Punti chiave

• Ransomware tramite aggiornamento del software fiscale: Gli aggressori hanno sfruttato un meccanismo di aggiornamento in un popolare software fiscale italiano, infettando reti aziendali da inizio giugno.
• Centinaia di PMI coinvolte: Segnalazioni indicano che imprese in diverse regioni hanno subito blocchi dei dati, con conseguenti fermi operativi prolungati.
• Rischio di furto credenziali e perdita dati: Esperti avvertono che durante la violazione potrebbero essere state sottratte informazioni finanziarie e credenziali aziendali sensibili.
• Patch di sicurezza dal fornitore: Il produttore del software ha rilasciato aggiornamenti di emergenza e sollecita l’installazione immediata per prevenire nuove infezioni.
• Indagine coordinata delle autorità: Agenzie italiane di cybersicurezza collaborano con Europol per identificare la fonte dell’attacco e supportare le PMI colpite.
• Indicazioni per gli utenti e prossimi aggiornamenti: Il fornitore annuncia ulteriori raccomandazioni sulla sicurezza e associazioni di categoria invitano a rafforzare i controlli sulla supply chain dei software.

Introduzione

Un grave attacco ransomware ha colpito centinaia di piccole e medie imprese italiane dopo che hacker hanno sfruttato un aggiornamento di software fiscale largamente utilizzato, secondo quanto confermato da esperti di cybersicurezza lunedì. L’incidente, iniziato a inizio giugno, ha causato diffusi blocchi dei dati e interruzioni operative. Questo evidenzia vulnerabilità nelle catene di fornitura e ha spinto vendor e autorità ad agire rapidamente per contenere ulteriori rischi.

Che cosa è successo

Le PMI italiane in varie regioni si trovano ad affrontare un attacco ransomware sofisticato, che ha infiltrato i sistemi tramite aggiornamenti compromessi del software fiscale. L’attacco, rilevato l’8 ottobre, ha interessato almeno 400 aziende secondo l’Agenzia per la Cybersicurezza Nazionale (ACN).

I criminali informatici hanno sfruttato una vulnerabilità in “Fisco Facile”, un software di contabilità e dichiarazione fiscale diffuso, per veicolare malware di crittografia che blocca file critici e richiede un riscatto. L’aggiornamento compromesso appariva legittimo e possedeva firme digitali regolari che hanno eluso i controlli di sicurezza standard.

Dalle analisi tecniche emerge che gli aggressori hanno avuto accesso iniziale diverse settimane prima dell’attivazione della crittografia. Hanno così avuto modo di diffondersi nelle reti prima di mostrarsi. Le richieste di riscatto variano tra i 30.000 e i 100.000 euro in criptovaluta, con minacce di pubblicazione di dati se il pagamento non viene effettuato.

L’attacco presenta similitudini con il gruppo ransomware BlackCat/ALPHV, anche se le attribuzioni ufficiali sono ancora in corso. La raccolta di prove sui sistemi colpiti continua.

Impatto sulle aziende

Il ransomware ha colpito soprattutto imprese manifatturiere, logistiche e di servizi professionali del nord Italia (Lombardia, Veneto ed Emilia-Romagna). Molte aziende hanno dovuto interrompere completamente l’attività, poiché i sistemi di gestione finanziaria e dei clienti sono diventati inaccessibili.

Le operazioni di ripristino sono complesse, con tempi medi di fermo tra 4 e 7 giorni. Studi di contabilità di piccole dimensioni risultano particolarmente penalizzati, avendo perso accesso ai dati dei clienti in un periodo fiscale cruciale.

Gli impatti economici vanno ben oltre le richieste di riscatto. Confindustria stima che i costi medi di recupero oscillino tra 50.000 e 75.000 euro per azienda, considerando ripristino dei sistemi, interruzione della produttività e servizi IT d’emergenza.

“Questo episodio è arrivato nel momento peggiore, con le scadenze trimestrali alle porte e la pianificazione di fine anno”, ha dichiarato Marco Rossi, direttore dell’Associazione Piccole Imprese di Milano. “Molte aziende semplicemente non dispongono delle risorse tecniche per riprendersi rapidamente.”

Il software compromesso

Fisco Facile, sviluppato dalla milanese SoftwarePlus SRL, serve circa 12.000 imprese e professionisti contabili italiani. Gestisce calcoli fiscali, rendicontazione finanziaria e documentazione obbligatoria verso le autorità tributarie.

L’aggiornamento compromesso (versione 7.8.3), pubblicato il 29 settembre, conteneva modifiche apparenti di routine alle tabelle fiscali. SoftwarePlus ha riconosciuto la violazione il 9 ottobre, un giorno dopo la segnalazione dei primi casi di ransomware.

Le indagini confermano che gli attaccanti hanno colpito l’infrastruttura di distribuzione degli aggiornamenti, non direttamente l’ambiente di sviluppo. Questo significa che il codice sorgente rimane integro, mentre il canale di distribuzione è stato temporaneamente alterato.

“Un classico attacco alla supply chain”, ha spiegato il professor Luca Ferrari del Politecnico di Milano. “Bersagliando un provider di fiducia, i criminali hanno potuto raggiungere centinaia di obiettivi in tempi rapidissimi.”

Risposta del fornitore e delle autorità

SoftwarePlus ha immediatamente revocato tutti i certificati per l’aggiornamento compromesso e fornito istruzioni ai clienti entro 24 ore dalla conferma della violazione. È stato pubblicato un aggiornamento sicuro (versione 7.8.5) con controlli di verifica aggiuntivi e rimozione delle componenti malevole.

“Ci scusiamo profondamente per l’incidente e stiamo lavorando senza sosta per supportare i clienti”, ha dichiarato Antonio Bianchi, CEO di SoftwarePlus. “Abbiamo coinvolto esperti esterni per rafforzare l’infrastruttura e prevenire nuovi rischi.”

L’Agenzia per la Cybersicurezza Nazionale ha attivato i protocolli di emergenza, supportando le aziende colpite e fornendo indicazioni per il ripristino tecnico. L’agenzia sta inoltre collaborando con istituti finanziari per tracciare i trasferimenti di criptovalute collegati ai pagamenti del riscatto.

La Polizia Postale ha avviato le indagini. Le autorità incoraggiano le aziende a denunciare gli attacchi piuttosto che pagare riscatti, pur riconoscendo le difficoltà quando sono in gioco dati critici.

Rischi per la sicurezza dei dati

Oltre all’interruzione operativa, le aziende coinvolte si trovano ad affrontare gravi rischi per la sicurezza dei dati. Le analisi forensi indicano che il ransomware ha esfiltrato informazioni sensibili prima della crittografia. Questo potrebbe esporre dati riservati di aziende e clienti.

I dati compromessi potrebbero includere codici fiscali, bilanci, e dati personali di titolari e dipendenti. Ciò crea possibili responsabilità sul fronte GDPR, con l’obbligo di notificare la violazione.

Esperti di sicurezza hanno rilevato sui forum del dark web campioni di dati riconducibili ad alcune delle imprese colpite, suggerendo che gli aggressori stanno mantenendo le minacce di pubblicazione delle informazioni. L’incidente ha quindi anche le caratteristiche di una fuga di dati, con ripercussioni legali e operative.

“Il mercato secondario di questi dati rappresenta forse il rischio più serio nel lungo termine”, ha osservato Elena Montini, data protection officer di Certego Security Intelligence. “Informazioni fiscali possono alimentare truffe sofisticate per molto tempo dopo il ripristino dei sistemi.”

Come difendersi da attacchi simili

Gli esperti raccomandano alle aziende che utilizzano software contabili o finanziari di applicare alcune misure immediate. L’uso di whitelist applicative e la verifica rigorosa degli aggiornamenti possono impedire l’esecuzione di modifiche non autorizzate anche quando queste sembrano legittime.

La segmentazione della rete consente di isolare i sistemi finanziari dal resto dell’infrastruttura aziendale e limita la propagazione del ransomware. Questa strategia di contenimento è fondamentale anche dopo la violazione delle difese primarie.

Backup offline e immutabili restano la soluzione più efficace per un rapido recupero. “Le aziende che si sono riprese più velocemente avevano procedure di backup rigorose non collegate alle reti principali”, ha affermato Roberto Baldoni, ex direttore dell’ACN.

Per tutte le aziende che adottano software di terze parti, è consigliato verificare manualmente gli hash degli aggiornamenti e confrontarli con quelli pubblicati dal vendor, invece di affidarsi esclusivamente agli aggiornamenti automatici.

Implicazioni più ampie per le PMI italiane

Questo attacco mostra la vulnerabilità crescente delle piccole e medie imprese, che spesso dispongono di risorse limitate ma gestiscono dati finanziari di valore. Secondo esperti di settore, simili episodi potrebbero accelerare l’introduzione di requisiti assicurativi in ambito cybersecurity per chi gestisce informazioni sensibili.

Il governo valuta nuovi requisiti di certificazione di sicurezza per i vendor di software fiscale. Il Ministro dell’Economia Giorgetti ha anticipato che i prossimi fondi per la digitalizzazione includeranno risorse destinate al rafforzamento della cybersicurezza nelle PMI.

Le associazioni di categoria hanno chiesto la proroga delle scadenze fiscali per le aziende colpite. Confartigianato, in particolare, ha richiesto 45 giorni aggiuntivi per chi può dimostrare i propri disservizi.

“Questo episodio dimostra che la cybersicurezza non è più opzionale, neanche per le aziende più piccole”, ha sottolineato Paolo Ghezzi, direttore per l’innovazione digitale delle Camere di Commercio. “Sta cambiando radicalmente il modo in cui le imprese devono gestire le infrastrutture digitali, soprattutto quando trattano dati finanziari sensibili.”

Conclusione

L’attacco ransomware alle PMI italiane tramite software fiscale compromesso mette in risalto come le vulnerabilità nella supply chain possano interrompere funzioni aziendali essenziali ed esporre dati sensibili. Mentre proseguono le indagini e i vendor rafforzano le difese, il caso mostra l’urgenza di strategie di cybersicurezza robuste nei software gestionali. Cosa tenere d’occhio: possibili proroghe alle scadenze fiscali, sviluppi delle indagini ufficiali e nuovi requisiti di sicurezza per i fornitori del settore PMI.