La Fine della Sicurezza Perimetrale: Supply Chain Attack, Dati Clusit 2025 e il Caso Notepad++

Nell'era del codice aperto e delle architetture distribuite, la sicurezza informatica non è più un confine da difendere, ma una qualità intrinseca del software. Questo articolo esplora l'allarmante scenario della cyber-vulnerabilità in Italia, analizzando come l'approccio tradizionale sia fallito di fronte ai Supply Chain Attack. Verrà quindi introdotta la Security Application (SecApp) e il ruolo cruciale di strumenti come Black Duck, essenziali per integrare la sicurezza sin dalle prime fasi di sviluppo e proteggere la fiducia degli utenti finali.

 

Cybersecurity in Italia 2026. Numeri alla mano

L'Italia si trova purtroppo a rivestire il ruolo di "maglia nera della cybersecurity" tra le principali economie mondiali, un allarme lanciato dall'Associazione Italiana per la Sicurezza Informatica (CLUSIT). Nel loro report annuale, l’Associazione evidenzia una tendenza preoccupante a livello globale nell'aumento degli incidenti informatici registrati.

Sebbene si sia osservata una lieve flessione della percentuale di incidenti globali attribuibili all'Italia, passando dall'11,2% nel 2023 al 9,9% nel 2024, i dati del primo semestre 2025 indicano una ripresa di questa quota, raggiungendo il 10,2%. Questo trend, seppur con oscillazioni, sottolinea una vulnerabilità strutturale del sistema Paese che necessita di una risposta immediata per contrastare il problema. La persistenza di una quota così elevata di incidenti a livello globale, pur in presenza di una maggiore consapevolezza, suggerisce che le misure adottate finora potrebbero non essere sufficienti o non pienamente efficaci.

Sempre secondo il Rapporto CLUSIT 2025 sulla sicurezza ICT in Italia, il primo semestre del 2025 ha segnato un incremento allarmante degli incidenti informatici registrati sul territorio nazionale. Le statistiche, infatti, indicano ben 2.755 incidenti documentati in questo periodo, un dato che non solo mantiene il trend di crescita degli attacchi, ma supera in maniera significativa i 2.022 eventi che erano stati registrati nel semestre precedente, ovvero la seconda metà del 2024.

Queste cifre, di per sé impressionanti e che testimoniano una pressione crescente sulla sicurezza informatica delle aziende e delle infrastrutture italiane, rappresentano tuttavia, con ogni probabilità, solo la punta dell'iceberg. L'analisi del CLUSIT sottolinea che il numero di 2.755 incidenti si riferisce unicamente agli eventi che sono stati segnalati, rilevati e catalogati. Di conseguenza, il totale degli incidenti che potrebbero essere effettivamente avvenuti sul suolo italiano nel primo semestre 2025 è presumibilmente ben superiore a quello documentato, rendendo la situazione della cyber security ancora più critica di quanto le sole cifre non lascino intendere.

Di particolare rilievo è l'incidenza degli attacchi multiple target, che interessano contestualmente più settori. Tali eventi rappresentano, nella prima metà del 2025, oltre l'85% del totale registrato nel 2024 e sono responsabili del 21% delle vittime, con un aumento di 3 punti percentuali in confronto all'anno precedente.

Si presenta di seguito un'analisi per settore.

• Government / Military / Law Enforcement - Mantiene la seconda posizione con il 14% degli incidenti complessivi, pur avendo già registrato il 75% degli incidenti dell'intero 2024.
• Healthcare - Nonostante un apparente decremento di un punto percentuale, con 337 incidenti nel I semestre 2025 ha già raggiunto il 67% dei 500 incidenti rilevati nel 2024.
• Manufacturing - Transita dal settimo al quarto posto, con un aumento della quota sul totale dal 6% all'8%. In un solo semestre, il settore ha conseguito il 90% degli incidenti registrati nel corso del 2024.
• Financial / Insurance e ICT - Entrambi registrano una perdita di una posizione in classifica (Financial/Insurance si attesta al 7%). Con una quota di eventi nel I semestre 2025 di poco superiore al 60% rispetto al 2024, in un contesto di crescita generalizzata, per questi settori non si riscontrano variazioni di rilievo nella tendenza consolidata.
• Professional / Scientific / Technical / Transportation/ Storage - Questi settori hanno evidenziato una netta risalita in classifica. In soli sei mesi, hanno raggiunto o superato il numero di incidenti dell'intero anno precedente: 94% per Professional, Scientific e Technical e addirittura il 110% per Transportation e Storage.
• Education - In controtendenza positiva, perde 2 punti percentuali sul totale e registra meno del 50% degli eventi dell'anno precedente.
• Wholesale/Retail - Allineato alla crescita generale, ha subito oltre il 65% degli incidenti dell'anno precedente in soli sei mesi.
• News/Multimedia -Ritorna alla 14° posizione, in linea con il 2023, dopo aver raggiunto l'8° posto nel 2024 a seguito di una campagna mirata. Tale episodio sottolinea come alcuni settori siano periodicamente soggetti al rischio di attacchi specifici, spesso sfruttando la dipendenza da particolari soluzioni tecnologiche o soggetti della supply chain.
   

 

Cos’è la Security Application?

Nel panorama tecnologico contemporaneo, il concetto di protezione informatica ha subito una metamorfosi radicale. Se un tempo la difesa di un’azienda poteva essere paragonata alla fortificazione di un castello, dove bastava innalzare mura spesse per sentirsi al sicuro, oggi quel paradigma è definitivamente tramontato. Al centro di questa trasformazione troviamo la Security Application, o SecApp, una disciplina che non si limita più a circondare il software con barriere esterne, ma ne diventa il sistema immunitario intrinseco. Fare Security Application oggi significa integrare protocolli di difesa, analisi del codice e gestione delle vulnerabilità direttamente nel ciclo di vita del software, garantendo che ogni riga di codice prodotta sia nativamente resiliente alle minacce.

Comprendere perché la sicurezza perimetrale non sia più sufficiente è fondamentale per interpretare il mercato attuale. Nel 2026, il confine tra interno ed esterno di un’organizzazione è diventato fluido, quasi invisibile. Con l’adozione di architetture cloud-native, microservizi distribuiti e l’esplosione delle API, la superficie di attacco si è frammentata in migliaia di punti di accesso. Un firewall, per quanto sofisticato, non può analizzare la logica di business di un’applicazione né può prevenire vulnerabilità introdotte da librerie di terze parti o errori di configurazione interni. In questo scenario, la sicurezza nel 2026 non è più un perimetro fisico o virtuale da presidiare, ma un attributo dinamico dell'identità e dei dati. Essere sicuri oggi significa adottare un approccio in cui ogni transazione, ogni chiamata di funzione e ogni scambio di dati viene verificato in tempo reale, indipendentemente dalla sua provenienza.

Perché non basta la security perimetrale? Cosa vuol dire security nel 2026? Shift Left

La direzione che la sicurezza informatica sta intraprendendo nel corso di quest'anno è chiaramente tracciata dall'automazione intelligente e dalla convergenza tra sviluppo e protezione. La tendenza non è più quella di rincorrere il problema dopo il rilascio, ma di attuare una sorveglianza continua che accompagna il software dalla sua ideazione fino alla dismissione. Questa visione trasforma la sicurezza da ostacolo burocratico a motore di innovazione, permettendo alle aziende di rilasciare aggiornamenti con una frequenza e una fiducia precedentemente inimmaginabili.
I risultati che si ottengono ponendo la SecApp al centro della strategia aziendale sono tangibili e vanno ben oltre la semplice prevenzione dei danni. Un'organizzazione che presidia correttamente le proprie applicazioni riduce drasticamente i costi di manutenzione, poiché risolvere una falla in fase di progettazione è infinitamente meno oneroso che gestire un data breach a sistema avviato. Oltre al risparmio economico, si assiste a un incremento della velocità di go-to-market e a un consolidamento della fiducia da parte dei clienti e dei partner, che vedono nella stabilità del software un segno di affidabilità del brand. 

Case Study su Supply Chain Attack

L'incidente che ha colpito Notepad++, sfruttando la vulnerabilità CVE-2025-15556, dimostra come la sicurezza di un software non dipenda solo dalla solidità del suo codice, ma dall'intera integrità della Supply Chain. Sfruttando l'assenza di una validazione crittografica nel componente di aggiornamento (GUP) nelle versioni precedenti alla 8.8.9, alcuni attori malevoli sono riusciti a dirottare il traffico dei download ufficiali verso mirror compromessi. Attraverso l'analisi del protocollo e una riproduzione in laboratorio, l'articolo esplora come un semplice file XML di manifesto non firmato possa trasformare un innocuo update in un vettore di esecuzione di codice arbitrario, sottolineando l'importanza vitale della firma digitale per proteggere la fiducia degli utenti finali. Potete trovare approfondimenti a questo link.
 

Pereché scegliere Black Duck (e che cos'è Black Duck?)

Black Duck (ora parte di Synopsys) è un punto di riferimento nella Software Composition Analysis (SCA), focalizzata sulla sicurezza e la gestione efficace dei componenti Open Source (OSS).

Come opera Black Duck

Il nucleo della sua efficacia risiede nella creazione di una Software Bill of Materials (SBOM), un inventario dettagliato che elenca tutti i componenti OSS utilizzati, incluse le dipendenze annidate, e ne valuta i relativi rischi. Vediamo brevemente, dunque, le funzionalità chiave del prodotto Black Duck SCA. Nella pagina che nel nostro sit dedichiamo a Black Duck e alla Software Composition Analysis (SCA) puoi approfondire questi aspetti che qui vengono presentati in modo sintetico.

1. Gestione delle vulnerabilità: con Black Duck è agevola l'identificazione tempestiva e precisa delle vulnerabilità note (CVE) presenti nei componenti OSS.
2. Conformità delle licenze: l'utilizzo di questo strumento offre garanzie sulla conformità legale attraverso il monitoraggio e la gestione delle licenze OSS.
3. Governance e applicazione delle Policy: consente l'implementazione di una strategia "Shift Left" per bloccare preventivamente le build a rischio, assicurando che le politiche di utilizzo dell'OSS siano rispettate.

Se, ad esempio, considerassimo il case study di Notepad++, Black Duck avrebbe potuto rilevare eventuali vulnerabilità (come la CVE-2025-15556) prima del rilascio in produzione., questo avrebbe consentito di bloccare la build non sicura.
 

Domande Frequenti (F.A.Q.)

 

Cos'è un Supply Chain Attack e perché è così pericoloso?

Un Supply Chain Attack (attacco alla catena di fornitura) è una grave minaccia informatica in cui gli hacker compromettono un'organizzazione attaccando i suoi fornitori o i componenti software di terze parti (come librerie open source o sistemi di aggiornamento). È estremamente pericoloso perché elude le tradizionali difese perimetrali (firewall) e sfrutta la fiducia degli utenti, permettendo di infettare contemporaneamente migliaia di sistemi, come dimostrato dalla recente vulnerabilità di Notepad++.

Cosa significa fare Security Application (SecApp) con approccio Shift Left?

Fare Security Application significa integrare i protocolli di difesa e l'analisi delle vulnerabilità direttamente all'interno del codice del software, trasformando la sicurezza in un sistema immunitario intrinseco. L'approccio "Shift Left" consiste nell'anticipare questi controlli di sicurezza (ad esempio utilizzando strumenti di Software Composition Analysis come Black Duck) fin dalle primissime fasi di sviluppo del ciclo di vita del software, bloccando le build a rischio prima del rilascio in produzione e riducendo drasticamente i costi.

Qual è la situazione della cybersecurity in Italia secondo il Rapporto Clusit 2025?

I dati del Rapporto Clusit 2025 evidenziano una situazione critica per l'Italia, definita la "maglia nera" della cybersecurity. Nel solo primo semestre del 2025 sono stati registrati 2.755 incidenti informatici documentati, in netto aumento rispetto al semestre precedente, rappresentando il 10,2% degli incidenti globali. Tra i settori più colpiti spiccano il comparto Governativo/Militare (37,9%), seguito da Trasporti e Logistica (16,8%) e Manifatturiero (12,9%).