Il panorama della cybersecurity italiana subisce un colpo durissimo con la violazione dei sistemi di Almaviva, gigante nazionale dei servizi IT e digitali con 41.000 dipendenti e un fatturato di 1,411 miliardi di euro nel 2024. L'incidente ha esposto dati sensibili di Ferrovie dello Stato e potenzialmente di altre importanti organizzazioni italiane, sollevando interrogativi preoccupanti sulla sicurezza delle infrastrutture critiche nazionali. La portata della compromissione, che coinvolge un fornitore che ironicamente offre proprio servizi di cybersecurity al settore della Difesa e della Sicurezza, amplifica le implicazioni dell'attacco ben oltre il perimetro di un singolo data breach.
Un attore malevolo rivendica il furto di 2,3 terabyte di dati sensibili dai sistemi di Almaviva, un volume che suggerisce un'infiltrazione profonda e prolungata nelle infrastrutture del provider IT. L'analisi dei file trapelati rivela documenti datati fino al terzo trimestre 2025, inclusi materiali fiscali, amministrativi e operativi recenti, elemento che punta verso una compromissione fresca piuttosto che il riutilizzo di dati sottratti nel precedente attacco subito da Almaviva nel 2022.
Il bottino comprende informazioni di estrema criticità per la sicurezza nazionale: piani di investimento e industriali di Ferrovie dello Stato per il periodo 2017-2035, contratti con il Ministero della Difesa e l'Aeronautica Militare, liste prioritarie di forniture legate alla difesa, e documentazione riservata di progetti come Project Venus coinvolgente Leonardo e Vitrociset. La natura strategica di questi documenti, molti marcati come "USO INTERNO", "CONFIDENZIALE" o "ESCLUSIVO", rappresenta un rischio geopolitico significativo.
L'impatto sui cittadini italiani risulta particolarmente allarmante. Il dataset comprende dati personali di passeggeri con numeri di passaporto, informazioni bancarie, buste paga e configurazioni web che potrebbero essere sfruttate per attacchi mirati. L'avvocato per la protezione dei dati Christian Bernieri ha sottolineato la pericolosità della situazione, affermando che chiunque ottenga accesso a tali informazioni potrebbe causare danni considerevoli a ogni livello, con le vittime civili particolarmente vulnerabili e impossibilitate a contrastare efficacemente le conseguenze.
Le entità coinvolte nella fuga di dati spaziano dall'intero ecosistema ferroviario italiano – Trenitalia, Rete Ferroviaria Italiana, Mercitalia Intermodal, GrandiStazioni Retail, FS Technology, Italferr, Italcertifer, Trenitalia Tper e altre controllate – fino a clienti commerciali di Mercitalia e documentazione relativa a gare d'appalto di varie aziende. La presenza di contratti e accordi esecutivi di Almaviva con la Guardia di Finanza, il Comando Generale dei Carabinieri, autorità sanitarie e il Ministero degli Affari Esteri amplifica ulteriormente la portata della compromissione.
Almaviva ha confermato pubblicamente l'attacco informatico, dichiarando che i servizi di monitoraggio della sicurezza hanno identificato e successivamente isolato la minaccia nelle settimane recenti. L'azienda ha attivato procedure specializzate di sicurezza e risposta garantendo la protezione e piena operatività dei servizi critici. Le autorità competenti – Procura della Repubblica, Polizia Postale, Agenzia per la Cybersicurezza Nazionale e Garante per la Protezione dei Dati Personali – sono state immediatamente informate, con una collaborazione stretta in corso per attività di monitoraggio, investigazione e risposta.
L'ironia della situazione non sfugge agli osservatori del settore: Almaviva commercializza attivamente servizi di cybersecurity vantando "un livello completamente nuovo di conoscenza e comprensione delle minacce informatiche" e opera nel settore Difesa e Sicurezza a fianco delle Forze Armate e delle Forze dell'Ordine. La violazione dei sistemi di un provider che dovrebbe garantire la sicurezza digitale delle infrastrutture critiche nazionali solleva domande fondamentali sulla catena di fornitura della cybersecurity italiana e sui meccanismi di certificazione dei fornitori per enti governativi e strategici.
Al momento attuale, l'ampiezza reale della violazione rimane poco chiara. Non è noto se altre grandi organizzazioni italiane clienti di Almaviva siano state compromesse, né Almaviva ha condiviso dettagli tecnici sull'attacco che potrebbero aiutare altre aziende a valutare la propria esposizione. L'assenza di informazioni sulle tecniche di intrusione utilizzate, sui vettori di attacco e sugli indicatori di compromissione limita la capacità del settore di implementare difese preventive efficaci.