Un attacco cyber su tre colpisce i fornitori. Così gli hacker hanno bloccato gli aeroporti europei

Un attacco cyber su tre colpisce i fornitori delle aziende. Nel 2025 il loro numero è raddoppiato, confermando un trend preoccupante del crimine informatico. È quanto emerge da un rapporto di Verizon che ha analizzato le origini di circa 8mila attacchi informatici registrati nel 2025. Gli attacchi tramite società terze e anelli della catena di approvvigionamento di servizi offre agli attaccanti un ampio raggio d’azione, ottenendo risultati identici (il blocco temporaneo di un servizio) con minore sforzo. In particolare, spiega il report, sono oggetto di attacco i fornitori di software, le linee di assistenza clienti, i fornitori di soluzioni tecnologiche, soprattutto di intelligenza artificiale.

Numeri che confermano quanto si temeva all’indomani degli attacchi cyber a tre dei principali aeroporti del Vecchio Continente: Londra Heathrow, Bruxelles e Berlino. Gli effetti poi si sono fatti sentire su altri scali internazionali, come Dublino e Cork, e su altri aeroporti europei. In quel caso si è trattato di un attacco mirato.

Cosa sappiamo finora dell’attacco alla Collins Aerospace

Poche le notizie che nei giorni successivi all’attacco (avvenuto sabato scorso). Mentre è certo che i criminali hanno colpito non i sistemi informatici degli aeroporti, ma quello di un fornitore esterno: la Collins Aerospace, azienda statunitense che gestisce il sistema di check-in online e imbarco dei bagagli. La società è già stata vittima di un attacco informatico nel 2023. Allora fu colpita dal gruppo BianLian, nome cinese scelto però da criminali informatici basati in Russia e specializzati in attacchi di tipo ransomware. Con questi attacchi gli hacker penetrano nei sistemi informatici e li bloccano, chiedendo poi un riscatto (in inglese ransom).

Dopo i primi riscontri, fonti vicine alle indagini fanno sapere a Italian Tech che anche in questo caso potrebbe trattarsi di un attacco della stessa tipologia, sebbene degli attaccanti al momento non si sappia nulla.

Ombre russe: diversi indizi fanno temere un episodio di guerra ibrida

Ma sia gli attacchi subiti negli anni dal fornitore, sia la situazione internazionale, hanno alimentato i dubbi che possa trattarsi di un ennesimo episodio di guerra ibrida. L’attacco informatico è arrivato poche ore dopo la violazione dello spazio aereo della Nato in Estonia da pare di tre caccia russi. E tre giorni fa la Collins Aerospace (28 miliardi di fatturato l’anno scorso, 80 mila dipendenti) ha firmato un contratto con la Nato per la fornitura di un sistema in grado di pianificare e gestire le comunicazioni in caso di guerra elettronica.

Elementi che fanno pensare agli esperti che possa possa trattarsi di una provocazione. O di un test. Sia per vedere la capacità di reazione dell’Europa. Sia per saggiare la fragilità delle infrastrutture pubbliche. Un quadro complesso. Aggravato dal fatto che i criminali informatici negli ultimi anni stanno cambiando pelle. Non si tratta più di hacker di stato, di un qualunque stato intenzionato ad attaccare.

Mele: “Scenario preoccupante, ecco la loro strategia psicologica”

Ma oggi anche gruppi indipendenti - viene spiegato - cominciano a portare a termine operazioni in qualche modo incoraggiate, se non sostenute, dagli stati. In una sorta di ‘militarizzazione’ del crimine informatico. “Lo scenario è estremamente preoccupante”, spiega a La Stampa Stefano Mele, avvocato, responsabile cybersecurity e partner dello studio legale Gianni & Origoni. “Per bloccare un aeroporto non è necessario attaccare i grandi soggetti, quelli che hanno competenze, cultura e capacità di spesa in cybersicurezza. Si ottiene spesso lo stesso risultato attaccando una società che fornisce un servizio, come in questo caso”, ragione Mele. Bloccare il check-in di fatto vuol dire bloccare l’aeroporto, e il ritorno ai metodi manuali nei giorni di grande traffico. Erano previsti oltre mille voli nei tre scali.

L’effetto dell’attacco di sabato scorso è stato limitato sulle cancellazioni, 28. Ma i ritardi hanno portato a centinaia di ritardi. Ciò che ha salvato il resto d’Europa non è una maggiore capacità tecnica, o una migliore capacità di risposta agli attacchi: “Semplicemente non avevano quel fornitore per i check-in. Si è trattato solo di fortuna”, spiega Mele. “L’efficacia degli attacchi ransomware di questo tipo non è un tema tecnico, ma culturale. Perché oggi sappiamo che il 90% degli attacchi arriva tramite il classico click fatto in maniera superficiale da un dipendente o da un manager di un’azienda”, aggiunge l’avvocato. A questo si aggiunge anche una mutazione degli attacchi ransomware in sé. “Se prima eravamo abituati ai virus che bloccavano il sistema in cambio di un riscatto, ora non c’è nemmeno più bisogno di bloccare un sistema: basta accedere alle mail, alle comunicazioni aziendali e minacciare direttamente chi ha il potere di pagare il riscatto, insinuando il dubbio che in quel materiale ottenuto ci possano essere comunicazioni compromettenti”, spiega Mele.

Non più virus che bloccano, ma virus che ‘minacciano’

Oltre a comunicazioni, possono essere divulgati segreti industriali, progetti, prodotti in fase di progetto. Causando danni enormi. A volte basta solo una minaccia per fare in modo che un manager paghi. “È una evoluzione psicologica di questo tipo di attacco. Servono competenze, sì, ma anche capacità di esercitare pressioni”. Come una partita a scacchi.

Il tema degli attacchi informatici di tipo ransomware è una delle urgenze principali della guerra informatica. La direttiva europea Nis2 ha introdotto standard più elevati di sicurezza anche alle società fornitrici. È in vigore, ma gli adempimenti partono a ottobre 2026. “Permetterà di avere maggiore protezione, anche se vengono viste in maniera poco favorevole dalle aziende e dalla PA, è necessario proteggere tutta la catena dei fornitori dei servizi essenziali e importanti”, conclude Mele.

Anche l’Italia dovrebbe dotarsi di una legge per stabilire una strategia di contrasto agli attacchi ransomware. Il testo è depositato a firma di Matteo Mauri (Pd). Ma la discussione al momento non è stata ancora calendarizzata.