La Commissione Europea è stata colpita da un attacco informatico che ha compromesso la piattaforma di gestione dei dispositivi mobili del personale. L'incidente, rilevato il 30 gennaio, si inserisce in un'ondata di violazioni coordinate che hanno preso di mira diverse istituzioni europee sfruttando vulnerabilità critiche nel software Ivanti Endpoint Manager Mobile. Il timing dell'attacco risulta particolarmente significativo, arrivando appena dieci giorni dopo la proposta della stessa Commissione di una nuova legislazione sulla sicurezza informatica volta a rafforzare le difese contro gruppi sponsorizzati da stati e organizzazioni criminali.
L'attacco ha interessato l'infrastruttura centralizzata che gestisce i dispositivi mobili dei dipendenti della Commissione, con gli aggressori che potrebbero aver ottenuto accesso ai dati personali di alcuni membri dello staff, tra cui nomi e numeri di telefono. Tuttavia, l'istituzione europea ha dichiarato che la risposta rapida del team di sicurezza ha permesso di contenere l'incidente e ripulire il sistema compromesso entro nove ore dalla scoperta. Al momento non sono state rilevate evidenze di compromissione diretta dei dispositivi mobili dei dipendenti.
Il vettore d'attacco appare collegato a vulnerabilità zero-day nel software Ivanti EPMM, una piattaforma di gestione della mobilità aziendale ampiamente utilizzata da governi e grandi organizzazioni a livello globale. Il 29 gennaio, Ivanti aveva emesso un avviso critico riguardante due falle di sicurezza identificate come CVE-2026-1281 e CVE-2026-1340, entrambe vulnerabilità di code injection che consentono ad attaccanti remoti di eseguire codice arbitrario sui dispositivi non aggiornati senza necessità di autenticazione.
La stessa tipologia di attacco ha infatti compromesso i sistemi dell'Autorità per la Protezione dei Dati olandese e del Consiglio per la Magistratura dei Paesi Bassi, che hanno notificato al Parlamento venerdì scorso violazioni quasi identiche. Anche in questi casi, gli aggressori hanno sfruttato le vulnerabilità di Ivanti EPMM per accedere a informazioni dei dipendenti quali nomi, indirizzi email aziendali e numeri di telefono. Il Centro Nazionale per la Sicurezza Informatica olandese è stato informato dal fornitore delle falle di sicurezza il 29 gennaio, confermando che i dati lavorativi del personale erano stati accessati da soggetti non autorizzati.
L'incidente solleva interrogativi sulla sicurezza delle infrastrutture critiche europee e sulla tempistica degli attacchi, concentrati in una finestra temporale ristretta che suggerisce una campagna orchestrata. Il fatto che la Commissione avesse appena proposto nuove misure di cybersicurezza evidenzia il paradosso tra le ambizioni legislative dell'Unione Europea in materia di difesa digitale e le vulnerabilità concrete delle sue stesse infrastrutture tecnologiche. La capacità di contenere l'incidente in sole nove ore dimostra comunque l'efficacia dei protocolli di risposta rapida implementati dalle istituzioni europee.
Per le organizzazioni che utilizzano Ivanti EPMM, la priorità assoluta rimane l'applicazione immediata delle patch di sicurezza rilasciate dal fornitore. Le vulnerabilità di tipo code injection rappresentano una minaccia particolarmente grave negli ambienti enterprise, poiché consentono l'esecuzione remota di codice senza alcuna interazione dell'utente, rendendo le piattaforme di gestione della mobilità aziendale un bersaglio privilegiato per attori ostili.
