𝑡𝑒 𝑟𝑒𝑙𝑎𝑡𝑖𝑣𝑒 𝑎𝑙𝑙𝑒 𝑓𝑢𝑛𝑧𝑖𝑜𝑛𝑖 𝑡𝑒𝑐𝑛𝑖𝑐ℎ𝑒, 𝑏𝑒𝑛𝑠𝑖̀ 𝑟𝑒𝑠𝑝𝑜𝑛𝑠𝑎𝑏𝑖𝑙𝑖𝑡𝑎̀ 𝑑𝑒𝑙 𝑐𝑜𝑛𝑠𝑖𝑔𝑙𝑖𝑜 𝑑𝑖 𝑎𝑚𝑚𝑖𝑛𝑖𝑠𝑡𝑟𝑎𝑧𝑖𝑜𝑛𝑒.”

La domanda che vale la pena porre al tuo board oggi: l'ultima volta che avete discusso formalmente di rischio cyber in CDA, quando è stata?

22/04/2026

🔴 𝐑𝐞𝐝 𝐓𝐞𝐚𝐦 𝐒𝐭𝐨𝐫𝐢𝐞𝐬: 𝐥𝐢𝐧𝐞𝐚 𝐝𝐢 𝐩𝐫𝐨𝐝𝐮𝐳𝐢𝐨𝐧𝐞 𝐢𝐧𝐜𝐞𝐩𝐩𝐚𝐭𝐚

L'azienda produce 𝐜𝐨𝐦𝐩𝐨𝐧𝐞𝐧𝐭𝐢 𝐩𝐞𝐫 𝐥'𝐚𝐮𝐭𝐨𝐦𝐨𝐭𝐢𝐯𝐞: linee di produzione automatizzate, PLC che controllavano i macchinari e un reparto IT totalmente separato dall'OT (o almeno così credeva il cliente).

Durante la ricognizione abbiamo trovato un segmento di rete dove i due mondi si toccavano.
Un PC di supervisione usato dai tecnici di manutenzione per accedere sia ai sistemi gestionali che ai PLC di linea (Windows 7, mai aggiornato, raggiungibile dalla rete corporate).
Da lì alla workstation, dalla workstation ai PLC, il percorso era diretto.
Non abbiamo toccato nulla, era un engagement autorizzato e il confine era chiaro, ma abbiamo 𝐦𝐨𝐬𝐭𝐫𝐚𝐭𝐨 𝐚𝐥 𝐜𝐥𝐢𝐞𝐧𝐭𝐞 𝐜𝐨𝐬𝐚 𝐬𝐚𝐫𝐞𝐛𝐛𝐞 𝐬𝐭𝐚𝐭𝐨 𝐩𝐨𝐬𝐬𝐢𝐛𝐢𝐥𝐞: modificare i parametri di pressione su una pressa idraulica, alterare i cicli di raffreddamento, mandare fuori tolleranza una linea intera senza che nessun allarme scattasse, perché i sistemi di monitoraggio non erano progettati per rilevare comandi legittimi inviati da un utente non autorizzato.

Giorni di fermo produzione, contratti non rispettati, penali, e nel caso peggiore un incidente fisico su linea.. il presupposto che la separazione tra IT e OT sia reale solo perché è stata disegnata così su carta anni fa, non regge più.

20/04/2026

🪫 Il fatto che un riesca a 𝐩𝐚𝐬𝐬𝐚𝐫𝐞 𝐢 𝐜𝐨𝐧𝐭𝐫𝐨𝐥𝐥𝐢 𝐝𝐞𝐥𝐥’𝐀𝐩𝐩 𝐒𝐭𝐨𝐫𝐞 è un promemoria piuttosto insistente di quanto la tecnologia sia più avanti dell’umano.

La 𝐟𝐢𝐝𝐮𝐜𝐢𝐚 𝐢𝐦𝐩𝐥𝐢𝐜𝐢𝐭𝐚 negli store ufficiali continua a essere uno dei vettori più sfruttati; cambiano le tecniche, ma il principio di base resta: 𝑠𝑒 𝑙’𝑢𝑡𝑒𝑛𝑡𝑒 𝑠𝑖 𝑓𝑖𝑑𝑎 “𝑎 𝑝𝑟𝑖𝑜𝑟𝑖”, 𝑙’𝑎𝑡𝑡𝑎𝑐𝑐𝑎𝑛𝑡𝑒 ℎ𝑎 𝑔𝑖𝑎̀ 𝑚𝑒𝑡𝑎̀ 𝑑𝑒𝑙 𝑙𝑎𝑣𝑜𝑟𝑜 𝑓𝑎𝑡𝑡𝑜.

Ecco, questo caso dimostra quanto sia 𝐟𝐨𝐧𝐝𝐚𝐦𝐞𝐧𝐭𝐚𝐥𝐞 𝐚𝐟𝐟𝐢𝐚𝐧𝐜𝐚𝐫𝐞 𝐚𝐥𝐥𝐚 𝐭𝐞𝐜𝐧𝐨𝐥𝐨𝐠𝐢𝐚 𝐚𝐧𝐜𝐡𝐞 𝐚𝐰𝐚𝐫𝐞𝐧𝐞𝐬𝐬 𝐞 𝐜𝐨𝐧𝐭𝐫𝐨𝐥𝐥𝐨 𝐝𝐞𝐥 𝐜𝐨𝐦𝐩𝐨𝐫𝐭𝐚𝐦𝐞𝐧𝐭𝐨, soprattutto in ambito crypto dove l’impatto è immediato e spesso irreversibile.

In March 2026, we uncovered more than twenty phishing apps in the Apple App Store masquerading as popular crypto wallets.

20/04/2026

🔴 𝐑𝐞𝐝 𝐓𝐞𝐚𝐦 𝐒𝐭𝐨𝐫𝐢𝐞𝐬: 𝐚 𝐬𝐭𝐚𝐫 𝐦𝐚𝐥𝐞 𝐧𝐨𝐧 𝐬𝐨𝐧𝐨 𝐬𝐨𝐥𝐨 𝐢 𝐦𝐚𝐥𝐚𝐭𝐢..

L'ospedale aveva un 𝐬𝐢𝐬𝐭𝐞𝐦𝐚 𝐑𝐈𝐒 per la gestione delle immagini radiologiche, raggiungibile dall'esterno, credenziali di default mai cambiate dal setup iniziale.
L'abbiamo trovato in 𝐪𝐮𝐚𝐫𝐚𝐧𝐭𝐚𝐝𝐮𝐞 𝐦𝐢𝐧𝐮𝐭𝐢 𝐝𝐢 𝐫𝐢𝐜𝐨𝐠𝐧𝐢𝐳𝐢𝐨𝐧𝐞 𝐩𝐚𝐬𝐬𝐢𝐯𝐚.

Dentro c'erano anni di referti, TAC, risonanze con nome e cognome, codice fiscale, diagnosi. 𝐃𝐚𝐭𝐢 𝐜𝐡𝐞 𝐯𝐚𝐥𝐠𝐨𝐧𝐨 𝐦𝐨𝐥𝐭𝐨 𝐩𝐢𝐮̀ 𝐝𝐢 𝐮𝐧 𝐧𝐮𝐦𝐞𝐫𝐨 𝐝𝐢 𝐜𝐚𝐫𝐭𝐚 𝐝𝐢 𝐜𝐫𝐞𝐝𝐢𝐭𝐨 sul mercato nero: una cartella clinica completa, infatti, può arrivare a dieci volte il prezzo, perché non si cancella e si può usare per anni - e anni, e anni e anni.

Non abbiamo sfruttato nessuna vulnerabilità esotica perché 𝐢𝐥 𝐬𝐢𝐬𝐭𝐞𝐦𝐚 𝐞𝐫𝐚 𝐬𝐞𝐦𝐩𝐥𝐢𝐜𝐞𝐦𝐞𝐧𝐭𝐞 𝐞𝐬𝐩𝐨𝐬𝐭𝐨 𝐬𝐮 𝐢𝐧𝐭𝐞𝐫𝐧𝐞𝐭 con le credenziali che il produttore mette nel manuale (nota bene: *quel* manuale è pubblico).

Quando l'abbiamo mostrato al responsabile IT, la prima reazione è stata che quel sistema "𝑛𝑜𝑛 𝑑𝑜𝑣𝑒𝑣𝑎 𝑒𝑠𝑠𝑒𝑟𝑒 𝑟𝑎𝑔𝑔𝑖𝑢𝑛𝑔𝑖𝑏𝑖𝑙𝑒 𝑑𝑎𝑙𝑙'𝑒𝑠𝑡𝑒𝑟𝑛𝑜" - a sua discolpa, era davvero impaurito e costernato!
Non lo sapeva, semplicemente non lo sapeva e 𝐧𝐞𝐬𝐬𝐮𝐧𝐨 𝐥𝐨 𝐚𝐯𝐞𝐯𝐚 𝐦𝐚𝐢 𝐯𝐞𝐫𝐢𝐟𝐢𝐜𝐚𝐭𝐨.
Era stato configurato così anni prima da un tecnico esterno e nessuno ci aveva più messo mano.

In ambito sanitario questo accade più spesso di quanto si pensi, perché i sistemi clinici hanno 𝐜𝐢𝐜𝐥𝐢 𝐝𝐢 𝐯𝐢𝐭𝐚 𝐥𝐮𝐧𝐠𝐡𝐢𝐬𝐬𝐢𝐦𝐢, vengono gestiti da fornitori specializzati (e spesso imposti) che raramente pensano alla sicurezza, e l'𝐈𝐓 𝐨𝐬𝐩𝐞𝐝𝐚𝐥𝐢𝐞𝐫𝐨 𝐬𝐩𝐞𝐬𝐬𝐨 𝐧𝐨𝐧 𝐡𝐚 𝐧𝐞́ 𝐥𝐞 𝐫𝐢𝐬𝐨𝐫𝐬𝐞 𝐧𝐞́ 𝐥𝐚 𝐯𝐢𝐬𝐢𝐛𝐢𝐥𝐢𝐭𝐚̀ 𝐩𝐞𝐫 𝐭𝐞𝐧𝐞𝐫𝐞 𝐭𝐮𝐭𝐭𝐨 𝐬𝐨𝐭𝐭𝐨 𝐜𝐨𝐧𝐭𝐫𝐨𝐥𝐥𝐨.

Il risultato è che i dati più sensibili che un paziente affida a una struttura sanitaria finiscono esposti su un sistema che nessuno sta guardando, raggiungibile da chiunque sappia cosa cercare.
.𝐞 𝐜𝐡𝐢 𝐚𝐭𝐭𝐚𝐜𝐜𝐚 𝐬𝐚 𝐞𝐬𝐚𝐭𝐭𝐚𝐦𝐞𝐧𝐭𝐞 𝐜𝐨𝐬𝐚 𝐜𝐞𝐫𝐜𝐚𝐫𝐞.

14/04/2026

𝐍𝐈𝐒𝟐 𝐢𝐦𝐩𝐨𝐧𝐞 𝐥𝐚 𝐧𝐨𝐭𝐢𝐟𝐢𝐜𝐚 𝐩𝐫𝐞𝐥𝐢𝐦𝐢𝐧𝐚𝐫𝐞 𝐝𝐢 𝐮𝐧 𝐢𝐧𝐜𝐢𝐝𝐞𝐧𝐭𝐞 𝐬𝐢𝐠𝐧𝐢𝐟𝐢𝐜𝐚𝐭𝐢𝐯𝐨 𝐞𝐧𝐭𝐫𝐨 𝟐𝟒 𝐨𝐫𝐞 𝐝𝐚𝐥𝐥𝐚 𝐬𝐜𝐨𝐩𝐞𝐫𝐭𝐚. 𝐒𝐨𝐥𝐨 𝐮𝐧𝐚 𝐟𝐨𝐫𝐦𝐚𝐥𝐢𝐭𝐚̀ 𝐛𝐮𝐫𝐨𝐜𝐫𝐚𝐭𝐢𝐜𝐚? 𝐍𝐎!

Pensate a cosa succede nelle prime 24 ore di un incidente reale (non quelli simulati in cui c’è la pausa merenda e siamo tutti a commentare i risultati della nazionale): i sistemi sono ancora parzialmente in piedi o già giù, il team tecnico sta cercando di capire il perimetro della compromissione, 𝐧𝐞𝐬𝐬𝐮𝐧𝐨 𝐬𝐚 𝐚𝐧𝐜𝐨𝐫𝐚 𝐜𝐨𝐧 𝐜𝐞𝐫𝐭𝐞𝐳𝐳𝐚 𝐜𝐨𝐬𝐚 𝐞̀ 𝐬𝐭𝐚𝐭𝐨 𝐭𝐨𝐜𝐜𝐚𝐭𝐨 e cosa no.

In mezzo a tutto questo, 𝐪𝐮𝐚𝐥𝐜𝐮𝐧𝐨 𝐝𝐞𝐯𝐞 𝐝𝐞𝐜𝐢𝐝𝐞𝐫𝐞 𝐜𝐨𝐬𝐚 𝐜𝐨𝐦𝐮𝐧𝐢𝐜𝐚𝐫𝐞 𝐚𝐥𝐥'𝐚𝐮𝐭𝐨𝐫𝐢𝐭𝐚̀ 𝐜𝐨𝐦𝐩𝐞𝐭𝐞𝐧𝐭𝐞, con quale livello di dettaglio, e assumersene la responsabilità formale.

𝐐𝐮𝐞𝐥 𝐪𝐮𝐚𝐥𝐜𝐮𝐧𝐨, 𝐧𝐞𝐥𝐥𝐚 𝐦𝐚𝐠𝐠𝐢𝐨𝐫 𝐩𝐚𝐫𝐭𝐞 𝐝𝐞𝐥𝐥𝐞 𝐚𝐳𝐢𝐞𝐧𝐝𝐞, 𝐧𝐨𝐧 𝐞𝐬𝐢𝐬𝐭𝐞 𝐚𝐧𝐜𝐨𝐫𝐚 𝐜𝐨𝐦𝐞 𝐫𝐮𝐨𝐥𝐨 𝐝𝐞𝐟𝐢𝐧𝐢𝐭𝐨.

Il DPO conosce gli obblighi GDPR sulla 𝐧𝐨𝐭𝐢𝐟𝐢𝐜𝐚 𝐝𝐞𝐢 𝐝𝐚𝐭𝐚 𝐛𝐫𝐞𝐚𝐜𝐡: 𝟕𝟐 𝐨𝐫𝐞 𝐚𝐥𝐥'𝐚𝐮𝐭𝐨𝐫𝐢𝐭𝐚̀, con un perimetro normativo relativamente chiaro. 𝐍𝐈𝐒𝟐 𝐚𝐠𝐠𝐢𝐮𝐧𝐠𝐞 𝐮𝐧 𝐥𝐢𝐯𝐞𝐥𝐥𝐨: notifica separata, autorità diversa, tempistiche diverse, criteri di "significatività" che richiedono una valutazione tecnica immediata. Le due notifiche possono sovrapporsi nello stesso incidente e non sono intercambiabili.

Ora la domanda, quella scomoda: nella vostra azienda esiste un processo scritto che stabilisce chi attiva la notifica NIS2, entro quando, con quali informazioni minime, e chi ha l'autorità di firmarla?

Se la risposta è "𝑙𝑜 𝑔𝑒𝑠𝑡𝑖𝑎𝑚𝑜 𝑛𝑒𝑙 𝑚𝑜𝑚𝑒𝑛𝑡𝑜", eh.. no Alpitour (finissima ma necessaria).

13/04/2026

𝐋𝐞 𝐀𝐏𝐈 𝐝𝐢𝐦𝐞𝐧𝐭𝐢𝐜𝐚𝐭𝐞 𝐬𝐨𝐧𝐨 𝐢𝐥 𝐭𝐚𝐥𝐥𝐨𝐧𝐞 𝐝’𝐀𝐜𝐡𝐢𝐥𝐥𝐞 𝐝𝐞𝐥𝐥𝐚 𝐬𝐢𝐜𝐮𝐫𝐞𝐳𝐳𝐚 𝐩𝐞𝐫𝐢𝐦𝐞𝐭𝐫𝐚𝐥𝐞

Un endpoint deprecato, ma ancora attivo, è una porta spalancata per gli attaccanti. Non basta dismetterlo sulla carta: se resta accessibile, resta un rischio!

Follow us on Bluesky, Twitter (X), Mastodon and Facebook at

13/04/2026

🔴 𝐑𝐞𝐝 𝐓𝐞𝐚𝐦 𝐒𝐭𝐨𝐫𝐢𝐞𝐬: 𝐢𝐥 𝐂𝐕 𝐦𝐚𝐥𝐞𝐝𝐞𝐭𝐭𝐨

L'azienda stava reclutando, aveva un processo di selezione attivo: 𝐝𝐞𝐜𝐢𝐧𝐞 𝐝𝐢 𝐂𝐕 𝐢𝐧 𝐚𝐫𝐫𝐢𝐯𝐨 ogni settimana, 𝐚𝐩𝐞𝐫𝐭𝐢 𝐝𝐚𝐥 𝐫𝐞𝐬𝐩𝐨𝐧𝐬𝐚𝐛𝐢𝐥𝐞 𝐇𝐑 direttamente sul suo portatile aziendale.

Durante l'engagement, abbiamo creato un profilo LinkedIn molto verosimile: nome, foto, esperienza coerente con la posizione aperta, qualche post per simulare una pagina ben popolata. Abbiamo mandato una candidatura spontanea, una bella lettera di presentazione e il CV, in PDF, con un 𝐩𝐚𝐲𝐥𝐨𝐚𝐝 𝐢𝐧𝐜𝐨𝐫𝐩𝐨𝐫𝐚𝐭𝐨.

L'HR lo ha aperto il martedì mattina.. e il venerdì, ora del caffé delle 10:00, eravamo sul Domain Controller - non abbiamo bucato nessun firewall, non abbiamo sfruttato nessuna vulnerabilità tecnica critica. 𝐀𝐛𝐛𝐢𝐚𝐦𝐨 𝐬𝐨𝐥𝐨 𝐦𝐚𝐧𝐝𝐚𝐭𝐨 𝐮𝐧 𝐂𝐕 a qualcuno il cui lavoro è aprire CV da sconosciuti.

Il problema, attenzione, non è l'HR: è che 𝐧𝐞𝐬𝐬𝐮𝐧𝐨 𝐚𝐯𝐞𝐯𝐚 𝐦𝐚𝐢 𝐩𝐞𝐧𝐬𝐚𝐭𝐨 che il processo di recruiting potesse essere un vettore d'attacco. Nessuna procedura per verificare i file in entrata da candidati esterni, nessuna sandbox, nessun 𝐚𝐰𝐚𝐫𝐞𝐧𝐞𝐬𝐬 𝐬𝐮 𝐜𝐨𝐬𝐚 𝐬𝐢𝐠𝐧𝐢𝐟𝐢𝐜𝐚 𝐚𝐩𝐫𝐢𝐫𝐞 𝐚𝐥𝐥𝐞𝐠𝐚𝐭𝐢 da fonti non verificate.

Gli attaccanti non cercano il punto più protetto, ma quello più ovvio, 𝐪𝐮𝐞𝐥𝐥𝐨 𝐜𝐡𝐞 𝐧𝐞𝐬𝐬𝐮𝐧𝐨 𝐬𝐭𝐚 𝐠𝐮𝐚𝐫𝐝𝐚𝐧𝐝𝐨.

Se nella tua azienda l'HR apre decine di allegati a settimana da mittenti sconosciuti, sai già qual è la superficie di attacco più trascurata. Che fai, adesso?