Un archivio digitale mastodontico, pesante come migliaia di film in alta definizione: 2,3 terabyte di dati riservati che potrebbero contenere le chiavi di accesso ai segreti industriali, militari e operativi di alcune delle infrastrutture più strategiche d’Italia. È questo il bottino che un gruppo di hacker rivendica di aver sottratto ad Almaviva, colosso italiano dell’information technology con oltre 41mila dipendenti e un fatturato superiore al miliardo di euro, che fornisce servizi critici anche ai comparti Difesa e Sicurezza nazionale.
La notizia, emersa attraverso le cronache specializzate e confermata dalla stessa azienda colpita, solleva interrogativi pesanti come macigni sulla tenuta delle difese cyber del Paese. Perché se è vero che gli attacchi informatici sono ormai all’ordine del giorno, la natura dei dati presumibilmente compromessi in questo caso sposta il baricentro della questione: non stiamo parlando di password o numeri di carta di credito, ma di documentazione che tocca direttamente la sicurezza nazionale. Almaviva ha rilasciato una comunicazione ufficiale in cui conferma l’attacco: “Nelle settimane scorse i servizi dedicati al monitoraggio della sicurezza hanno individuato e successivamente isolato un attacco informatico che ha coinvolto i nostri sistemi corporate comportando la sottrazione di alcuni dati“. L’azienda specifica di aver “immediatamente attivato le procedure di sicurezza e di contrasto” e di aver informato le autorità preposte: Procura della Repubblica, Polizia Postale, Agenzia Nazionale per la Cybersecurity e Garante della Privacy.
La rassicurazione ufficiale è che “le funzionalità e i servizi dei sistemi coinvolti sono rimasti regolarmente attivi, grazie alle misure e alle procedure di continuità operativa specificamente predisposte“. Tradotto: i treni continuano a correre, i sistemi critici non si sono fermati. Ma il problema non è la continuità operativa nel breve termine, è cosa ci sia finito nelle mani sbagliate. Secondo quanto emerge dalle analisi preliminari e dalla rivendicazione del threat actor su una piattaforma nascosta nella rete Tor, l’archivio trafugato conterrebbe una quantità impressionante di materiale sensibile. Si parla dei piani industriali e di investimento del Gruppo Ferrovie dello Stato fino al 2035, documentazione riguardante contratti con il Ministero della Difesa e l’Aeronautica Militare, elenchi prioritari di forniture strategiche e materiali riservati relativi a progetti con partner come Leonardo e Vitrociset.
Non solo strategie militari e industriali: tra i file figurerebbero anche contratti tra Almaviva e soggetti istituzionali di primissimo piano come la Guardia di Finanza, i Carabinieri, enti sanitari e il Ministero degli Esteri. Molti documenti porterebbero classificazioni eloquenti: uso interno, confidenziale, esclusivo. Etichette che, in gergo aziendale e governativo, significano “non deve uscire da queste mura“. L’esame della struttura delle directory e della nomenclatura dei file pubblicati dal criminale mostra una cronologia che va fino al terzo trimestre del 2025, con documenti operativi, fiscali e amministrativi aggiornati a ottobre. Un dettaglio che smonta subito un’ipotesi iniziale: che si trattasse di una rivendita dei dati già esfiltrati nell’attacco ransomware Hive del 2022, che aveva colpito RFI coinvolgendo indirettamente Almaviva. No, questa è roba fresca, contemporanea, recente.
C’è un altro elemento che complica il quadro: il presunto leak conterrebbe anche dati personali di passeggeri e informazioni sul personale di quasi tutte le società del Gruppo FS, da Mercitalia a Rete Ferroviaria Italiana, da Trenitalia a Italferr. Significa che chiunque abbia preso un treno, prenotato un biglietto, utilizzato servizi legati alle ferrovie italiane potrebbe ritrovarsi con le proprie informazioni finite in mani non autorizzate. Almaviva rassicura che “la sicurezza dei dati e la protezione dei nostri clienti, partner e collaboratori rimangono la nostra massima priorità“, ma è evidente che il danno reputazionale e potenzialmente operativo è già servito. L’azienda fornisce servizi di sicurezza informatica a comparti strategici: scoprire di essere stata violata così in profondità è un colpo durissimo alla credibilità.
Il volume dei dati rubati, se confermato, indica un accesso particolarmente profondo e prolungato ai sistemi del provider IT, non un semplice furto opportunistico. Parliamo di 2,3 terabyte: per farsi un’idea, è l’equivalente di circa 2.300 gigabyte, abbastanza per contenere l’intera collezione digitale di una media biblioteca universitaria o centinaia di migliaia di documenti Word, fogli di calcolo, presentazioni, contratti e file operativi. Quello che preoccupa di più gli esperti di sicurezza informatica è la natura strategica delle informazioni compromesse. I piani industriali fino al 2035 di un gruppo come Ferrovie dello Stato non sono semplici documenti aziendali: sono roadmap che disegnano il futuro delle infrastrutture di trasporto del Paese, investimenti, priorità, vulnerabilità potenziali. In mani ostili, possono trasformarsi in leve geopolitiche, strumenti di pressione, vantaggi competitivi per attori stranieri.
