23Apr2026

Follow us

Subscribe
Digital Planet .tech
Blog
Home Topic Fintech Manager Room | ERNESTO DAMIANI: CyberRes contro i soliti ignoti Infostealer
Fintech

Manager Room | ERNESTO DAMIANI: CyberRes contro i soliti ignoti Infostealer

23 Aprile 2026 9 min read
L’evento CyberRes 2026, tenutosi il 16 aprile 2026 presso il prestigioso Centro Svizzero di Milano, ha riunito leader aziendali ed esperti per delineare soluzioni concrete contro le minacce digitali.

Milano, crocevia di innovazione, rafforza il suo ruolo con CyberRes 2026, preparando il terreno per una cybersecurity nazionale più matura. Per PMI e grandi imprese, l’evento ha ribadito un concetto chiave: la resilienza cyber è un investimento, non un costo, poiché riduce i rischi estorsivi e preserva la reputazione del brand.

Nel 2026, il panorama della sicurezza è segnato da un’esplosione di attacchi sofisticati: ransomware che paralizzano infrastrutture critiche, infostealer che drenano oltre un milione di conti bancari vendendo credenziali sul dark web, e vulnerabilità nelle chat IA che permettono fughe di dati sensibili tramite canali nascosti (come il DNS). In questo contesto, la cyber resilience non è più un’opzione, ma un paradigma strategico che combina prevenzione, rilevamento rapido, risposta efficace e recovery per garantire la business continuity anche sotto assedio.

Organizzato per superare la teoria pura, CyberRes 2026 ha offerto un programma ricco di panel, demo live e tavole rotonde dedicate a CEO, CIO e CISO. I partecipanti hanno esplorato come trasformare la resilienza in azioni operative: dalla mappatura delle vulnerabilità con tool open source, all’implementazione di protocolli di crisi per mantenere i servizi essenziali in modalità degradata. Un focus speciale è stato dedicato alle PMI, spesso sottoequipaggiate, evidenziando barriere comuni come la mancanza di backup aggiornati o di formazione per i dipendenti, e proponendo roadmap scalabili. L’evento ha condiviso esperienze reali di attacchi recenti a infrastrutture UE e sanità digitale, dimostrando che una resilienza proattiva riduce gli impatti del 50-70% in termini di downtime e costi.

Il timing di CyberRes è perfetto, giungendo all’indomani di incidenti emblematici come l’attacco alla Commissione Europea del marzo 2026, rivendicato da Shiny Hunters, che ha esfiltrato 350 GB di dati mediante una violazione non specificata. Parallelamente, varianti di malware come SparkCat rubano seed phrase dalle foto sugli smartphone, mentre exploit come Coruna mirano agli iPhone più recenti. CyberRes 2026 ha analizzato questi scenari, sottolineando che il 74% delle carte compromesse resta utilizzabile per mesi, e ha promosso difese multilayer: autenticazione a più fattori (MFA), monitoraggio comportamentale e test zero-day.

È emersa chiaramente l’esigenza di adottare cicli di resilienza (identifica, proteggi, rileva, rispondi, recupera), ispirati a framework internazionali. Per le imprese lombarde, l’evento ha messo in risalto l’importanza delle partnership locali e delle integrazioni cloud sicure. Infine, le discussioni sul Cyber Resilience Act (CRA) hanno confermato che il rispetto degli standard UE per i prodotti digitali è ormai essenziale per la compliance e la competitività sul mercato globale.

Approfondiamo questo tema con il professor Ernesto DAMIANI

 

Ernesto Damiani

Ernesto Damiani è Professore Ordinario di Informatica presso l’Università degli Studi di Milano, dove dirige il SESAR Lab (SEcure Service-oriented Architectures Research Lab). È stato Presidente del CINI – Consorzio Interuniversitario Nazionale per l’Informatica e membro dell’Ad Hoc Working Group on Artificial Intelligence Cybersecurity di ENISA (European Union Agency for Cybersecurity). La sua ricerca, svolta in Italia e in centri di ricerca internazionali nel Medio Oriente, si concentra su cybersecurity, architetture sicure edge/cloud, sistemi cyber-fisici, analytics su Big Data e intelligenza artificiale, con enfasi sulla privacy e sulla resilienza. Autore di oltre 850 pubblicazioni scientifiche e di numerosi libri, è un Distinguished Scientist dell’ACM. Ha ricevuto importanti riconoscimenti internazionali, tra cui il dottorato honoris causa dall’INSA-Lyon, Francia, e il Research and Innovation Award dell’IEEE Technical Committee on Homeland Security. Nel 2022, il Presidente Sergio Mattarella gli ha conferito il rango di Ufficiale dell’Ordine della Stella d’Italia per meriti scientifici.

Al recente Cyber Res di Milano avete evidenziato i problemi crescenti che le imprese affrontano contro gli hacker: quali sono le minacce più urgenti che ha osservato nel dibattito, e come stanno impattando settori chiave come il fintech o la manifattura italiana?
Al Cyber Res 2026 abbiamo assistito a un dibattito molto vivo e concreto sulle minacce che evolvono rapidamente. Le più urgenti che ho osservato sono tre: 

  • gli attacchi alla supply chain e ai fornitori terzi, spesso usati come “porta di servizio” per colpire obiettivi più grandi; 
  • l’uso sempre più sofisticato dell’IA generativa per creare deepfake, phishing mirati e malware adattivi che evadono i controlli tradizionali; 
  • gli attacchi ransomware “double extortion” o “triple extortion” ai servizi che combinano cifratura, esfiltrazione dei dati, minaccia di pubblicazione di informazioni sensibili e negazione del servizio. 

In settori critici come quello sanitario, finanziario o dei trasporti, queste minacce incidono direttamente sulla fiducia dei cittadini e sulla continuità dei servizi: un’interruzione o una fuga di dati può tradursi in perdite economiche immediate e in sanzioni regolatorie. Nella manifattura italiana, soprattutto nelle PMI delle filiere automotive, meccaniche e agroalimentari, i rischi sono l’interruzione della produzione e il furto di proprietà intellettuale. Molte imprese del “Made in Italy” hanno catene di fornitura complesse, ma una visibilità ancora limitata sui rischi che corrono i loro clienti e fornitori. Il risultato è una vulnerabilità sistemica che può diffondersi rapidamente.

In che modo la cyber resilience può diventare una priorità strategica per le aziende, soprattutto alla luce degli attacchi hacker sempre più sofisticati discussi al summit? Potrebbe citare esempi concreti emersi ieri?
La cyber resilience non può più essere considerata un costo imputabile all’IT, ma deve diventare una priorità della governance aziendale, al pari della continuità operativa e della gestione del rischio finanziario. Significa passare da un approccio di “prevenzione a tutti i costi” a uno di “anticipazione, assorbimento e recupero rapido”.  Al summit di ieri sono emersi esempi concreti, come l’attacco di tipo supply chain a un produttore manifatturiero italiano, che ha bloccato la linea di produzione per diversi giorni a causa di un fornitore di software non aggiornato, e gli incidenti in ambito fintech, in cui l’IA è stata usata per generare credenziali false in tempo reale, aggirando i sistemi di rilevamento tradizionali. Solo le aziende che integrano la resilienza nella strategia aziendale (con metriche chiare, esercitazioni regolari e coinvolgimento del top management) possono ridurre drasticamente l’impatto di questi eventi.

Quali ostacoli principali incontrano le imprese italiane nel rafforzare la propria cyber resilience, tra regolamentazioni come il NIS2, carenza di competenze e costi elevati, e come il Cyber Res propone di superarli?
Le imprese italiane, soprattutto le PMI, si scontrano oggi con la carenza di competenze specializzate, i costi di implementazione e mantenimento delle soluzioni tecnologiche e la complessa sovrapposizione regolatoria tra NIS2, DORA, Cyber Resilience Act e Perimetro di Sicurezza Nazionale, che genera oneri burocratici e incertezza su come tradurre i requisiti in misure operative efficaci.  Credo che il Cyber Res possa giocare un ruolo fondamentale nel superare questi ostacoli, promuovendo la condivisione di conoscenze tra grandi imprese, PMI, università e istituzioni, nonché l’adozione di piattaforme di conformità in grado di ridurre i costi operativi. L’obiettivo è trasformare la conformità alle normative da mero adempimento in un’opportunità di miglioramento competitivo.

Dal suo punto di vista accademico, quali passi immediati dovrebbero intraprendere le imprese per elevare la cyber resilience, e come possono collaborare con università e istituzioni per anticipare le minacce future?

Consiglio alle imprese tre passi immediati: 

  1. Mappare l’intera superficie di attacco, inclusi i dispositivi periferici e gli ambienti cloud, nonché i fornitori, ed eseguire la modellazione delle minacce e l’analisi del rischio.
  2. Adottare un framework di assurance che integri il monitoraggio continuo, la verifica automatica della conformità e le simulazioni di attacco.
  3. Investire nella formazione del personale a tutti i livelli, non solo in ambito IT, perché il fattore umano resta il vettore più sfruttato.

Per compiere questi passi, la collaborazione con l’Università e le altre istituzioni è fondamentale: i laboratori come il nostro SESAR Lab hanno esperienza nell’applicare l’IA all’analisi predittiva delle minacce e sono pronti a collaborare con le imprese per creare  living lab in cui sperimentare soluzioni in ambienti reali.  Inoltre, i programmi di dottorato industriale aiutano a colmare il divario tra le competenze tecniche e quelle legali e manageriali in ambito di gestione del rischio.  In questo modo le imprese non si limitano a reagire alle minacce, ma le anticipano.

Al convegno sul Cyber Resilience si è discusso molto di data breach come quello dei 350 GB esfiltrati dalla Commissione Europea. In che modo il lavoro del SESAR Lab su architetture sicure edge/cloud e AI può contribuire a rafforzare la resilienza di infrastrutture critiche come quelle UE, prevenendo esfiltrazioni su larga scala?
Il data breach della Commissione Europea (marzo 2026) è un campanello d’allarme per tutte le infrastrutture critiche: ha mostrato come anche ambienti cloud pubblici possano essere compromessi con esfiltrazione massiccia di dati (mail server, database, documenti riservati).  Il lavoro del SESAR Lab si concentra proprio su architetture sicure per ambienti edge/cloud e sull’uso di AI e machine learning per l’identificazione e la risposta alle minacce. Insieme alle nostre aziende partner, abbiamo sviluppato modelli di zero-trust e micro-segmentazione adattati a infrastrutture ibride; tecniche di IA privacy-preserving per analizzare i flussi di dati critici senza esporli; framework per la verifica continua dell’integrità delle configurazioni cloud e, infine, sistemi di rilevazione delle anomalie basati su IA che identificano comportamenti sospetti in tempo reale. Queste tecnologie consentono a chi le adotta di passare da una sicurezza statica a una resilienza dinamica, riducendo significativamente il rischio di esfiltrazioni su larga scala.

Ci potrebbe parlare del data breach con 350 GB esfiltrati dalla Commissione Europea. Come può la piattaforma Moon Cloud, con il suo focus su continuous compliance assessment e cybersecurity assurance per cloud ibridi, aiutare istituzioni come quelle UE a rilevare e prevenire violazioni in tempo reale?
Anzitutto bisogna specificare che il breach della Commissione europea, rivendicato dal gruppo ShinyHunters, ha riguardato l’infrastruttura cloud pubblica che ospita il portale Europa.eue non i sistemi interni della Commissione. Gli attaccanti hanno esfiltrato oltre 350 GB di dati, tra cui i contenuti di alcuni server di posta, i database e i documenti riservati. L’incidente ha messo in evidenza i classici problemi di sicurezza derivanti dalla mancata collaborazione tra gli utilizzatori istituzionali e i loro fornitori di servizi cloud, tra cui la difficoltà di mantenere una visibilità condivisa sulle configurazioni, sugli accessi e sui movimenti dei dati. 

Le precauzioni che la Commissione si prepara ad adottare per la propria presenza nella cloud pubblica sono proprio quelle che lei stessa raccomanda alle imprese europee: monitorare in tempo reale la conformità delle infrastrutture cloud agli standard e ai regolamenti (inclusi NIS2 e GDPR); eseguire verifiche continue delle politiche di sicurezza per rilevare configurazioni e comportamenti non conformi e individuare le potenziali violazioni prima che diventino esfiltrazioni su larga scala. Per la Commissione UE, richiedere al fornitore di adottare una piattaforma di monitoraggio basata sull’IA può costituire uno strumento operativo per mantenere una corretta postura di sicurezza, facilitando la risposta rapida che è mancata al momento del breach.

Giuliana Gagliardi
Editor-in-Chief DiPLANET.Tech

Intelligenza Artificiale e lavoro liquido: il nuovo Grande Fratello delle aziendeIntelligenza Artificiale e lavoro liquido: il nuovo Grande Fratello delle aziende21 Aprile 2026