C’è un modo superficiale di accostare le tante notizie dell’ultima settimana come una rassegna di “attacchi informatici” tra loro indipendenti, da archiviare per tipologia o per gravità. Un modo un po’ più faticoso, ma anche più onesto, è considerarle come episodi diversi che diventano intelligibili solo se si ricostruisce il terreno su cui accadono: non il singolo colpo, ma la conformazione del campo.
Il caso Milano-Cortina 2026 e gli attacchi DDoS
Nel caso di Milano-Cortina 2026 si è parlato di attacchi DDoS rivendicati da un collettivo hacktivista filorusso. Tecnicamente, nulla di esotico: flussi di traffico malevolo per rendere indisponibili siti e servizi collegati all’evento e ad alcuni uffici istituzionali. Il punto è il bersaglio. Un grande evento internazionale concentra attenzione, simboli, tempistiche rigide. In un contesto del genere, anche un’interruzione temporanea diventa messaggio e il DDoS funziona perché non pretende di entrare, ma sfrutta la fragilità comunicativa di ciò che deve essere sempre visibile.
Ransomware e complessità dei sistemi
L’incidente alla Sapienza di Roma, avvenuto a inizio febbraio, è stato descritto come un attacco “di tipo ransomware”, con lo spegnimento precauzionale di molti sistemi. Qui il lettore non deve immaginare solo file cifrati, ma un’organizzazione che perde improvvisamente la capacità di distinguere ciò che è compromesso da ciò che non lo è. La scelta di fermare tutto racconta la complessità dell’ambiente: reti estese, servizi critici, dati sensibili, eredità tecnologiche stratificate. In questi contesti l’impatto non è mai circoscritto e la risposta è sempre, in parte, una scommessa.
Il caso dell’aeroporto di Tulsa, colpito da un gruppo ransomware che ha pubblicato documenti sul proprio sito di leak, aggiunge un elemento ulteriore: l’uso deliberato della pubblicazione come leva. Qui l’attacco non si limita a bloccare i sistemi, ma espone frammenti di informazioni per costruire credibilità e pressione. Un aeroporto è un nodo di continuità operativa, sotto sguardo pubblico. La minaccia funziona perché il danno reputazionale è immediato quanto quello tecnico.
Vulnerabilità cloud e accessi amplificati
Più silenziosi, ma non meno istruttivi, sono i casi legati al cloud. La dimostrazione di come, partendo da una credenziale del cloud Amazon esposta, si possa arrivare a privilegi amministrativi in pochi minuti mostra una dinamica precisa: automazione rapida che incontra configurazioni permissive. Non è l’intelligenza artificiale a “fare il salto”, ma l’architettura che lo consente.
Le vulnerabilità sfruttate attivamente, come quella sul sistema di help desk sviluppato da SolarWinds, e le campagne APT che usano documenti Office malevoli poco dopo la scoperta di un bug, completano il quadro. Evidenziano una latenza strutturale: il tempo che passa tra la scoperta di un problema, la disponibilità di un correttivo e la sua adozione reale. Non è una negligenza individuale, ma una frizione sistemica.
La sicurezza come equilibrio instabile
Messe insieme, queste storie non convergono verso una spiegazione unica né verso una soluzione risolutiva. Mostrano piuttosto ambienti in cui accessi iniziali modesti producono effetti amplificati, la pressione comunicativa conta quanto quella tecnica, e le decisioni vengono prese con informazioni parziali. La sicurezza in questo scenario assomiglia meno a una fortezza e più a un equilibrio instabile, da rinegoziare continuamente. Forse il punto non è chiedersi quanto siano “avanzati” gli attacchi, ma quanto spesso diamo per scontata la stabilità dei sistemi che abitiamo. Nel digitale non cede ciò che è fragile, ma ciò che credeva di non dover più pensare alla propria fragilità.