dott. Marco Massimini – Amministratore Unico e Project Manager di Privacy.it

Pubblicato in data 06-12-2025

Sono raddoppiati in un solo anno i data breach causati da vulnerabilità insite nelle supply chain. Buona parte degli attacchi aggira le misure di cybersecurity raggirando il dipendente terzo. Uno scenario di rischio destinato ad aggravarsi con la sofisticazione delle tecniche di scam basate su social engineering e AI.
1 – SINTOMATICO QUANTO ESEMPLIFICATIVO: IL RECENTE CASO QANTAS

Un dump traboccante di nomi, date di nascita, domicili, recapiti email e telefonici, codici frequent flyer e itinerari di viaggio. L’11 ottobre scorso i dati personali di quasi 6 milioni di clienti di Qantas Airways sono stati pubblicati nel dark web e, così, messi a disposizione di qualunque lestofante; 6 milioni di persone verso le quali potranno essere orchestrate campagne scam e frodi targettizzate. I passeggeri della compagnia di bandiera australiana non sono soli: a bordo del data leak sono stati – loro malgrado – imbarcati altri milioni di consumatori, tra cui i viaggiatori di altre linee aeree (Vietnam Airlines e Aeromexico) e gli acquirenti di una quarantina di grandi multinazionali che operano nel B2C (tra cui Gap, Toyota, Fuji, Disney, McDonald’s, Ikea, e Adidas).

Ripercorriamo per tappe essenziali la vicenda. Ci sarà utile per svolgere alcune considerazioni di ordine generale.

  • Nel giugno scorso, al collettivo hacker LAPSUS$ Hunters è bastato far fesso un dipendente del distaccamento di Manila della compagnia USA cui Qantas affida servizi di call center: con un attacco di tipo “vishing” (voice phishing), i cybercriminali – fingendosi contatto telefonico di supporto tecnico – hanno convinto l’impiegato a rivelare le proprie credenziali di accesso alla partizione Salesforce che ospita il CRM (la piattaforma di customer relationship management) del call center. Come riportato da The Guardian, il CRM in questione conteneva non solo le informazioni sui passeggeri Qantas, ma anche quelle relative ai clienti di altre 44 aziende che si avvalevano del medesimo call center.
  • In luglio il gruppo hacker contattava Qantas avvisandola di aver violato i suoi sistemi e prelevato diversi gigabyte di dati. La compagnia provvedeva, come d’obbligo, a notificare il breach alle autorità competenti e allertava i possibili interessati invitandoli alla prudenza in caso di contatti sospetti.
  • Stando a quanto ricostruito da Outpost24, gli hacker hanno poi atteso il 6 ottobre per rilasciare nel dark web un DLS (data leak site) contenente la lista di tutte società colpite e pubblicando alcuni dati a prova dell’autenticità delle richieste.
  • Al contempo, procedevano via Telegram al reclutamento (dietro promessa di un modesto compenso in bitcoin) di volontari disposti a tempestare le aziende colpite di email con minacce dal tono “o paghi il riscatto in criptovaluta entro il 10 ottobre o pubblichiamo tutto”.
  • Nessuno dei ricattati ha ceduto, così l’11 ottobre gli hacker hanno dato seguito all’intimidazione non solo sciorinando nel lato scuro del web tutti i dati trafugati a Qantas e Vietnam Airlines ma anche dando anche ad intendere che stesso destino sarebbe stato presto riservato alle restanti società colpite e, di conseguenza, alla ulteriore miriade di individui loro malgrado interessati.
  • A fronte dell’esposizione online, il 12 ottobre Qantas ha dovuto rendere pubblica sul proprio sito la violazione subita con un comunicato contenente istruzioni per i malcapitati clienti: “attenzione, in particolare alle e-mail, ai messaggi di testo o alle telefonate, soprattutto se il mittente o il chiamante dichiara di essere della Qantas. Verificare sempre in modo indipendente l’identità del chiamante contattandolo a un numero disponibile attraverso i canali ufficiali” e “Laddove possibile, utilizzare un’autenticazione a due fattori per la posta elettronica e gli altri account online”. Altre aziende coinvolte hanno dovuto pubblicare avvisi simili.

E’ dunque bastato raggirare per pochi secondi l’operatore di un sub-processor filippino per colpire diversi colossi industriali ed esporre, magari per anni, svariati milioni di persone ad ogni tipo di frode informatiche ed usurpazione di identità. Sì, perché – seppure il furto non abbia riguardato passaporti o strumenti di pagamento – un insieme di informazioni personali quali nomi, date di nascita, recapiti fisici e e-mail, numeri telefonici e codici di loyalty membership è un capitale su cui qualsiasi scammer può fondare, anche su larga scala, campagne di ricontatto tanto ingannevoli quanto persuasive. Si consideri, poi, che i cyber-criminali sanno essere pazienti e meticolosi: possono cercare di combinare questi dati con informazioni provenienti da altre violazioni per costruire nel tempo dettagliati profili identitari su cui imperniare ruberie e truffe ancor più sofisticate e suadenti ai danni dei malcapitati.

Per quanto concerne Qantas, l’attimo di debolezza dell’impiegato filippino comporterà quasi sicuramente una procedura sanzionatoria ai sensi del Privacy Act australiano (che prevede pene fino a 50 A$ mln o 30% del fatturato), l’avvio di class action o cause individuali, e un cospicuo danno d’immagine. Simile sorte spetta alle altre società che, loro malgrado, sono coinvolte nel misfatto. Non da ultimo, sia la casa madre che la sussidiaria asiatica del servizio call center dovranno con tutta probabilità fronteggiare profili di responsabilità contrattuale oltre che un tracollo reputazionale.

2 – FENOMENOLOGIA E NUMERI DI UN PERICOLO CRESCENTE

Al di là del mero fatto di cronaca, la vicenda merita attenzione perché esemplificativa di una problematica in via di espansione che rischia di tipicizzarsi in uno scenario globale già complesso. Viviamo in un ecosistema digitale in cui ogni anno centinaia di milioni di persone restano vittime di truffe online finendo per perdere ingenti quantità di denaro (nel solo 2024, persi $ 1.025 miliardi nelle stime della Global Anti-Scam Alliance), per subire furti di identità, ricatti di ogni genere e danni di ogni tipo. Come noto, una quota assai rilevante di queste attività di scam nascono da “corporate data breach” ossia da cyber incursioni che sottraggono alle aziende dati personali in loro possesso. Quel che forse è meno noto, è che:

  • è in atto una forte tendenza ad attaccare i fornitori o i partner di un azienda per arrivare ai dati di cui quest’ultima è titolare (third-party data breach);
  • in tale scenario, l’elemento umano “dipendente terzo” sta assumendo il ruolo bersaglio preferenziale.

Cerchiamo di comprendere la fenomenologia di questo trend enucleandone gli elementi essenziali e vedendo qualche numero.

Il peso dell’outsourcing

Il primo elemento da considerare è la propensione all’esternalizzazione di funzioni e servizi aziendali, e conviene farlo in un’ottica globale. Si dice che ultimamente la globalizzazione stia attraversando un periodo di mutazione dei propri connotati: dopo una prima fase di espansione incontrollata, ne era seguita una fase di naturale assestamento su cui però, dal 2020, si è innestata una sequela imprevedibile di scossoni (shutdown delle attività per Covid-19, ritorno di afflati nazionalistici e autarchici, guerre alle porte dell’Europa, nuove ostilità tra le maggiori potenze economiche e nucleari, proliferazione di dazi e veti commerciali incrociati). Per questi e altri motivi, secondo gli analisti, l’economia globale si sta riconfigurando non solo in base a nuovi assetti geopolitici ma anche lungo linee che – per mere ragioni di risk management – invitano le aziende a strutturare il proprio business con maggiore prudenza a fronte dei nuovi fattori di instabilità. Tale prudenza si sta traducendo anche un’inclinazione alla riduzione dei rischi riconnessi alla delocalizzazione: crescono, infatti, le politiche aziendali volte al re-shoring, near-shoring, de-risking e ad altre misure cautelative.

Si stanno dunque affermando business model che suggeriscono un minor ricorso all’esternalizzazione dei propri processi aziendali? A ben vedere, la risposta potrà essere affermativa solo in relazione a quelle delocalizzazioni più “avventurose” (ad esempio, quelle dislocate in Paesi affetti da incertezze politico/economiche o che offrono bassi standard regolamentari); per il resto, è impensabile che di questi tempi si verifichi una contrazione dell’outsourcing. Anzi, il fenomeno è in piena espansione e il motivo è molto semplice: digitalizzazione, iperconnettività, cloud computing e, da qualche anno, intelligenza artificiale sono propulsori ad accelerazione costante che – ogni giorno che passa – ampliano, potenziano e perfezionano le offerte di servizi in outsourcing di cui le aziende possono avvalersi per ottimizzare risorse, efficientare costi, ampliare competenze, e per meglio concentrarsi sul proprio core business.

Si ha quasi l’impressione che insista un rapporto direttamente proporzionale tra sviluppo tecnologico e propensione all’esternalizzazione. Al di là delle impressioni, ci sono alcuni dati incontrovertibili:

  • il mercato globale dell’outsourcing è stimato avere un valore di circa 729,88 miliardi di USD nel 2025. Si prevede che aumenterà fino a 791,92 miliardi di USD entro il 2026 e che raggiungerà i 1551,9 miliardi di USD entro il 2035 grazie a un tasso medio di crescita annuale del 8,5%;
  • Il 64% delle aziende fruisce di servizi in outsourcing, in particolar modo per quanto attiene i processi IT, payroll & HR, recruiting, finance, digital marketing e customer service. E una quota vieppiù considerevole di queste attività è svolta dal fornitore accedendo a programmi o database ospitati in cloud di terza parte;
  • le aziende che fruiscono di servizi in outsourcing riscontrano un risparmio medio del 25% su ciascun processo esternalizzato rispetto alla sua precedente gestione interna. E il 78% di loro sostiene di avere incrementato le proprie business performance.

Atteso, dunque, che è in continua crescita il ricorso all’outsourcing di funzioni e servizi (compresi quelli ad impatto privacy che comportano attività strategiche di data processing) occorre fare i conti con un portato collaterale del fenomeno: la frammentazione dovuta alla moltiplicazione degli affidamenti extra-aziendali amplia il ventaglio di opportunità di incursione per un cybercrime sempre pronto ad adattarsi all’evolversi degli scenari. Non ci si dovrà, pertanto, stupire se nel mirino degli attacchi stiano vieppiù finendo quelle propaggini della filiera in cui è meno probabile siano garantiti elevati standard di compliance, di regolamentazione, di cybersecurity, o – più semplicemente – di awerness del personale.

Possiamo, così, postulare un ulteriore assioma: all’espandersi del ricorso all’esternalizzazone corrisponde un aumento del rischio di third-party data breach ossia, di quella tipologia di attacco che, per esfiltrare i dati di un’azienda, non punta dritto ad essa bensì alla sua supply chain tra i cui anelli è più probabile rinvenire una vulnerabilità.

Che vi sia una forte tendenza in atto, di cui il caso Qantas è solo l’ultima testimonianza, lo dimostrano anche recenti rilevazioni statistiche. Tra queste, basterà citare il Data Breach Investigations Report pubblicato da Verizon a primavera 2025 in cui si evidenziava come il 30% delle violazioni censite nel 2024 avesse visto il coinvolgimento decisivo di un fornitore o partner: trattasi di un valore raddoppiato rispetto al 15% rilevato per il 2023 e che, quindi, denota un’inquietante incremento del 100% su base annua.

Interessanti anche alcuni dati che sono stati rilevati limitatamente alle top 2000 compagnie nel mondo:

  • sempre in riferimento al 2024, il 99% di questi colossi industriali includeva nella propria supply chain almeno un fornitore colpito da recente data breach;
  • il costo per rimediare ad una violazione dei dati originatasi nella filiera è mediamente 17 volte superiore a quello di un first-party breach.
Il dipendente terzo come target

Il Data Breach Investigations Report 2025 – oltre alla crescita esponenziale dei third-party data breach – ha censito un altro dato degno di nota: il 60% delle violazioni di sicurezza dei dati vede direttamente coinvolto l’elemento umano. Tradotto: la maggioranza dei data breach non si sarebbero verificati senza il concorso – generalmente inconsapevole – di un lavoratore (interno o esterno che sia).

Il pirata digitale ormai lo sa: per guadagnare accesso illegale a sistemi colmi di dati, non è imprescindibile scandagliare le cyber-difese di un’organizzazione alla ricerca di falle. C’è sempre, infatti, una comoda alternativa: sfruttare l’insipienza di un impiegato. Un piccolo raggiro su base individuale e – come per magia – si possono dischiudere interi database, anche quelli protetti da elevate misure di protezione informatica.

Ciò detto, va da sé che – se dotato di privilegi d’accesso al sistema o applicativo d’interesse – il personale che lavora per il fornitore (o subfornitore) sarà bersaglio preferenziale d’incursione perché la distanza (operativa, logica e ambientale) che lo separa dalla sfera d’influenza diretta del data controller può determinare quel deficit intrinseco di attenzione e consapevolezza che può rivelarsi fattore decisivo per il successo di un attacco.

Alla luce di questi indicatori, si può affermare che più articolata ed eterogenea è la catena dei data processor (in molti casi, ci sono filiere di trattamento dati così complesse che la committente perde il conto dei sub-affidamenti), maggiori saranno le opportunità di incursione. E se è vero – come dimostrato – che l’elemento umano è un fattore preponderante di vulnerabilità, più il lavoratore sarà distante dall’origine della concatenazione, più risulterà aggredibile.

Il ruolo del social engineering e dell’intelligenza artificiale

Non è dato sapere con esattezza come gli attaccanti del caso Qantas siano riusciti a rendersi interlocutori credibili alle orecchie dell’operatore di Manila e ignoriamo se l’incursione telefonica sia stata preceduta da una qualche fase di intelligence prodromica a conferire attendibilità alla successiva fase di contatto. Alcuni esperti hanno, tuttavia, definito come altamente probabile che siano stati clonati tono e inflessione della voce di un tecnico informatico ben conosciuto in quell’ambiente di lavoro e che, dunque, l’attaccante abbia fatto breccia nella fiducia dello sventurato grazie ad un AI-generated voice deepfake.

Quel che è certo è che l’evoluzione tecnologica è destinata a dotare il cybercrimine di un armamentario sempre più sofisticato. E questo, anche quanto a potenziale di circonvenzione.

In tal senso, la peggior minaccia è rappresentata dal progresso del social engineering ossia di quelle tattiche di manipolazione che utilizzano l’inganno e la persuasione per indurre malcapitati a rivelare informazioni riservate (credenziali, codici, nomi, etc.) o a installare malware (virus, ransomware, trojan, spyware, etc.) oppure a compiere altre azioni che possono compromettere la sicurezza propria o altrui.

Anziché puntare sulle vulnerabilità tecniche dei sistemi informatici, gli attacchi basati sul social engineering mirano alle umane debolezze attivando fattori psicologici. Tipicamente, l’azione si impernia su:

  • guadagno di credibilità: dopo aver analizzato a distanza il “territorio di caccia” e raccolto specifiche di contesto che possano conferire maggiore parvenza di genuinità e verosimiglianza all’approccio, l’incursore contatta il target spacciandosi per una figura autorevole (ad esempio, un superiore o un pubblico ufficiale) oppure un collega, un cliente, un fornitore, un operatore di assistenza o altra figura che possa apparire quale interlocutore credibile;
  • ingaggio delle emozioni: durante il contatto, l’attaccante può far leva sulle emozioni più opportune rispetto al contesto operativo o soggettivo della vittima suscitando, ad esempio, sentimenti di fiducia, paura, avidità, pietà, urgenza o soggezione a seconda dei casi.

Il contatto malevolo può avvenire in vari modi: tramite e-mail (phishing), telefonate (vishing), messaggi di testo (smishing), ma anche tramite social network o persino di persona.

Lo scenario sarebbe già sufficientemente problematico, se non fosse che rischia di diventare diabolicamente pernicioso da quando il social engineering può contare sull’apporto decisivo dell’intelligenza artificiale. L’AI generativa può essere una risorsa preziosissima per un criminale informatico: se ingaggiata sul social engineering, è come avere gratuitamente a propria disposizione un team delinquenziale – affiatato e costituito da menti eterogenee e dotatissime – che 24/7 è pronto a:

  • scandagliare in un amen l’universo delle informazioni da fonti aperte (profili e post su social network, siti web, news, blog, documenti pubblici e comunicazioni di vario genere reperibili online);
  • verificare se nel dark web ci siano dati riservati che possano arricchire le informazioni open source già ottenute;
  • strutturare, grazie alle informazioni trovate, attacchi basati sulla manipolazione della fiducia umana.

L’AI-powered social engineering può consentire agli incursori di ordire – in modo economico, veloce, personalizzato e molto credibile – diverse tipologie di inganni ricorrendo in particolare a:

  • Phishing via e-mail – Se ben istruito sul contesto, un modello linguistico avanzato di intelligenza artificiale (come, ad esempio, ChatGPT) può redigere e-mail ultra persuasive. Può farlo in varie lingue senza commettere quegli errori ortografici o di coerenza lessicale che nel recente passato affliggevano – rendendole in qualche modo riconoscibili – le e-mail ingannevoli approntate con traduttori approssimativi. Il tool può essere rapidamente addestrato a riprodurre uno stile personale di scrittura: ad esempio, se gli si dà in pasto una serie di sue comunicazioni (pubbliche o precedentemente hackerate), il tono di un superiore potrà essere ben replicato in e-mail intesa a torlupinare un suo sottoposto;
  • Chatbot scam – Come nel B2C, anche il mondo delle piattaforme di servizi B2B pullula di assistenti virtuali e chat automatizzate di supporto, oggi quasi tutte potenziate dall’AI. I chatbot sono sempre disponibili e guidano la conversazione richiedendo una sequela di informazioni all’interlocutore per giungere velocemente alla soluzione del problema posto. Un terreno ideale per i truffatori armati a loro volta di AI: basta sapersi sostituire al chabot dell’applicazione (o “iniettarne” temporaneamente uno dove non c’è), e il gioco è fatto. A quel punto si potrà agire a tappeto su qualsiasi utente faccia una richiesta al bot, oppure andare a sollecitare un bersaglio preciso apparendo di colpo nella sua sessione. Facciamo un esempio di attacco mirato: un cybercriminale potrebbe sapere che un dato software gestionale in cloud ha una falla attraverso cui si potrebbe introdurre ed operare quale chatbot di assistenza > lancia uno spider AI che scandagli tutti i portali di job recruiting e selezioni solo gli annunci che richiedono al candidato una qualche conoscenza del software in questione > lancia un altro agente AI affinché monitori i nuovi post su LinkendIn che correlabili agli annunci selezionati > viene, così, presto a sapere che Tizio (magari neofita o comunque privo di significative esperienze nel contesto) è stato assunto nella posizione X presso l’azienda Y che usa il gestionale Beta > dopo poco tempo, l’attaccante si introduce nel gestionale e, fingendosi bot di supporto, induce il neo assunto Tizio a rilasciare dati riservati, clicckare link malevoli, e altro ancora;
  • Deepfake vocali o video – Interagire con la voce e/o il viso di qualcuno che abbia un qualche potere di influenza per via di un rapporto gerarchico, professionale o commerciale, può facilmente indurre un lavoratore ad abbassare le proprie difese e a soddisfare richieste che tenderà a ritenere legittime. Come ipotizzato per il caso Qantas, l’AI può consentire all’attaccante di impersonificare la voce di un soggetto conosciuto, sia esso un collega, un superiore, un fornitore o cliente. Non mancano poi i tool, sempre economici, che permettono di assumere, oltre alla voce, il volto altrui in un videomessaggio o, addirittura, durante una videocall. Ovviamente, prima di essere impiegati, anche questi strumenti di falsificazione necessitano quantomeno di un breve addestramento con qualche file concernente il soggetto da incarnare. L’ammaestramento può basarsi su fonti aperte (ad esempio, contenuti social, interventi in convegni, video interviste) o su refurtiva di hacking (ad esempio, file da comunicazioni private o da networking aziendale).

Come visto, l’AI-powered social engineering può operare in vari modi; e il margine d’azione per lo scam sembra destinato ad ampliarsi ad ogni avanzamento tecnologico. Per quanto concerne il contesto aziendale, possiamo affermare che al diffondersi di ogni innovazione volta ad ottimizzare la comunicazione interpersonale, l’utilizzo lavorativo dell’AI, l’office automation o il networking può corrispondere un nuovo ambito di rischio basato su un uso malevolo dell’ingegneria sociale.

A titolo esemplificativo, vale la pena segnalare un nuovo contesto che può nascondere delle insidie. Recentemente si assiste alla proliferazione di quei programmi che registrano, trascrivono, sintetizzano e razionalizzano gli interventi audio/video nelle riunioni aziendali (in presenza o da remoto) e che vanno sotto il nome di AI meeting assistants o meeting transcription tools. Queste soluzioni stanno incontrando parecchio successo perché rientrano nel novero di quelle innovazioni a basso costo in cui un’automazione assume una mansione tradizionalmente umana (addio segretaria…), non solo svolgendola in modo più rapido ed efficiente ma anche arricchendola di nuovi skill informazionali (i contenuti delle riunioni diventano oggetto immediato di report, statistiche, planning, alert, etc.). Il loro utilizzo costituisce indubbiamente una piccola/grande rivoluzione che sembra portare solo vantaggi. Tuttavia la soluzione va scelta, calibrata e maneggiata con cautela, specie se presenta determinate AI features che possono apparire allettanti:

  • molti di questi software, per assolvere al meglio la funzione “speech-to-text”, imparano a riconoscere la voce degli intervenienti, salvano le registrazioni in cloud (talora con storage in Paesi a rischio) e magari le danno in pasto a modelli di deep learning;
  • alcuni videoregistrano le riunioni con funzionalità di riconoscimento facciale finendo per accumulare in remoto database di volti;
  • non mancano poi i trascrittori dotati di strumenti di meeting intelligence come quelli in grado di riconoscere le emozioni vocali dei partecipanti (tracciando i diversi stati “happy, sad, angry, fear, surprise…” su una timeline con grafici di intensità) o come quelli che ne rilevano il livello di sentiment o di engagement emotivo anche grazie all’analisi dell’espressione facciale, quasi fosse un’indagine di neuromarketing anziché una riunione d’ufficio.

Ci sono aziende italiane che usano “allegramente” tutte queste funzionalità ignorando che il loro utilizzo imporrebbe un previo assessment di conformità ai principi del GDPR (trasparenza, liceità, minimizzazione, bilanciamento del rischio, etc.), dello Statuto dei Lavoratori (divieti controllo a distanza ex art. 4 e di indagine su opinioni ex art. 8), e dell’AI ACT (divieto di uso di sistemi di emotion recognition sul posto di lavoro ex art. 5). Ma qui preme sottolineare un altro aspetto: l’hacker che riuscisse a penetrare una di queste piattaforme di trascrizione intelligente (alcune hanno protezioni scandenti, a partire quelle crittografiche) non solo guadagnerebbe accesso a informazioni riservate (segreti industriali, dati personali, strategie aziendali, notizie privilegiate o price sensitive, etc.), ma potrebbe anche facilmente stilare un accurato profilo di ogni partecipante alle riunioni grazie alla moltitudine di contributi testuali, audio, video e comportamentali che il tool è in grado di raccogliere: basta questo per avere piena contezza (e, in qualche modo, disponibilità) dei connotati fisici, vocali e linguistici, delle attitudini e delle debolezze di ciascuno, oltre a tutto quanto oggetto di trascrizione. A quel punto, va da sé che la fase di social engineering sarà già conclusa con il massimo profitto e che il successivo contatto di scam sarà perpetrabile in un’infinità di modi (e destinato a probabile successo), con o senza l’ulteriore ausilio dell’AI.

3 – CONCLUSIONI

Si dice che la sicurezza di un’organizzazione è solida (solo) quanto l’anello più debole della sua filiera. Un’azienda può anche adottare elevati standard di compliance, profondere cospicui investimenti in cybersecurity, indottrinare il proprio personale sulle migliori pratiche in termini di data protection, ma oggi – se non vuole che tali sforzi risultino vani – deve compiutamente estendere il proprio focus ai pericoli legati all’evoluzione del social engineering e alla vulnerabilità dell’elemento umano, specie se opera nella catena di outsourcing.

Nel panorama attuale della sicurezza dei dati personali, abbiamo visto come i third-party data breach stiano assurgendo a principali vettori di compromissione. In merito, possiamo ricapitolare che:

  • molte aziende ancora sottovalutano quanto la superficie d’attacco si estenda ben oltre il proprio perimetro di controllo diretto: essa include l’intero ecosistema di fornitori terzi, subappaltatori e service provider che trattano dati per conto dell’impresa e/o hanno accesso ai suoi servizi critici;
  • la sempre crescente propensione all’esternalizzazione di processi e funzioni, di infrastrutture IT e servizi cloud sta trasformando la supply chain in un bersaglio preferenziale del cybercrimine. Questo perché, se violare direttamente un’azienda strutturata può essere difficile e dispendioso, c’è un’intera filiera che può offrire allettanti opportunità di intrusione nei database dell’azienda stessa;
  • nell’era digitale, la compromissione di un singolo fornitore può garantire accesso pivot all’infrastruttura dell’azienda cliente. Da quel punto d’ingresso indiretto, l’attaccante può muoversi nei sistemi, acquisire dati riservati, ottenere credenziali, compromettere processi. E quando il breach emerge, l’azienda si ritrova beffata: benché l’incidente non sia avvenuto nella sua infrastruttura, su di essa graveranno le maggiori ricadute legali e reputazionali.

Abbiamo poi indagato quali strategie d’attacco siano sottese alla crescita dei third-party data breach e, sul punto, possiamo riassumere che:

  • per “bucare” i fornitori, gli attaccanti non si limitano a esplorare le carenze logiche o tecniche che possono affliggere i sistemi informatici (ad esempio, configurazioni cloud errate, software non aggiornati, API esposte, credenziali deboli). Il focus d’incursione va incentrandosi sull’elemento umano perché il lavoratore si sta rivelando più facile da eludere rispetto alle cyber-protezioni. In altri termini, oggi per aggirare le cyber-protezioni può esser sufficiente raggirare un lavoratore;
  • questa tendenza al “hackeraggio antropocentrico” è favorita dal florilegio delle tecniche di ingegneria sociale che, puntando sul lavoratore, stanno assurgendo a mezzo principale di supply-chain compromise;
  • l’innovazione mette già oggi a disposizione dei delinquenti digitali un armamentario di AI-powered social engineering variegato quanto sofisticato (phishing, vishing, chatbot scam, deepfake audio/video). E il continuum dell’evoluzione tecnologica non potrà che affinare ed ampliare nel tempo l’arsenale cui scammer possono attingere.

Alla luce di quanto sopra, siamo arrivati alla conclusione che il preoccupante trend di crescita dei third-party data breach evidenzia una correlazione direttamente proporzionale con l’evoluzione delle tecniche di social engineering, le quali sfruttano in modo sempre più efficace le ampie superfici d’attacco introdotte dalla supply chain digitale. Questo perché lo scam opera più efficacemente dove la catena di controllo si allenta, gli standard si affievoliscono, l’altrui fattore umano diventa un’incognita…. e, quindi, un target d’attacco ideale.

Ma si può fare qualcosa per minimizzare il rischio che un domani siano “regolarmente” i dipendenti altrui a consegnare chiavi, a spalancare porte o a srotolare tappeti rossi verso terabyte di dati riservati?

Per proteggersi da questo genere di minaccia, la soluzione non può essere semplice, veloce e indolore. Le aziende dovrebbero adottare un approccio strutturato che includa controlli tecnici, governance, processi e formazione. Ciascuna dovrà dimensionare l’approccio in base al proprio contesto operativo, in base alla complessità e criticità della filiera, e – in sostanza – in base alla propria esposizione al rischio. Tra le misure che potranno essere intraprese, possono elencarsi:

  • Assessment e due diligence sui fornitori – Prima di concedere l’accesso informatico ai propri dati o sistemi, è d’uopo verificare che ogni fornitore ad impatto privacy presenti standard di sicurezza adeguati circa la propria infrastruttura (patching regolare, policy di sicurezza, misure di hardening, segmentazione, logging, disaster recovery).
  • Segmentazione di rete e least‑privilege – Limitare l’accesso dei fornitori solo ai sistemi strettamente necessari evitando, laddove non imprescindibile, che possano raggiungere direttamente infrastrutture critiche o dati sensibili.
  • Autenticazione forte / Multi-Factor Authentication (MFA) – Per tutti i profili di autorizzazione – in particolare quelle di fornitori, tecnici esterni, piattaforme SaaS – queste misure riducono fortemente il rischio di accessi non autorizzati in caso di furto di credenziali o phishing.
  • Filtri AI di difesa – Se l’AI può essere un arma d’attacco, può esserlo anche di difesa. Ai fornitori più critici si potrebbe imporre l’adozione di misure di protezione che integrano AI e machine learning per rilevare anomalie, in primis, nella messaggistica elettronica (ad es., filtri basati su LLM per riconoscimento di AI phishing).
  • Monitoraggio e centralizzazione dei log – Tenere – nel rispetto della normativa sulla protezione dei dati – traccia di accessi, modifiche, anomalie riconnesse all’utilizzo dell’account fornitore per identificare tempestivamente attività sospette e reagire prima che il danno si propaghi.
  • Audit periodici, contratti con clausole di sicurezza e obblighi di notifica – Per rafforzare la governance e la responsabilità condivisa, è doveroso inserire nel contratto con i fornitori obblighi di conformità, revisioni regolari di sicurezza, audit esterni e notifiche immediate in caso di incidente. Quando si ha a che fare con outsourcer che devono operare come responsabili del trattamento, il documento d’elezione in cui inserire queste previsioni è il data processing agreement (DPA) che le parti devono sottoscrivere ex art. 28 del GDPR.
  • Formazione e awareness anche per partner e terzi – Occorre assicurarsi che la cultura della sicurezza non si limiti al perimetro infra aziendale ma sia estesa ai fornitori critici. Oltre al classico focus sulla gestione sicura delle credenziali e la protezione delle informazioni riservate, si dovrà dedicare specifica sensibilizzazione sulle varie metodologie di attacco basate sul social engineering, Se il fornitore non dovesse garantire un piano formativo a riguardo, starà al titolare del trattamento imporne o veicolarne l’esecuzione.
  • Sistema di allerta della filiera – Un’azienda dovrebbe proceduralizzare un sistema di allerta che avvisi tempestivamente il fornitore nel momento in cui essa percepisca o intercetti una minaccia emergente per la filiera che detiene i suoi dati (ad es., campagne di scam in atto, nuove vulnerabilità tecniche o modalità d’attacco).
  • Incident response & business continuity – Le politiche di gestione degli incidenti devono accludere piani che reazioni agli scenari di third-party data breach: isolamento rapido del componente compromesso, timeline e strategia di comunicazione interna/esterna, valutazione dell’impatto sui dati e assessment sugli obblighi legali/regolamentari da fronteggiare.

Nel modellare il suddetto approccio strutturato, bisognerà anche tenere conto di quale tipologia di addetti sono maggiormente esposti agli attacchi basati sul social engineering, ed adottare così criteri più stringenti. Tra i soggetti più esposti, spiccano coloro che svolgono mansioni di:

  • Help Desk e Customer Service: questi operatori interagiscono con una platea vasta e eterogenea di persone, e sono tenuti a rispondere in modo veloce e risolutivo. Possono spalancare interi dataset B2C e per questi gli attaccanti provano a ottenere reset di password o accesso a account fingendosi clienti, colleghi o – come nel caso Qantas – supporto tecnico;
  • Payroll & HR: gestiscono molte comunicazioni, uno sproposito di documenti e hanno accesso a gestionali in grado di ospitare un’enormità di dati personali sensibili. Basta questo renderli prede ideali a qualsiasi cyber-latitudine. Nel nostro Paese il rischio è ancora più elevato perché sono innumerevoli i casi in cui tali servizi sono resi alle PMI da studi professionali che presentano specifiche vulnerabilità per ragioni storiche e strutturali: in maggioranza, sono studi piccoli (1-5 persone, spesso abituate a una gestione familiare) che dipendono ancora da software verticali storici (poco sicuri e con dati difficili da migrare in nuovi ambienti) e che – schiacciati da un carico burocratico enorme e in costante cambiamento – faticano a trovare risorse e tempo per innovarsi e proteggersi dai rischi dell’era digitale;
  • Finance & Accounting: gestiscono una gran quantità di comunicazioni afferenti a pagamenti, fatture e trasferimenti bancari, operando spesso con deadline serrate. E, ovviamente, le loro credenziali sono tra le più appetite. Sono più esposti a phishing e BEC (Business Email Compromise) perché ricevono una moltitudine di email che possono contenere link o allegati fraudolenti;
  • Logistica: tra ordini, bolle, DDT e documenti doganali, gestiscono una miriade di scambi elettronici con contatti perlopiù sconosciuti e esteri. Sono addetti su cui tradizionalmente si tende a investire poco o niente quanto a formazione di cybersecurity;
  • Information Technology: sono operatori con elevati privilegi d’accesso ai sistemi critici dei clienti. Per questo, sono maggiormente preparati ma anche oggetto degli attacchi più ambizioni e sofisticati perché un singolo tranello (ad es., finto ticket urgente o una richiesta di installazione) può spianare l’accesso all’intera rete.

***

Prima di concludere, è indispensabile riportare il focus sul soggetto che, più di tutti, risulta vulnerabile in questo scenario. Nell’esplorare l’interconnessone tra la crescita dei third-party data breach e la sofisticazione delle tecniche di social engineering, abbiamo enucleato una concatenazione sequenziale di target: l’attaccante raggira il lavoratore per violare il fornitore e arrivare ai dati all’azienda sua cliente. Quando il colpo va a segno, ognuno di questi 3 soggetti della filiera potrà definirsi vittima e soffrirà, in misura diversa, delle conseguenze negative. E’ tuttavia fondamentale ricordare che, quando si verifica un data breach, le vittime principali sono i poveri individui — clienti o utenti dell’azienda — a cui i dati si riferiscono. Sono loro le persone che vedono violata la propria privatezza in un luogo che doveva essere sicuro e sono loro che da quel momento possono sine die diventare bersaglio di scam e tentativi di frode. Ed è per loro, dunque per tutti noi, che tutti gli attori coinvolti nella protezione dei dati personali – dalle istituzioni alle aziende e alle loro supply chain, fino agli oligopoli dell’information society – devono intensificare gli sforzi per arginare questo nuovo fronte di rischio.