Trustlinks free webinar: Turning regulation into resilience – Register now

Rimani aggiornato sulle ultime tendenze e best practicIl blog di Trustlinks

Perché gli attacchi alla catena di approvvigionamento stanno portando a nuove normative in materia di sicurezza informatica

Da MOVEit a Land Rover: perché gli attacchi alla catena di approvvigionamento stanno portando a nuove normative in materia di sicurezza informatica.

Gli attacchi alla catena di fornitura sono diventati una delle forme più devastanti e costose di rischio informatico. Basta che un solo fornitore venga compromesso per mettere a rischio centinaia o addirittura migliaia di organizzazioni, comprese quelle con sistemi di sicurezza interna molto solidi. Questo cambiamento nelle dinamiche delle minacce è uno dei motivi principali per cui normative come DORA e NIS2 danno molta più importanza alla gestione dei rischi legati a terze parti, alla resilienza operativa e alla supervisione basata su dati concreti. Le autorità di regolamentazione stanno reagendo a una semplice realtà: le organizzazioni sono resilienti solo quanto l’anello più debole della loro catena di fornitura.

Di seguito trovi quattro attacchi alla catena di approvvigionamento ben documentati che, nel loro insieme, dimostrano perché una gestione strutturata del rischio non è più un’opzione, indipendentemente dalle dimensioni dell’azienda:

  • MOVEit Transfer (2023): oltre 2.600 organizzazioni e 90 milioni di persone coinvolte a causa di un’unica vulnerabilità zero-day in uno strumento di trasferimento file molto diffuso
  • Kaseya VSA (2021): un ransomware si è diffuso in circa 1.500 aziende attraverso una piattaforma di gestione remota compromessa utilizzata dai fornitori di servizi gestiti
  • JBS (2021): il più grande fornitore mondiale di carne è stato costretto a sospendere le attività negli Stati Uniti, in Australia e in Canada a seguito di un attacco ransomware
  • Jaguar Land Rover (2025): un attacco informatico diretto contro la casa automobilistica ha bloccato la produzione per circa sei settimane, con un costo stimato di 485 milioni di sterline in un solo trimestre

Attacco alla catena di approvvigionamento di MOVEit Transfer (2023)

La violazione di MOVEit è uno degli incidenti più gravi che hanno colpito la catena di fornitura negli ultimi anni. MOVEit, uno strumento di trasferimento file molto diffuso, è stato compromesso a causa di una vulnerabilità zero-day finora sconosciuta. Gli hacker hanno sfruttato questa falla per accedere a dati sensibili dei clienti di MOVEit in diversi settori, con vittime di alto profilo come la BBC, British Airways, Shell e diverse agenzie federali statunitensi. In totale sono state colpite più di 2.600 organizzazioni, con oltre 90 milioni di persone coinvolte. L’avviso della CISA sull’incidente rimane una delle descrizioni pubbliche più complete di come si è svolto l’attacco.

Ciò che ha reso la violazione di MOVEit particolarmente grave è il fatto che molte delle organizzazioni coinvolte disponevano di solide misure di sicurezza interne. Queste, però, si sono rivelate di scarsa utilità quando il rischio proveniva da uno strumento di terze parti. Questo è esattamente il tipo di guasto a catena che DORA e NIS2 sono state concepite per affrontare.

Attacco ransomware a Kaseya VSA (2021)

L’attacco a Kaseya è un chiaro esempio di come gli incidenti nella catena di fornitura colpiscano in modo sproporzionato le organizzazioni più piccole. Kaseya, un fornitore di software di gestione remota per i gestori di servizi gestiti, è stata compromessa a causa di vulnerabilità nel suo prodotto VSA. La violazione ha permesso al ransomware di diffondersi rapidamente a circa 1.500 aziende a valle nei settori della vendita al dettaglio, della logistica, della produzione e dei servizi professionali. Nei giorni successivi, la CISA ha pubblicato delle linee guida specifiche per le organizzazioni colpite e i loro fornitori di servizi.

L’incidente di Kaseya mette in luce un punto fondamentale: le vulnerabilità dei fornitori esterni diventano rapidamente le tue vulnerabilità. Le organizzazioni più piccole sono spesso più esposte perché fanno ampio ricorso a fornitori esterni e non dispongono delle risorse necessarie per valutare costantemente il rischio legato a questi ultimi. È proprio per questo che le autorità di regolamentazione ora richiedono valutazioni documentate dei fornitori, un monitoraggio continuo e una chiara attribuzione delle responsabilità.

Attacco ransomware a JBS (2021)

L’attacco a JBS, il più grande fornitore mondiale di carne, ha dimostrato quanto velocemente un attacco informatico possa trasformarsi da semplice problema IT a una vera e propria minaccia alla resilienza nazionale. Il ransomware ha costretto a interrompere le operazioni negli Stati Uniti, in Australia e in Canada, compromettendo le catene di approvvigionamento alimentari globali e causando costi di ripristino significativi. Come riportato all’epoca da Reuters, la Casa Bianca ha confermato che l’attacco proveniva da un’organizzazione criminale probabilmente con base in Russia, suscitando paragoni con l’incidente alla Colonial Pipeline avvenuto solo poche settimane prima.

L’approvvigionamento alimentare è considerato un’infrastruttura critica, il che spiega perché le autorità abbiano da allora rafforzato i requisiti in materia di resilienza, segnalazione e gestione dei rischi nell’ambito di framework normativi come NIS2.

Attacco informatico a Jaguar Land Rover (2025)

Nell’agosto 2025, Jaguar Land Rover ha subito un attacco informatico diretto che ha costretto l’azienda a sospendere la produzione in tutti i suoi stabilimenti nel Regno Unito per circa sei settimane. Come riportato da Computer Weekly, l’azienda ha registrato una perdita di 485 milioni di sterline nel trimestre in cui si è verificato l’attacco, rispetto a un utile di 398 milioni di sterline nello stesso periodo dell’anno precedente. Il costo economico complessivo per il Regno Unito è stato stimato in 1,5 miliardi di sterline. Migliaia di lavoratori sono stati mandati a casa, i fornitori hanno faticato a ricevere i pagamenti e le ripercussioni si sono estese a tutta la filiera automobilistica.

L’incidente di JLR mette in evidenza come un attacco informatico a una singola organizzazione possa propagarsi rapidamente a cascata in un intero ecosistema di fornitori, partner e operatori logistici — e perché comprendere queste dipendenze sia ormai un requisito normativo, non solo una best practice.

Perché questi incidenti sono importanti per la conformità alle normative NIS2 e DORA

Questi cinque episodi portano tutti alla stessa conclusione: la resilienza informatica non si limita più ai tuoi sistemi. Dipende da ogni fornitore e operatore di servizi su cui fai affidamento. Ai sensi di DORA e NIS2, le organizzazioni devono identificare e valutare i fornitori terzi, documentare e monitorare i rischi della catena di approvvigionamento, garantire la continuità anche quando un fornitore è compromesso e mantenere processi chiari e prove della supervisione. Queste sono aree in cui molte organizzazioni hanno difficoltà, in particolare quelle che non dispongono di team dedicati alla conformità o alla sicurezza.

La gestione dei rischi della catena di approvvigionamento è uno degli aspetti più impegnativi della conformità alle normative DORA e NIS2. Trustlinks è stato progettato per dare struttura e chiarezza a questa sfida, con flussi di lavoro guidati per la valutazione dei rischi dei fornitori, documentazione centralizzata, promemoria automatici per revisioni e rinnovi, e requisiti normativi direttamente collegati alle azioni che la tua organizzazione deve intraprendere. Un’unica piattaforma, supervisione completa, sempre pronta per gli audit.

Looking for a secure and user-friendly compliance solution?Share your details, and we’ll contact you to discuss how Trustlinks can help.

Parla con la Territory Manager
Camilla Corsini

Blog TrustlinksCosa leggere dopo..

Gli istituti finanziari sono preoccupati per gli attacchi basati sull'intelligenza artificiale: ecco quello che DORA si aspetta dalle aziende
Ormai non riesci più ad applicare le patch abbastanza in fretta. Ecco perché i controlli di compensazione stanno diventando fondamentali.
L'intelligenza artificiale sta accelerando le minacce informatiche, ma la conformità è ancora in ritardo

Prenota una demo

Inviaci un messaggio e il nostro team ti risponderà al più presto.

Prenota una demo

Inviaci un messaggio e il nostro team ti risponderà al più presto.
Logo Trustlinks bianco.

Contatta il team commerciale

Hai domande sui prezzi, sui framework o su come Trustlinks possa adattarsi alla tua organizzazione? Il nostro team è a tua disposizione per aiutarti a trovare la soluzione più adatta.

→ Oppure esplora le nostre domande frequenti

Ottieni assistenza sul prodotto

Hai bisogno di aiuto per utilizzare la piattaforma o hai riscontrato un problema? Il nostro team di supporto è pronto ad assisterti.

Contattaci