Quando un fornitore IT può diventare il punto debole dell’infrastruttura nazionale: il data leak AlmavivA – FS Italiane Group
9 dicembre 2025

Quando un fornitore IT può diventare il punto debole dell’infrastruttura nazionale: il data leak AlmavivA – FS Italiane Group

Nella seconda metà di novembre 2025 è emerso un caso particolarmente significativo nel panorama della cybersecurity italiana: un importante fornitore IT nazionale, AlmavivA, è stato coinvolto in un attacco informatico che avrebbe portato all’esfiltrazione di una quantità di dati stimata in circa 2,3 terabyte, relativi al Gruppo FS Italiane e ad altre realtà connesse.

Condividi:

Introduzione

Nella seconda metà di novembre 2025 è emerso un caso particolarmente significativo nel panorama della cybersecurity italiana: un importante fornitore IT nazionale, AlmavivA, è stato coinvolto in un attacco informatico che avrebbe portato all’esfiltrazione di una quantità di dati stimata in circa 2,3 terabyte, relativi al Gruppo FS Italiane e ad altre realtà connesse.

Si tratta di un evento che va ben oltre la dimensione “tecnica” del classico data breach. La natura del soggetto colpito, il tipo di dati presumibilmente coinvolti e il ruolo che il fornitore ricopre nella gestione di servizi critici per il Paese lo trasformano in un caso paradigmatico di rischio di supply-chain applicato a infrastrutture strategiche.

Questo articolo ripercorre i fatti noti, analizza le implicazioni per la governance della sicurezza, la gestione dei fornitori e la resilienza del sistema, e propone spunti operativi per chi si occupa di cybersecurity, compliance e gestione del rischio.

Il ruolo di AlmavivA e del Gruppo FS

AlmavivA è uno dei principali provider italiani di servizi IT e soluzioni digitali, con una presenza capillare e una rete di contratti che coinvolge grandi organizzazioni pubbliche e private, tra cui realtà del settore trasporti, logistica, infrastrutture e pubblica amministrazione. Tra i clienti di maggior rilievo rientra il Gruppo FS Italiane, cuore del sistema ferroviario nazionale, che gestisce infrastrutture, mobilità e numerosi servizi connessi.

In questo contesto, AlmavivA non è un semplice fornitore “di contorno”, ma un nodo fondamentale nella catena di erogazione dei servizi digitali. Ciò significa che una compromissione dei suoi sistemi può avere effetti indiretti, ma potenzialmente devastanti, sulle informazioni e sui processi di realtà strategiche come il Gruppo FS.

La rivendicazione dell’attacco e l’entità del data leak

Un attore di minaccia ha rivendicato pubblicamente un attacco ai sistemi di AlmavivA, dichiarando di aver esfiltrato circa 2,3 terabyte di dati. Il materiale sarebbe stato in parte pubblicato su forum di scambio e condivisione di dati illeciti, con modalità e struttura coerenti con le logiche dei moderni gruppi specializzati in furto e monetizzazione di informazioni.

Secondo le informazioni circolate, il contenuto dei dati trafugati comprenderebbe:

  • repository e condivisioni interne multi-società

  • documentazione tecnica e progettuale

  • documenti amministrativi e contabili

  • contratti con enti pubblici e soggetti istituzionali

  • archivi HR con dati di dipendenti

  • documentazione strategica e piani industriali

  • potenzialmente, dati personali relativi a utenti o passeggeri

Una parte dei file visionati da analisti indipendenti risulterebbe recente, riferita al 2025, circostanza che esclude l’ipotesi di un semplice riciclo di contenuti provenienti da attacchi precedenti.

La posizione ufficiale dell’azienda

AlmavivA ha reso noto di aver rilevato un attacco ai propri sistemi corporate, di averlo isolato e di aver attivato immediatamente le procedure interne di risposta agli incidenti. Nelle comunicazioni pubbliche l’azienda ha sottolineato come i servizi critici siano rimasti operativi e non abbiano subito interruzioni grazie alle misure di continuità già predisposte.

Contestualmente, AlmavivA ha dichiarato di aver coinvolto le autorità competenti, avviando un percorso di collaborazione con le strutture investigative e gli organismi istituzionali preposti alla sicurezza informatica e alla protezione dei dati personali. Sono stati annunciati approfondimenti tecnici in corso per circoscrivere con esattezza l’entità e la natura dei dati effettivamente compromessi.

Che cosa potrebbe essere stato compromesso

In assenza di un inventario pubblico di dettaglio, è possibile delineare un quadro di massima basato sulle informazioni che sono emerse in modo più ricorrente. Il data leak riguarderebbe principalmente:

  • documentazione interna del Gruppo FS e di altre realtà collegate

  • piani industriali, piani di investimento e documenti strategici di lungo periodo

  • contratti con amministrazioni pubbliche e con soggetti istituzionali, anche in ambito difesa e sicurezza

  • dati contabili e amministrativi, rendicontazioni, bilanci, report interni

  • archivi relativi alle risorse umane, con informazioni su dipendenti, ruoli, inquadramenti, remunerazioni

  • dati e documenti che, direttamente o indirettamente, potrebbero riguardare utenti finali, clienti o passeggeri

Da quanto filtrato, si avrebbe a che fare con una fuga di informazioni estremamente eterogenea: da un lato dati personali e HR, dall’altro documenti strategici, amministrativi e contrattuali, fino a informazioni potenzialmente sensibili per la sicurezza nazionale, laddove siano coinvolti rapporti con enti della difesa o infrastrutture critiche.

Impatto e rischi: oltre il “semplice” data breach

Rischio di supply-chain

Questo caso mette in evidenza, in modo molto concreto, la natura del rischio di supply-chain: non è necessario colpire direttamente l’ente strategico per comprometterne i dati. È sufficiente violare i sistemi di un fornitore critico che, per natura del servizio erogato, ha accesso privilegiato a dati, sistemi o flussi informativi sensibili.

Nel modello attuale di digitalizzazione diffusa e di estensivo ricorso a partner IT, l’anello più debole della catena può trovarsi al di fuori dell’organizzazione proprietaria del dato, ma risultare comunque determinante. Questo obbliga a rivedere la logica con cui vengono classificati, selezionati, contrattualizzati e monitorati i fornitori.

Implicazioni per la sicurezza nazionale

La combinazione di:

  • ruolo strategico del Gruppo FS

  • tipologia di dati potenzialmente esfiltrati (piani industriali, contratti, logistica, infrastrutture)

  • possibile coinvolgimento di progetti connessi alla difesa e alla sicurezza

fa sì che l’evento assuma una connotazione che travalica il classico schema “azienda – clienti – dati personali”. La fuga di documenti di questa natura può avere impatti a medio e lungo termine sia sul piano economico e competitivo, sia su quello geopolitico e di sicurezza nazionale.

La circolazione incontrollata di informazioni su piani infrastrutturali, investimenti, appalti, rapporti con la difesa, potrebbe infatti offrire spunti e vantaggi a soggetti ostili, criminali o statuali, interessati a indebolire o condizionare il sistema di infrastrutture di un Paese.

Un elemento interessante delle comunicazioni ufficiali è la sottolineatura della continuità dei servizi: nonostante l’attacco, i sistemi critici non avrebbero subito interruzioni. Questo dimostra che le misure di business continuity e di resilienza tecnologica sono riuscite a preservare la funzionalità dei servizi.

Tuttavia, l’episodio evidenzia con forza un concetto spesso sottovalutato: la resilienza operativa non coincide con la protezione del dato. Un’infrastruttura può rimanere pienamente funzionante mentre, silenziosamente, enormi quantità di dati vengono copiate e trasferite all’esterno.

Per una corretta governance del rischio è quindi essenziale considerare due dimensioni:

  • la disponibilità dei servizi (up-time, continuità operativa)

  • la riservatezza e integrità delle informazioni (data protection e prevenzione dell’esfiltrazione)

Entrambe devono essere affrontate con pari attenzione, soprattutto nei contesti critici.

Il caso mette inevitabilmente sotto pressione il modello, ormai dominante, di outsourcing e managed services. Quando un fornitore IT diventa il custode di dati strategici e di processi vitali, l’intero sistema dipende dalla solidità delle sue misure di sicurezza.

Una violazione così ampia solleva interrogativi sulla maturità dei controlli interni di sicurezza, sulla gestione degli accessi, sulla segmentazione delle reti, sulla protezione dei dati a riposo e in transito, sulle procedure di monitoraggio e rilevazione delle anomalie.

Per committenti pubblici e privati, soprattutto se operanti in settori strategici, questo deve tradursi in una revisione profonda dei criteri di selezione e valutazione dei fornitori, delle clausole contrattuali, dei requisiti di certificazione e delle modalità di audit.

Le aree di incertezza ancora aperte

Pur nella forte eco mediatica, restano ancora diversi punti non completamente chiariti:

  • l’esatta estensione dei dati sottratti

  • il dettaglio delle categorie di interessati coinvolti (dipendenti, clienti, passeggeri, partner)

  • le modalità tecniche d’ingresso (vulnerabilità, errori di configurazione, credenziali compromesse, social engineering)

  • l’eventuale presenza di più fasi dell’attacco (esfiltrazione, eventuale cifratura, tentativi di estorsione)

  • il livello di effettivo utilizzo o monetizzazione dei dati sottratti

Queste incognite ostacolano una valutazione definitiva, ma non riducono la rilevanza del caso come esempio di scenario di rischio reale, da utilizzare in un’ottica di miglioramento dei controlli, dei processi e della cultura di sicurezza.

Conclusioni

L’attacco che ha coinvolto AlmavivA e, indirettamente, il Gruppo FS Italiane, rappresenta uno spartiacque nella percezione del rischio di supply-chain in Italia. Non si tratta soltanto di una violazione di dati aziendali, ma di un caso che mette in gioco la sicurezza di informazioni strategiche e, potenzialmente, la resilienza di infrastrutture cruciali.

Da questo episodio emergono alcuni messaggi chiave:

  • il rischio non risiede solo all’interno dei confini dell’organizzazione, ma si estende lungo tutta la catena dei fornitori

  • la continuità operativa non è sufficiente, se non si garantisce al tempo stesso la protezione del dato

  • la governance della sicurezza deve includere in modo strutturale la supply-chain, con controlli, audit e responsabilità chiari

  • la trasparenza, la gestione della crisi e la comunicazione verso autorità e stakeholder sono elementi fondamentali per ridurre l’impatto di eventi di questa portata

Per le organizzazioni, l’invito è a considerare questo caso non solo come un fatto di cronaca, ma come un’occasione per rivedere le proprie strategie, rafforzare i propri sistemi di sicurezza e migliorare la gestione dei rapporti con i fornitori.

Per chi si occupa professionalmente di sicurezza, compliance e gestione del rischio, è un’opportunità per proporre servizi più maturi, formazione più concreta e strumenti di governance più efficaci, contribuendo a costruire un ecosistema digitale complessivamente più robusto.

Commenti (0)

Nessun commento ancora. Sii il primo a commentare!

Lascia un commento

* I commenti sono soggetti a moderazione e saranno pubblicati dopo l'approvazione.