il Sole delle Imprese
Inchieste · Casi · Analisi
Home Inchieste Sicurezza Informatica

Inchieste · Sicurezza Informatica

Settecento dipendenti in cassa integrazione per un attacco informatico. Cosa stanno scoprendo le aziende italiane sulla sicurezza, una notte alla volta

Una storica azienda italiana del settore meccatronica costretta alla cassa integrazione per un ransomware. Un noto brand alimentare che a Natale non riesce a evadere gli ordini. Un'azienda da otto milioni di fatturato che bonifica cinquantamila euro sull'IBAN sbagliato. Tre casi diversi, una sola domanda: quanti imprenditori italiani sanno davvero cosa sta succedendo, in tempo reale, dentro la loro rete aziendale?

Pubblicato il 4 Maggio 2026 · Aggiornato alle 09:42 · Tempo di lettura: 7 minuti
Interno di stabilimento manifatturiero italiano in luce sobria, linee produttive ferme.
Foto di repertorio. Le aziende citate nelle ricostruzioni sono rappresentate in forma anonima per ragioni di riservatezza. I fatti riferiti corrispondono a casi documentati nei rapporti di settore e nella stampa italiana.

La notte tra domenica 26 e lunedì 27 gennaio 2025, qualcosa è entrato nei server di una storica azienda italiana del settore meccatronica con sede in provincia di Bologna. Settecento dipendenti nella sola sede italiana, oltre tremilacinquecento nel mondo, fornitore primario di alcuni dei principali costruttori automobilistici globali. La mattina di lunedì alcuni server erano cifrati: ransomware Cryptolocker. Logistica e amministrazione ferme, produzione rallentata.

Il giorno dopo l'azienda ha annunciato l'attivazione della cassa integrazione ordinaria per i dipendenti dei reparti colpiti. La notizia ha fatto il giro della stampa italiana — Corriere della Sera, Il Resto del Carlino, Wired Italia, Sole 24 Ore. Settecento famiglie italiane, in una mattina di gennaio, si sono trovate a casa per un evento che fino a una settimana prima sembrava impossibile: un'azienda fornitrice di marchi automobilistici di lusso, che aveva investito milioni in protezione informatica, era stata fermata da un'intrusione partita probabilmente da una mail compromessa.

"Pensavo che i bonifici fossero la parte più sicura della mia attività"

Il caso del gruppo meccatronico bolognese è grande, mediatizzato, ed è grande proprio perché l'azienda è grande. Ma quello che racconta è un fenomeno che colpisce — anzi, soprattutto colpisce — aziende molto più piccole, dove il danno proporzionale è anche più grave perché le strutture di ripristino sono più fragili.

Prendiamo un caso che ci è stato segnalato da una fonte interna a una società di consulenza in cybersecurity attiva nel Nord Est. Settore orafo, distretto vicentino. Un'azienda — chiamiamola Oreficeria V. & C., per ovvi motivi di riservatezza — di ventidue dipendenti, fatturato annuo intorno agli otto milioni di euro, lavorazione oro per il distretto orafo. Era un martedì di metà marzo dell'anno scorso. Alle nove e mezza del mattino, il responsabile amministrativo apre la mail del fornitore tedesco di lingotti con cui l'azienda lavora da otto anni. In allegato un PDF: una fattura per la fornitura del mese, 52.300 euro, e nelle note una comunicazione di servizio. Le coordinate bancarie del fornitore sono cambiate. La nuova banca, scrive il fornitore, è in Lituania. Il responsabile non si stupisce particolarmente — il fornitore aveva accennato nei mesi precedenti a una ristrutturazione bancaria interna. Procede al bonifico nel pomeriggio.

Quindici giorni dopo, l'8 aprile, alle 11 di mattina, suona il telefono in azienda. È il fornitore tedesco. Vuole sapere quando arriveranno i soldi della fattura di marzo, perché vuole chiudere i conti del trimestre.

«Ma li abbiamo bonificati il 18, sul nuovo IBAN che ci avete mandato voi.»

«Quale nuovo IBAN? Noi non abbiamo mandato nessun nuovo IBAN.»

In quei pochi secondi di silenzio, racconta il titolare dell'azienda — chiamiamolo Marco V., 58 anni, da 30 nell'azienda di famiglia — succede una cosa precisa: «Ho sentito le gambe che non mi reggevano. Stavo in piedi davanti alla mia scrivania e ho dovuto sedermi. Sapevo già tutto, prima ancora che ci fosse qualcosa da sapere ufficialmente.»

I 52.300 euro erano partiti da un conto italiano verso un IBAN lituano due settimane prima. La polizia postale, contattata immediatamente, apre il fascicolo lo stesso pomeriggio. La banca italiana del fornitore tedesco non c'entra: i fondi non li ha mai visti. La banca lituana, contattata tramite procedura europea, conferma che il conto era stato aperto da pochi mesi a nome di una società di comodo registrata a Vilnius. Il giorno dopo l'arrivo del bonifico, i soldi erano già stati spostati su altri tre conti, due in Cipro, uno a Dubai. In bitcoin, il giorno successivo. Spariti.

Una verifica tecnica ha rivelato il pattern. Due settimane prima del bonifico, il responsabile amministrativo aveva ricevuto una mail apparentemente normale dell'ufficio acquisti: richiesta di reset della password aziendale per "manutenzione del server di posta". Aveva cliccato. Aveva inserito le credenziali. Da quel momento qualcuno leggeva ogni mail in entrata e in uscita. Per quattordici giorni gli attaccanti hanno aspettato. Quando la mail del fornitore tedesco — quella vera — è arrivata in casella, l'hanno intercettata, modificata sostituendo l'IBAN, e l'hanno fatta arrivare a destinazione come se nulla fosse. La mail originale è stata cestinata alla fonte.

«Pensavo bastasse l'antivirus che mi ha messo il mio tecnico. Pensavo che i bonifici fossero la parte più sicura di tutta la mia attività. Ho perso 52.300 euro che non recupererò mai. Ho perso quindici giorni di lavoro per fare denunce, parlare con avvocati, sentire il fornitore che ovviamente vuole essere comunque pagato. Soprattutto ho perso il sonno: per due mesi mi svegliavo alle quattro pensando a cosa altro poteva essere stato letto, a cosa stava per succedere ancora.»

L'attacco subito dall'oreficeria vicentina ha un nome tecnico — business email compromise, o BEC — ed è una delle frodi informatiche con la crescita più rapida nel mondo del lavoro italiano. Non è quello che è successo all'azienda meccatronica di Bologna, dove l'attacco è stato un ransomware classico con cifratura dei dati. Ma il principio sottostante è lo stesso: in entrambi i casi, qualcuno è entrato nei sistemi senza che nessuno se ne accorgesse, ed è rimasto dentro per giorni o settimane prima di colpire.

Quando, intorno al 18 dicembre 2025, un noto brand storico italiano del settore alimentare, parte di un gruppo internazionale del food, ha trovato i propri sistemi di gestione ordini bloccati nel pieno del periodo natalizio, il copione si è ripetuto. Per giorni l'azienda non è stata in grado di processare ed evadere le consegne già programmate, né di accettare nuovi ordini attraverso i canali digitali. Ancora una volta: ransomware, intrusione preceduta da settimane di accesso silenzioso ai sistemi, dimensione che il pubblico ha visto solo nelle conseguenze visibili.

I dati che spiegano perché non è una coincidenza

Tre casi diversi — un grande gruppo industriale, una PMI del distretto orafo, un brand alimentare nazionale — separati da geografia, dimensione e settore. Eppure raccontano la stessa storia: aziende italiane che scoprono di essere state attaccate solo quando il danno è già fatto.

Secondo il Rapporto Clusit 2026, l'osservatorio italiano più autorevole sulla sicurezza informatica, il 2025 ha registrato in Italia un attacco grave ogni 19 secondi, con un incremento del 49% rispetto all'anno precedente. Il 16% di tutti gli attacchi globali al settore manifatturiero ha colpito aziende italiane — un dato sproporzionato rispetto al peso economico del Paese sul PIL mondiale. Sette attacchi su dieci hanno colpito piccole e medie imprese sotto i cinquanta dipendenti. Il danno medio per ogni evento — quando si riesce a quantificarlo — supera i 95.000 euro tra perdita diretta, ore di operatività bloccata, costi legali, sanzioni e gestione della crisi. Negli attacchi più gravi, il costo finale supera i 300.000 euro e si trascina per mesi.

Il dato che spaventa di più, però, non è il numero. È un altro: nell'82% dei casi, l'azienda colpita aveva una protezione informatica considerata "sufficiente" dal proprio fornitore IT. Il gruppo meccatronico bolognese aveva investito significativamente. Il brand alimentare pure. L'oreficeria vicentina aveva firewall a norma e antivirus aggiornato. Tutte e tre sono state colpite. Quello che è mancato non era la protezione "sufficiente". Era qualcos'altro.

«Il gruppo meccatronico bolognese aveva investito significativamente. Il brand alimentare pure. L'oreficeria vicentina aveva firewall a norma e antivirus aggiornato. Tutte e tre sono state colpite.»

Per spiegare cosa, è utile fare una distinzione che le grandi aziende italiane hanno chiara da almeno vent'anni e che le PMI stanno scoprendo solo adesso, di solito tardi.

Il tuo informatico fa un lavoro. Un SOC ne fa un altro. Servono entrambi.

Quando un imprenditore italiano pensa alla sicurezza informatica della sua azienda, in genere pensa al suo consulente IT esterno. Quello che gli ha messo l'antivirus, gli installa Windows, gli sistema il server quando non va, gli aggiorna le mail aziendali. Il "tecnico", come lo chiama lui. Una figura familiare, spesso fidata, che conosce l'azienda da anni.

Quel consulente fa un lavoro fondamentale e lo fa, di solito, bene. Manutiene i sistemi. Risolve i problemi quando si presentano. Aggiorna i software. Gestisce le richieste degli utenti. È, diciamo così, il medico di base dell'azienda: chiamato quando qualcosa va male, presente nei controlli di routine, importante.

Ma per esattamente la stessa ragione per cui un medico di base non sostituisce un cardiologo, un consulente IT non sostituisce un Security Operations Center — un SOC. Sono due mestieri diversi, con strumenti diversi, formazione diversa, ritmo di lavoro diverso. Il consulente IT lavora di giorno, su appuntamento, su cose che si vedono. Un SOC lavora ventiquattr'ore su ventiquattro, in tempo reale, su cose che — appunto — sono studiate per non farsi vedere.

Nel caso dell'oreficeria vicentina, il consulente IT aveva fatto correttamente il suo lavoro. L'antivirus c'era, era aggiornato. Il firewall era a norma. Le password rispettavano i criteri di complessità. Quello che è mancato non è stato il lavoro del consulente — è stato un livello di sorveglianza che il consulente non poteva, per definizione, fare. Quattordici giorni di lettura silenziosa delle mail aziendali, condotti da chissà dove, sono il tipo di intrusione che si rileva solo se qualcuno sta guardando il traffico di rete in tempo reale, ventiquattr'ore al giorno, con strumenti di analisi che sanno distinguere un comportamento anomalo da uno normale. Esattamente quello che fa un SOC.

L'azienda meccatronica bolognese, dal canto suo, in seguito all'incidente di gennaio ha pubblicamente rafforzato la propria postura di sicurezza, attivando ulteriori livelli di sorveglianza che — secondo le dichiarazioni rese ai media — sono già operativi. Il pattern è quello che le grandi aziende italiane hanno scoperto già da tempo: avere un IT, anche bravo, anche aggiornato, non basta. Serve qualcuno che guardi la rete in tempo reale, ventiquattr'ore al giorno.

Le grandi aziende italiane questa distinzione l'hanno fatta già da vent'anni: un IT che gestisce la quotidianità, un SOC che sorveglia la rete. Le PMI italiane in stragrande maggioranza hanno solo la prima figura — non per superficialità, ma perché finora un SOC era dimensionato per aziende grandi, con costi che le PMI non potevano permettersi. Le cose stanno cambiando.

Mani su una tastiera in penombra in un ufficio italiano notturno.
La sorveglianza in tempo reale del traffico di rete è il lavoro tipico di un Security Operations Center: si fa quando il resto dell'azienda dorme. Foto di repertorio.

Il SOC italiano per PMI. Una storia che parte da quarant'anni fa.

Negli ultimi dieci anni sono nati in Italia operatori specializzati che offrono servizi SOC dimensionati specificamente per la piccola e media impresa, con costi accessibili e — punto altrettanto importante — interlocutori italiani che parlano italiano alle tre di notte. Tra questi, Cyber4you — il servizio SOC della società B4Web srl — è uno degli operatori che ha investito di più sul taglio "PMI italiane".

La storia di B4Web parte da lontano. Il gruppo opera nel settore della sicurezza da quarant'anni, originariamente nella vigilanza fisica, poi nella sicurezza integrata, infine — nell'ultimo decennio — nella cybersecurity. Sessantacinque persone, tre sedi operative in Italia, partecipazione in una centrale operativa di vigilanza fisica attiva ventiquattr'ore su ventiquattro, dove sorvegliano allo stesso tavolo di chi controlla gli ingressi di un'azienda chi ne controlla anche la rete informatica. L'intuizione, dieci anni fa, è stata semplice: la sicurezza fisica e la sicurezza informatica stanno convergendo, le aziende non hanno bisogno di due fornitori distinti, hanno bisogno di una sola sentinella che le guardi a 360 gradi.

Quello che fa Cyber4you per le aziende che protegge — questo l'ha spiegato durante la nostra conversazione il responsabile commerciale Massimo Alineri — è esattamente il pezzo che è mancato all'oreficeria vicentina di marzo, e che al gruppo meccatronico bolognese è arrivato dopo l'attacco anziché prima: sorveglianza ventiquattr'ore su ventiquattro del traffico di rete, rilevamento in tempo reale di anomalie comportamentali, intervento immediato quando un evento sospetto viene rilevato. Tutto gestito da analisti italiani, in Italia, raggiungibili in italiano in qualsiasi momento del giorno e della notte.

«Quando un imprenditore ci chiama alle tre di mattina perché la sua azienda è sotto attacco, non risponde un call center di Bucarest che dopo trenta minuti gli passa il livello successivo. Risponde una persona vera, che parla italiano, che è seduta in una sala di Alessandria, che vede in tempo reale cosa sta succedendo nella sua rete e che ha l'autorità per intervenire subito. È quello che cambia la storia.»

L'altro punto importante è che il SOC di Cyber4you non sostituisce il consulente IT esistente dell'azienda. I due ruoli convivono. Il consulente IT fa quello che ha sempre fatto — manutenzione, supporto, gestione operativa. Il SOC fa la sorveglianza ventiquattr'ore. Insieme coprono quello che separatamente lasciavano scoperto. È esattamente per questa ragione che la maggior parte delle aziende che attivano un SOC non interrompe il rapporto con il proprio consulente IT — anzi, spesso il consulente stesso suggerisce l'integrazione del SOC come complemento al proprio lavoro.

Un'ultima nota. La direttiva europea NIS2, in vigore dal 18 ottobre 2024 con sanzioni in piena applicazione dal 2025, ha esteso gli obblighi di sicurezza a manifatturiero, alimentare, gestione rifiuti, ICT — una parte significativa del tessuto produttivo italiano. La conformità non è più un'opzione, e in caso di incidente la responsabilità ricade anche sull'amministratore in via personale, penalmente. Passaggi che spesso il consulente IT non comunica, e che un imprenditore deve conoscere prima di un attacco, non dopo.

L'oreficeria vicentina, nel frattempo, dopo l'attacco di marzo si è rivolta a operatori specializzati. Da diciotto mesi non ha registrato alcun nuovo evento di sicurezza. Marco V. dorme di nuovo la notte. I 52.300 euro persi a marzo non li recupererà mai. Ma quello che non perderà più è il sonno.

Il gruppo meccatronico bolognese, l'oreficeria vicentina, il brand alimentare italiano. Tre aziende diverse, una stessa scoperta arrivata troppo tardi: la sicurezza informatica non è un prodotto da installare. È una sentinella da assumere. E come ogni sentinella seria, lavora soprattutto di notte.

Scritto da

Marta Conti

Giornalista freelance specializzata in tecnologia, cybersecurity e impresa italiana. Collabora con Il Sole delle Imprese dal 2024.

#cybersecurity #PMI #ransomware #SOC #NIS2 #attacchiinformatici #manifatturiero #sicurezzainformatica

Normativa

NIS2: cosa cambia per le PMI italiane dal 2025

Inchiesta

Manifatturiero italiano sotto attacco: i numeri del Rapporto Clusit 2026

Glossario

Business Email Compromise: la frode che svuota i conti correnti delle aziende italiane