Tre episodi in poche settimane. Le Gallerie degli Uffizi colpite da un’intrusione informatica durata mesi, con una richiesta di riscatto da 300.000 euro recapitata direttamente al direttore del museo. A Venezia, un gruppo di hacker rivendica l’accesso ai sistemi di controllo delle pompe anti-allagamento del progetto MOSE, pubblica screenshot dei pannelli operativi e mette in vendita l’accesso per 600 dollari. Booking.com conferma che soggetti non autorizzati hanno raggiunto i dati di prenotazione di milioni di clienti, aprendo la strada a campagne di phishing costruite su informazioni reali, dettagli autentici di viaggi reali, nomi e numeri di telefono verificati.
Ciò che colpisce, guardando questi tre casi insieme, è la tentazione ricorrente di isolarli come un problema di un museo, un problema di un’infrastruttura idraulica, un problema di una piattaforma commerciale. Tre settori distanti, tre tipologie di target apparentemente senza nulla in comune. Eppure la logica che li attraversa è identica, e ignorarla significa fraintendere la natura del rischio che stiamo affrontando. Gli hacker che hanno colpito gli Uffizi non erano interessati alle opere d’arte in senso fisico: erano interessati alla rete amministrativa che gestisce le immagini, i contratti, le credenziali di accesso, i rapporti con i fornitori, i collegamenti con i server del Ministero della Cultura. Era quella rete il loro obiettivo, perché era quella rete a trasportare leva economica. Il riscatto da 300.000 euro non è una cifra enorme rispetto al valore del patrimonio custodito, ma è sufficiente per aprire un’inchiesta per tentata estorsione e costringere un’istituzione culturale tra le più visitate al mondo a chiudere un’ala di Palazzo Pitti per precauzione, spostare i gioielli del Tesoro dei Granduchi in una cella blindata della Banca d’Italia, murare porte e uscite di sicurezza. Il danno reputazionale e organizzativo, in questo tipo di attacchi, precede e spesso supera quello materiale.
A Venezia la posta in gioco era diversa, ma la struttura del problema era la stessa. Il gruppo “Infrastructure Destruction Squad”, che ha comunicato via Telegram in lingua cinese, ha sfruttato interfacce di controllo esposte su internet, sistemi legacy privi di autenticazione robusta, architetture pensate per la gestione operativa e non per resistere a intrusioni esterne. Il risultato è stato l’accesso amministrativo alle pompe idrauliche che proteggono Piazza San Marco dalle acque alte. Le autorità hanno confermato che i sistemi critici sono rimasti operativi, ma il punto non è se l’allagamento è avvenuto. La vera questione è che qualcuno ha dimostrato di poterlo provocare, e ha pubblicato le prove.
Quando i dati di un hotel diventano un’arma
Il caso Booking.com ha una scala diversa. Oltre 100 milioni di utenti attivi sulla sola app mobile, 1,1 miliardi di notti prenotate nel 2024, 23,7 miliardi di dollari di fatturato annuo. Un’azienda di queste dimensioni dispone di risorse per la sicurezza informatica che la maggior parte delle organizzazioni non potrà mai permettersi. Eppure l’accesso non autorizzato è avvenuto, probabilmente attraverso un fornitore terzo o un partner della catena di distribuzione, come suggerisce la formula usata dalla portavoce Courtney Camp: “attività sospette che coinvolgono terze parti non autorizzate”. È una formulazione precisa che sposta il problema fuori dal perimetro diretto dell’azienda, ma non fuori dalla sua responsabilità. Le grandi piattaforme non diventano fragili per un errore di codice interno: diventano fragili quando la complessità della loro catena di fornitori supera la capacità di presidiarla. E quella complessità, nel caso di Booking.com, è enorme: decine di migliaia di strutture ricettive partner, sistemi di gestione eterogenei, integrazioni tecnologiche costruite su standard diversi in mercati con regolamentazioni diverse. Il dato sottratto, in questo contesto, diventa immediatamente operativo: i truffatori che hanno contattato gli utenti via WhatsApp conoscevano i dettagli reali delle prenotazioni, le date, i nomi delle strutture. Uno spear phishing costruito su misura, difficile da riconoscere proprio perché conteneva informazioni vere.
Il 7 aprile 2026, pochi giorni prima che la notizia di Booking diventasse pubblica, FBI, CISA e NSA avevano già emesso un avviso congiunto su attori collegati all’Iran, tra cui il gruppo CyberAv3ngers associato ai Pasdaran, impegnati in operazioni contro sistemi di controllo industriale in più paesi. Le tecniche documentate non richiedono exploit sofisticati che sfruttano interfacce accessibili pubblicamente, sistemi non aggiornati, credenziali deboli. L’obiettivo dichiarato è alterare i dati visualizzati nei pannelli SCADA, causare interruzioni operative, produrre instabilità nei servizi essenziali. Una strategia che nei contesti di conflitto è già dottrina consolidata, e che in quello civile si manifesta ancora come serie di incidenti separati.
La cybersicurezza da ripensare
Abbiamo passato un decennio a parlare di trasformazione digitale come opportunità e pochissimo tempo a ragionare su cosa significa dipendere da sistemi che non controlliamo davvero. Che ogni volta che una piattaforma viene colpita, ogni volta che un’infrastruttura pubblica finisce nel mirino, ripetiamo lo stesso schema. Si cerca la falla, si individua il responsabile, si comunica che il problema è contenuto. E poi si ricomincia. Quello che manca, in questa sequenza, è la domanda strutturale e cioè: le organizzazioni sono costruite per funzionare anche quando i loro sistemi digitali vengono messi sotto pressione? Hanno ridondanze, piani di continuità operativa, capacità di risposta che non dipendano dalla stessa infrastruttura che è stata colpita? Nel caso degli Uffizi, la risposta sembra essere stata improvvisata: porte murate, opere spostate, un’ala chiusa senza una data di riapertura. Misure necessarie, probabilmente giuste, ma costruite sull’emergenza piuttosto che su una pianificazione preesistente. Nel caso di Venezia, il fatto che i sistemi critici siano rimasti operativi è una notizia positiva, ma non è una risposta: significa che questa volta ha retto, non che la vulnerabilità è stata risolta. Nel caso di Booking, la piattaforma ha contenuto il problema e reimpostato i codici PIN, ma non ha detto quanti utenti siano stati coinvolti, né come sia avvenuta l’intrusione, né quali misure strutturali siano state adottate per impedire che si ripeta lungo la stessa catena di fornitura.
Trattare la cybersicurezza come una funzione del reparto IT significa accettare che la risposta agli attacchi arrivi sempre in ritardo rispetto alla minaccia. Significa che i processi decisionali che determinano gli investimenti in sicurezza sono separati dai processi che determinano la continuità operativa, la reputazione, la relazione con clienti e utenti, così come ha spiegato Pierguido Iezzi nell’intervista rilasciata a Byte.Legali.
Significa, in ultima analisi, che il rischio digitale viene gestito come se fosse circoscritto a un perimetro tecnico, quando da anni quel perimetro non esiste più. Gli episodi delle ultime settimane lo mostrano con una chiarezza che non consente ulteriori semplificazioni. La sicurezza digitale è una condizione per l’operatività di qualsiasi organizzazione che abbia una presenza digitale rilevante. Che sia un museo con 60 milioni di euro di fatturato annuo, un sistema idraulico che protegge una città patrimonio dell’umanità, o una piattaforma da 23 miliardi di dollari di ricavi.
Le infrastrutture si governano
L’avviso congiunto di FBI, CISA e NSA del 7 aprile non è un dettaglio di contorno. È il segnale che ciò che nei contesti di conflitto è già strategia consolidata sta diventando pratica corrente anche in quello civile, con la differenza che nel contesto civile le organizzazioni colpite non hanno né la dottrina né le risorse dei sistemi militari per rispondere. Gli attori che prendono di mira i sistemi OT esposti su internet non cercano dati da rivendere. ma cercano leva, disruption, capacità di interrompere servizi che altri considerano garantiti. È una logica che richiede una risposta altrettanto strutturale, che non si esaurisce nell’aggiornamento di un software o nella sostituzione di un fornitore.
Quello che serve, e che questi tre episodi rendono urgente, è un cambio di prospettiva nella governance del rischio digitale. La cybersicurezza richiede presidio a livello di consiglio di amministrazione, non solo di direzione tecnica. Richiede che i fornitori vengano valutati per il loro livello di esposizione e per le misure di sicurezza che adottano lungo tutta la loro catena e che i piani di continuità operativa vengano testati prima che un attacco li metta alla prova. Richiede, soprattutto, che la risposta a un incidente non sia costruita sull’emergenza, ma su processi già definiti di lungo periodo in grado di fornire risposte adeguate che fin qui non sono arrivate. Booking.com non ha detto quanti utenti siano stati colpiti. Gli Uffizi hanno appreso della notizia dalla stampa la sera prima della pubblicazione. Il Ministero delle Infrastrutture non ha ancora fornito una ricostruzione pubblica di cosa sia accaduto a Venezia. Tre organizzazioni molto diverse, tre risposte comunicative e operative inadeguate. E il tempo per cambiare prospettiva comincia davvero a scarseggiare.