Il 20 settembre 2025, tre importanti aeroporti europei andavano contemporaneamente in tilt: cancellazioni e ritardi affollavano i tabelloni delle partenze di Bruxelles, Londra Heathrow e Berlino. Non si trattava di guasti tecnici isolati, ma di un unico attacco all’operatore esterno che forniva i sistemi di check-in e imbarco dei tre scali, Collins Aerospace. Una cosa simile si era già verificata anche in Italia, quando ad aprile era stato colpito PluService, il provider tecnologico di piattaforme come myCicero/MooneyGo e di diversi operatori del trasporto pubblico. Anche in quel caso, l’attacco al singolo fornitore aveva generato effetti a catena su app e sistemi di ticketing.
Le minacce informatiche legate alle catene di approvvigionamento Ict (Information and communication technologies), vale a dire quell’insieme di risorse e processi tra operatori economici fatto di hardware, software, reti e servizi, piacciono ai cyber aggressori. È la stessa agenzia di cybersicurezza dell’Unione europea, l’Enisa, a registrarlo nella sua ultima rilevazione annuale: «I criminali informatici hanno preso sempre più di mira fornitori terzi, come i servizi digitali, molto probabilmente per sfruttare l’opportunità di ottimizzare l’efficacia dei propri attacchi. Gli aggressori sfruttano la catena di approvvigionamento, in particolare compromettendo software, repository o estensioni dei browser».
E per l’Unione Europea è un problema, soprattutto in un momento di forte instabilità geopolitica. Provider vulnerabili, dipendenti o soggetti a interferenze di Paesi terzi, sono un rischio che le attuali normative ancora non hanno coperto. In sostanza, non basta che il sistema sia sicuro: bisogna valutarne la permeabilità nei confronti del Paese terzo – e delle relative leggi – da cui proviene. Da qui il nuovo pacchetto di norme sulla cybersecurity presentato a fine gennaio dalla Commissione Ue al Parlamento: le catene di approvvigionamento delle Ict europee verranno valutate sulla base dei loro rischi «non tecnici». Vale a dire geopolitici e strategici.
Le nuove norme
La proposta punta a creare un «trusted Ict supply chain framework», un quadro europeo armonizzato che interesserà i settori critici già regolamentati dalla NIS2 (la direttiva, recepita in Italia nel 2024, che …). La Commissione – o almeno tre Stati membri – potrà chiedere al NIS Cooperation Group – il tavolo che riunisce le autorità nazionali di cybersicurezza, la Commissione e l’agenzia europea Enisa – di valutare gli asset critici e i rischi della supply chain digitale, inclusi quelli legati ai fornitori e al contesto geopolitico in cui operano. A quel punto, sulla base della maggiore o minore vulnerabilità, si interverrà con misure di mitigazione proporzionate: obblighi di trasparenza sui provider, limiti ai trasferimenti di dati o all’accesso da Paesi terzi, fino – nei casi più critici – alla restrizione o esclusione di componenti e servizi ritenuti ad «alto rischio».
È su questo punto che si gioca la partita geopolitica, e il testo della proposta lo esprime chiaramente: nel caso di vulnerabilità gravi e strutturali di natura non tecnica, «la Commissione verifica il rischio rappresentato da tale Paese», tenendo conto dell’eventuale esistenza di leggi che obbligano le aziende a condividere «informazioni relative alle vulnerabilità del software o dell’hardware prima che si accerti che tali vulnerabilità siano state sfruttate», della mancanza di controlli democratici e obblighi di segnalazione in caso di rischi, e di «informazioni comprovate relative a uno o più incidenti in cui attori di minaccia controllati da tale Paese e operanti al di fuori del territorio di tale Paese hanno compiuto attività o campagne informatiche dannose, nonché l’incapacità o la riluttanza del Paese terzo a cooperare con la Commissione o gli Stati membri per affrontare il rischio derivante dall’operatività di tali attori di minaccia».
