Cybersicurezza e ict: l’Ue passa al setaccio le catene di fornitura

Il 20 settembre 2025 tre importanti scali europei hanno subito contemporaneamente gravi disservizi: cancellazioni e ritardi ai tabelloni delle partenze di Bruxelles, Londra Heathrow e Berlino a seguito di un attacco informatico diretto contro l’operatore esterno che forniva i sistemi di check‑in e imbarco, Collins Aerospace.

Un episodio analogo era accaduto in Italia pochi mesi prima, quando il provider tecnologico PluService — che gestisce piattaforme come myCicero/MooneyGo e servizi per diversi operatori del trasporto pubblico — era stato compromesso, con effetti a catena su app e sistemi di bigliettazione.

Attacchi mirati alla supply chain ICT

Le minacce informatiche rivolte alle catene di approvvigionamento in ambito ICT (hardware, software, reti e servizi) sono diventate una scelta strategica per i criminali informatici, perché consentono di amplificare l’impatto colpendo fornitori terzi cui si appoggiano molteplici operatori.

Enisa ha osservato questa tendenza e ha sintetizzato il fenomeno nel suo ultimo rapporto:

“I criminali informatici hanno preso sempre più di mira fornitori terzi, come i servizi digitali, molto probabilmente per sfruttare l’opportunità di ottimizzare l’efficacia dei propri attacchi. Gli aggressori sfruttano la catena di approvvigionamento, in particolare compromettendo software, repository o estensioni dei browser.”

La vulnerabilità dei provider terzi può trasformarsi rapidamente in una criticità sistemica: non è più sufficiente valutare la sicurezza di un singolo attore, ma occorre considerare la permeabilità verso giurisdizioni estere e il contesto normativo e geopolitico in cui i fornitori operano.

Il quadro normativo proposto dall’Unione

Per rispondere a questi rischi la Commissione Ue ha presentato alla fine di gennaio un pacchetto normativo che introduce criteri non solo tecnici, ma anche geopolitici e strategici per valutare le catene di approvvigionamento digitali.

La proposta mira a istituire un trusted Ict supply chain framework armonizzato a livello europeo che si applicherà ai settori critici già coperti dalla direttiva NIS2, recepita da molti Stati membri.

Secondo il testo, la Commissione — o un gruppo minimo di Stati membri — potrà richiedere al NIS Cooperation Group di valutare asset critici e i rischi legati alla supply chain digitale, includendo l’analisi dei fornitori e del contesto geopolitico in cui operano.

In base al grado di vulnerabilità individuato, gli interventi possibili vanno da misure di mitigazione proporzionate a obblighi di trasparenza sui provider, limiti ai trasferimenti di dati o all’accesso da Paesi terzi, fino alla restrizione o esclusione di componenti e servizi ritenuti ad «alto rischio».

La proposta precisa inoltre come debbano essere valutati i rischi non tecnici derivanti da Paesi terzi:

“La Commissione verifica il rischio rappresentato da tale Paese, tenendo conto dell’eventuale esistenza di leggi che obbligano le aziende a condividere informazioni relative alle vulnerabilità prima che si accerti che tali vulnerabilità siano state sfruttate, della mancanza di controlli democratici e obblighi di segnalazione in caso di rischi, e di informazioni comprovate relative a incidenti in cui attori di minaccia controllati da tale Paese hanno compiuto attività informatiche dannose, nonché dell’incapacità o riluttanza del Paese terzo a cooperare con la Commissione o gli Stati membri.”

Implicazioni operative e istituzionali

Se approvata, la normativa imporrà alle autorità nazionali e alle imprese obblighi di valutazione e segnalazione più ampi, con ricadute su programmazioni di acquisto pubblico, criteri di certificazione e gestione dei rischi negli appalti. Le amministrazioni dovranno integrare controlli geopolitici nelle valutazioni tecniche tradizionali.

Per i fornitori esterni e i produttori di componenti ciò significa una maggiore trasparenza su catene produttive, repository software e politiche di governance, oltre alla possibile esclusione dai mercati europei in presenza di rischi sistemici giudicati non mitigabili.

L’applicazione pratica richiederà strumenti di cooperazione fra Stati membri, scambio di informazioni e capacità di indagine su incidenti transnazionali. Il ruolo del NIS Cooperation Group e dell’agenzia Enisa sarà centrale per uniformare criteri di rischio e procedure di intervento.

Rischi e criticità da considerare

Tra le questioni aperte resta il bilanciamento tra sicurezza strategica e impatti sul mercato: criteri troppo restrittivi potrebbero ridurre la concorrenza e aumentare i costi di approvvigionamento, mentre criteri insufficienti lascerebbero aperte le vulnerabilità che la proposta intende colmare.

Altro tema rilevante è la cooperazione con Paesi terzi: esclusioni o restrizioni legate a contesti geopolitici potrebbero richiedere strumenti diplomatici e accordi bilaterali per garantire risposte coerenti e proporzionate a livello internazionale.

Infine, l’efficacia delle misure dipenderà dalla capacità di integrare valutazioni tecniche, legali e geopolitiche in processi chiari, replicabili e trasparenti, con standard comuni per la segnalazione degli incidenti e la verifica delle contromisure adottate dai fornitori.

Prossimi passi e prospettive

Nei prossimi mesi le istituzioni europee discuteranno la proposta con gli Stati membri e gli stakeholder industriali per definire i dettagli operativi. L’intento è creare un quadro europeo che aumenti la resilienza digitale, riduca la dipendenza strategica da fornitori vulnerabili e integri il rischio geopolitico nelle procedure di sicurezza ICT.

Per le imprese e le amministrazioni l’appello è prepararsi a una nuova fase di compliance: rivedere le catene di fornitura, incrementare la sorveglianza sui fornitori critici e predisporre piani di reazione per scenari di compromissione che coinvolgano terze parti.