La pubblicazione sul dark web di materiali attribuiti a Ferrovie dello Stato e ad Almaviva ha aperto un nuovo fronte di attenzione sulla sicurezza delle infrastrutture strategiche italiane. Dati confidenziali e recenti, fino a 2 mesi fa, del Gruppo Ferrovie dello Stato. Sono anche di questa natura una parte dei circa 2,3 terabyte di dati copiati al fornitore Almaviva a seguito di un attacco informatico e pubblicati su un forum della rete TOR, ma senza creare nessun problema all’operatività dei servizi critici I file diffusi da un gruppo criminale specializzato in operazioni estorsive vengono presentati come documenti aziendali e immagini di database, ma la loro autenticità è ancora oggetto di verifiche tecniche. Nel frattempo, i servizi ferroviari risultano regolarmente operativi e i controlli interni proseguono per valutare l’eventuale portata della violazione.
Rischi crescenti nelle infrastrutture strategiche
La dinamica seguita dagli attaccanti corrisponde allo schema ormai diffuso nelle campagne rivolte contro grandi organizzazioni: accesso illecito a un sistema, sottrazione dei dati e successiva pubblicazione con finalità di pressione. Il settore ferroviario rappresenta un obiettivo sensibile per il valore delle informazioni trattate e per la complessità tecnologica che deriva dall’uso di piattaforme esternalizzate. Negli ultimi anni, aziende pubbliche e fornitori della pubblica amministrazione hanno registrato una crescita costante di tentativi di intrusione, fenomeno che accresce l’esigenza di controlli più rigorosi lungo l’intera filiera digitale.
Il precedente che nel 2022 aveva coinvolto Trenitalia è un esempio della pressione continua che grava sul comparto. Le iniziative criminali si evolvono rapidamente, sfruttano strumenti automatizzati e colpiscono nodi strategici in cui la gestione dei fornitori svolge un ruolo decisivo. In questo scenario, la posizione di Almaviva appare particolarmente delicata perché opera come partner tecnologico di un servizio essenziale e deve garantire livelli di sicurezza adeguati alla natura dei dati trattati.
Obblighi normativi tra NIS2, responsabilità e protezione dei dati
Dal punto di vista giuridico, eventi di questo tipo attivano immediatamente i principi alla base della disciplina europea sulla sicurezza delle reti. Le realtà che rientrano nei servizi essenziali sono tenute a notificare gli incidenti agli organismi competenti e a documentare le misure adottate. Se dalle verifiche dovesse emergere l’esposizione di dati personali, entrerebbero in gioco le valutazioni richieste dal GDPR, compresa la comunicazione al Garante e, quando necessario, agli individui coinvolti. La presenza di un fornitore nella catena dell’incidente richiama l’attenzione sulla qualità degli accordi contrattuali e sulla solidità delle procedure con cui vengono gestite le attività in outsourcing.
In attesa delle conferme tecniche, la vicenda evidenzia un tema ormai ricorrente: la tenuta delle infrastrutture strategiche dipende dalla capacità di coordinare più attori e di mantenere standard elevati lungo l’intero percorso di trattamento dei dati. Le imprese che operano nel digitale si trovano così a gestire non solo i propri sistemi interni, ma anche il livello di sicurezza dei partner che supportano le attività operative.
La pubblicazione dei file sarà oggetto di ulteriori verifiche, che dovranno chiarire l’origine dei materiali, il possibile impatto sulle attività aziendali e l’eventuale coinvolgimento di dati personali. Qualunque sia l’esito, l’episodio conferma che la protezione delle infrastrutture critiche richiede un approccio sistemico, capace di integrare tecnologia, governance e responsabilità lungo tutta la catena dei fornitori. Guardando ai prossimi mesi, la sfida sarà trasformare queste segnalazioni in misure concrete, così da ridurre la distanza ancora evidente tra prescrizioni normative e attuazione quotidiana.
