youtube.com/@masspiratesSteve and James discuss a new bipartisan effort to sunset CDA Section 230, a Trump DOJ memorandum the claims recording ICE agents is violence and wish you all a happy holidays on our last pirate news for 2025.

youtube.com/embed/66viFR-abPQ?…

Sign up to our newsletter to get notified of new events or volunteer. Join us on:

• Mastodon;
• Facebook;
• Blue Sky;
• Twitter.

Check out:

• Surveillance Memory Bank and Resources;
• Our Administrative Coup Memory Bank;
• Our Things to Do when Fascists are Taking Over.

Some links we mentioned:

• Senators Want To Hold The Open Internet Hostage, Demand Zuckerberg Write The Ransom Note;
• The Government Unconstitutionally Labels ICE Observers as Domestic Terrorists.

Image Credit: Cory Doctorow, CC By-SA 4.0, Source Image.

masspirates.org/blog/2025/12/2…

IT'S MONDAY, AND THIS IS DIGITAL POLITICS. I'm Mark Scott, and I hope you, like me, are getting ready for Festivus on Dec 23. (Remember: it's for the rest of us.) My household already has its Festivus pole up, and is preparing for both feats of strength and the annual airing of grievances.

In all seriousness, thank you for all the support this year. I hope you and yours can find time to rest and recover over the final weeks of the year.

One programming note: the first Digital Politics newsletter of 2026 will be on Jan 5, so no edition next week. Happy Holidays.

Let's get started:

digitalpolitics.co/newsletter0…

We’re most familiar with sound as vibrations that travel through the atmosphere around us. However, sound can also travel through objects, too! If you want to pick it up, you’d do well to start with a contact mic. Thankfully, [The Sound of Machines] has a great primer on how to build one yourself. Check out the video below.

The key to the contact mic is the piezo disc. It’s an element that leverages the piezoelectric effect, converting physical vibration directly into an electrical signal. You can get them in various sizes; smaller ones fit into tight spaces, while larger ones perform better across a wider frequency range.

[The Sound of Machines] explains how to take these simple piezo discs and solder them up with connectors and shielded wire to make them into practical microphones you can use in the field. The video goes down to the bare basics, so even if you’re totally new to electronics, you should be able to follow along. It also covers how to switch up the design to use two piezo discs to deliver a balanced signal over an XLR connector, which can significantly reduce noise.

There’s even a quick exploration of creative techniques, such as building contact mics with things like bendable arms or suction cups to make them easier to mount wherever you need them. A follow-up explores the benefits of active amplification. The demos in the video are great, too. We hear the sound of contact mics immersed in boiling water, pressed up against cracking spaghetti, and even dunked in a pool. It’s all top stuff.

These contact mics are great for all kinds of stuff, from recording foley sounds to building reverb machines out of trash cans and lamps.

youtube.com/embed/JrN4HSJadNM?…

youtube.com/embed/Di3zThxTnnw?…

hackaday.com/2025/12/22/how-to…

Il caso del provv. n. 591 del 9 ottobre 2025 dell’Autorità Garante per la protezione dei dati personali è emblematico nel rappresentare quanto un’eccessiva leggerezza nel comunicare o, come in questo caso, diffondere dati personali possa comportare una violazione del GDPR.

Tutta colpa di una recensione, verrebbe da dire. O meglio: della risposta data ad una recensione negativa, in cui è stata riportata, come intestazione, nome e cognome nonché l’indirizzo di residenza dell’autore della sopradetta recensione. Autore che si è piuttosto risentito e ha presentato per questo motivo un reclamo al Garante Privacy il quale ha avviato un procedimento sulla possibile illiceità del trattamento dal momento che è stato diffuso un indirizzo di residenza senza una base giuridica valida e per finalità assolutamente divergenti rispetto a quelle per cui era stato legittimamente raccolto.

La difesa della società quale soggetto titolare del trattamento ha però voluto insistere sul fatto che:

“il reclamato utilizzo del solo indirizzo […] risulta certamente strumentale e necessario da parte di questo titolare del Camping Don Diego a dare doveroso riscontro alla “recensione negativa” sul portale di Google”.

cancellando in seguito all’audizione i dati di residenza in adesione alla richiesta formulata nel reclamo.

La decisione del Garante Privacy.

Non dovrebbe sorprendere più di tanto che il Garante non abbia accolto tale tesi difensiva, confermando così la violazione del principio di liceità e di limitazione della finalità,

in quanto il titolare del trattamento ha diffuso in rete illecitamente l’indirizzo di residenza della reclamante in assenza di idonea base giuridica e per finalità diverse da quelle che ne avevano determinato la relativa raccolta.

I dati personali del reclamante, tra cui rientra anche l’indirizzo di residenza, sono stati infatti raccolti per dare esecuzione a misure precontrattuali e contrattuali per il periodo di soggiorno. Inoltre, come è intuitivo, un riscontro ad una recensione non richiede certo l’intestazione del destinatario se viene fornito come reply.

Facendo riferimento proprio al contesto del trattamento, il Garante ricorda come criterio orientativo, quello fornito dal considerando n. 39 del GDPR che può essere convertito in una domanda che è sempre bene porsi: è davvero necessario trattare quei dati personali per ciò che voglio fare?

Potremmo dire: first think, then process the personal data.

In questo pensare, sarà bene individuare ciò che si vuole fare con i dati e cogliere l’occasione per applicare il principio di minimizzazione in modo hardcore andando a ricercare alternative in cui si conseguono le stesse finalità senza scomodare alcun dato personale. Dopodiché si ricercano soluzioni alternative sempre riducendo al minimo la quantità di dati da impiegare.

Altrimenti, quel che accade è semplicemente l’accettazione del rischio che la modalità di trattamento sia illecita. Come in questo caso che è valso un ammonimento del titolare e la pubblicazione del provvedimento.

Non basta il buon senso.

Attenzione, però, a ritenere che sia sufficiente il buon senso. Perché può rivelarsi un alleato inaffidabile soprattutto quando non si hanno chiare le regole del gioco.

Infatti, la maggior parte di quelle che vengono catalogate come leggerezze si fondano proprio su una mancata consapevolezza di ciò che si può fare e ciò che non si può fare con un dato personale, qualunque esso sia e in qualunque modo sia stato raccolto.

Fun fact: per il titolare sarebbe stato sufficiente rileggere la propria informativa per comprendere i limiti d’impiego di quei dati personali. Dopotutto, nella stessa venivano riportate le attività che ci si proponeva di svolgere e nessuna di queste prevedeva la diffusione dei dati.

L'articolo Una recensione negativa, un indirizzo di casa e il GDPR che piange proviene da Red Hot Cyber.

“Salve.”

Non “Gentile”, non “Spettabile”, non nome e cognome.
Solo “Salve.”

A leggerla così, fa quasi tenerezza.

Sembra l’inizio di una mail scritta di corsa, magari riciclata da un modello vecchio, senza nemmeno lo sforzo di una personalizzazione. C’è il logo giusto, c’è un titolo burocratico abbastanza vago, c’è quel tono da comunicazione di sistema che abbiamo imparato a riconoscere – e a ignorare.

E infatti il primo istinto, per chi è un minimo smaliziato, è questo: “Ma dai.”

Ed è proprio qui che conviene fermarsi.

Perché se viene da ridere, se si giudica per quanto è scritta male, si sta facendo esattamente quello che questa email si aspetta.

Una mail di phishing non deve essere elegante né credibile al cento per cento.
Spesso deve essere solo sufficientemente compatibile con ciò che ci si aspetta di ricevere in quel momento.

Da qui in poi, non ha più senso parlare di stile.
Ha senso parlare di funzione.

Una truffa vecchia che sfrutta un contesto nuovo

Questa non è una truffa nuova. È uno schema già visto, che continua a funzionare perché viene riattivato nel momento giusto.

Negli ultimi mesi, complice il tema degli aumenti e degli arretrati NoiPA, è tornata a circolare questa campagna di phishing che ripropone modelli noti, con variazioni minime nel lessico e nei riferimenti temporali. Non introduce tecniche innovative né soluzioni sofisticate: sfrutta un’aspettativa reale, quella di ricevere una comunicazione ufficiale legata a eventi economici concreti e ampiamente discussi.

Il punto di forza dell’attacco è tutto qui.
L’aggancio a elementi reali e verificabili – aumenti, arretrati, emissioni straordinarie – elimina la necessità di costruire una narrazione articolata. Il destinatario non deve chiedersi se quella comunicazione possa esistere, ma solo se sia arrivata nel modo corretto.

Per questo l’interesse del caso non sta nella truffa in sé, che è nota e ciclica, ma nella sua sincronizzazione con il contesto. È una dinamica ricorrente: ogni volta che un evento reale rende plausibile l’azione richiesta, lo schema torna a funzionare.

Ed è su questa dinamica, più che sulla singola campagna, che vale la pena soffermarsi.

Il metodo: analisi di un testo di phishing

Un’email di phishing va letta come una sequenza di obiettivi operativi, non come un messaggio informativo.

Gli obiettivi sono sempre gli stessi:

• farsi aprire
• non generare sospetto immediato
• spingere l’utente verso un’azione esterna

Se questa sequenza è coerente, il phishing molto spesso funziona anche quando il testo è mediocre.

Con questo schema in mente, il messaggio diventa leggibile per quello che è.

Dissezione tecnica del messaggio: cosa fa ogni elemento e perché funziona

Un’email di phishing non racconta una storia.
Implementa una sequenza di azioni progettate per guidare il comportamento dell’utente con il minimo attrito possibile.

Apertura e saluto: scalabilità prima di tutto

Il messaggio si apre con un semplice “Salve”.
Nessun nome, nessun cognome, nessuna personalizzazione.

Non è una svista. È una scelta funzionale alla scalabilità dell’attacco. Inserire dati anagrafici richiede liste affidabili, aggiornate e coerenti. Ometterli consente l’invio massivo senza ridurre in modo significativo il tasso di apertura. L’obiettivo non è colpire tutti, ma colpire abbastanza.

Allo stesso tempo, l’assenza di riferimenti personali colloca l’email nel perimetro delle comunicazioni automatiche: non sembra una mail individuale, ma una mail “di sistema”. Questo normalizza l’anomalia.

Oggetto e apertura: abbassare la soglia di attenzione

Oggetto e prime righe utilizzano formule vaghe e amministrative, come “integrazione dati personali”.
Non forniscono informazioni concrete, non promettono nulla, ma sono compatibili con messaggi di servizio reali.

La loro funzione è semplice: farsi aprire senza attivare allarmi immediati.

Registro linguistico: personalizzazione apparente a costo zero

Nel corpo del messaggio compare l’uso ripetuto del pronome “tua”:
“la tua area riservata”, “la tua posizione”.

Non è informazione. È simulazione di personalizzazione.
Questo registro non appartiene alle comunicazioni ufficiali di NoiPA, normalmente impersonali e normative. Serve a creare l’illusione di un riferimento diretto senza introdurre elementi verificabili che potrebbero essere controllati o smentiti.

È una scorciatoia tipica del phishing bancario e previdenziale.

Link e azione richiesta: spostare il contesto

Il cuore dell’attacco è l’invito ad accedere all’area riservata tramite un link presente nell’email.

Questo passaggio risolve il problema centrale dell’attaccante: portare l’utente fuori dal canale email. Finché l’utente resta nel client di posta ha tempo, contesto e strumenti per verificare. Il link serve a trasferirlo rapidamente su un dominio controllato dall’attaccante, dove interfaccia, linguaggio e richieste sono completamente manipolabili.

Dal punto di vista procedurale, questo è il punto di rottura oggettivo: NoiPA non richiede accessi ai propri servizi tramite link email né aggiornamenti di dati personali con questa modalità.

Call to action: riutilizzabilità e attrito minimo

Il pulsante “Modifica i tuoi dati” è volutamente generico.
Non contiene riferimenti amministrativi, numeri di pratica o identificativi utente.

La sua genericità lo rende riutilizzabile su più campagne, più brand, più contesti. Specificare quali dati o quale procedura introdurrebbe attrito e aumenterebbe le possibilità di incoerenza. L’obiettivo non è spiegare, ma ottenere un click.

Urgenza: comprimere il tempo di verifica

L’urgenza viene introdotta solo nella parte finale del messaggio.
Il link ha una validità limitata e il mancato intervento potrebbe compromettere l’aggiornamento della busta paga con gli aumenti previsti.

Non serve a spaventare subito, ma a ridurre il tempo di verifica quando il messaggio è già apparso coerente. Inserirla all’inizio attiverebbe sospetti; inserirla alla fine forza una decisione rapida quando l’utente è già coinvolto.

Contesto reale: plausibilità senza spiegazioni

Il riferimento agli aumenti e agli arretrati risolve il problema della plausibilità contestuale.
Usare un evento reale elimina la necessità di costruire una narrativa artificiale. Il motivo della comunicazione è già noto.

Questo abbassa drasticamente la soglia critica.

Firma: autorità senza verificabilità

La firma “Il Team NoiPA” chiude il messaggio senza fornire alcun elemento verificabile.
Nessun nome, nessun ufficio, nessun riferimento normativo o contatto ufficiale.

È un’autorità astratta, sufficiente nel breve intervallo che precede il click. Inserire dettagli renderebbe possibile una verifica immediata, cosa che l’attaccante deve evitare.

Conclusione

Questa campagna non si regge su tecniche avanzate né su un’elaborazione particolarmente sofisticata del messaggio. Si regge su qualcosa di molto più semplice: l’allineamento temporale. Uno schema noto viene riattivato quando l’argomento è reale, atteso e già presente nel flusso informativo quotidiano.

In questo scenario, la qualità del testo diventa quasi irrilevante. La familiarità del tema abbassa le difese, riduce il tempo di verifica e sposta l’attenzione dal come al perché. È sufficiente che il messaggio sembri plausibile nel momento giusto.

Ed è proprio per questo che un’email che all’inizio “fa sorridere” continua ancora oggi a colpire.

L'articolo Phishing NoiPA: analisi tecnica di una truffa che sfrutta aumenti e arretrati proviene da Red Hot Cyber.

Un’enorme interruzione di corrente a San Francisco ha causato interruzioni alla circolazione dei veicoli a guida autonoma. I veicoli a guida autonoma Waymo sono stati avvistati sulle strade cittadine, fermi agli incroci con le luci di emergenza accese. Le interruzioni sono state causate da un’improvvisa interruzione di corrente ai semafori, causata da un incendio in una sottostazione PG&E.

A causa dell’incidente, Waymo ha sospeso il suo servizio di taxi autonomi nella Bay Area. I rappresentanti di Waymo hanno dichiarato di essere in stretto coordinamento con le autorità cittadine e di prevedere di riprendere il servizio il prima possibile. Tuttavia, non hanno specificato i motivi per cui i veicoli non hanno potuto riprendere il servizio.

Un incendio in una sottostazione ha causato interruzioni di corrente per circa 130.000 residenti. Entro domenica mattina, l’alimentazione era stata rispristinata, mentre i lavori proseguivano a Richmond, Golden Gate e in alcune zone del centro di San Francisco.

L’incidente ha evidenziato potenziali vulnerabilità nel sistema di guida autonoma di Waymo. Il sito web di Waymo afferma che i suoi veicoli si affidano alla segnaletica stradale e ai semafori per orientarsi. Il guasto dei semafori ha probabilmente impedito ai veicoli di determinare quando fosse sicuro procedere.

Gli esperti non escludono un problema più ampio: la dipendenza da infrastrutture remote. Se per qualsiasi motivo i data center che calcolano i percorsi ed elaborano i dati dei sensori dovessero guastarsi, le auto a guida autonoma rischiano di perdere completamente l’orientamento e di fermarsi, indipendentemente dalle condizioni stradali.

Le tecnologie di guida autonoma stanno progredendo rapidamente, ma qualsiasi interruzione delle infrastrutture urbane o cloud potrebbe metterne a nudo la fragilità e ricordarci che i sistemi di guida autonoma continuano a far parte di un ecosistema vulnerabile.

L'articolo Semafori spenti, auto autonome bloccate: il blackout mette in crisi Waymo proviene da Red Hot Cyber.

MS13-089 apre un leak site sul dark web, espone i primi dati e adotta una strategia di doppia estorsione senza cifratura.

Un brand costruito su un vecchio ID Microsoft

Per anni “MS13-089” ha identificato un bollettino di sicurezza Microsoft del 2013 relativo a una vulnerabilità critica nel componente grafico GDI di Windows, sfruttabile per esecuzione di codice remoto. Oggi la stessa sigla viene riciclata come nome di un nuovo gruppo ransomware MS13-089.​

Questa scelta non è solo un vezzo: riutilizzare un identificatore storico del mondo Microsoft introduce rumore nelle ricerche OSINT e sposta l’attenzione dall’immaginario “gang di strada” a quello “vulnerabilità software”. In pratica il gruppo si colloca subito nel perimetro cyber, sfruttando una sigla che gli analisti associano da anni a un problema di sicurezza ben documentato.

Il leak site: un messaggio chiaro

Lo screenshot, rilanciato da diversi siti e canali social del clearnet del leak site, mostra un’impostazione essenziale: in alto il nome MS13-089, al centro la sezione “LEAKED DATA” e subito sotto due card affiancate dedicate alle prime vittime. Ogni riquadro riporta logo, dominio, breve descrizione ufficiale estratta dal sito della vittima e una barra con la dicitura “PUBLISHED 1%”, insieme al pulsante “MORE”.

Questa struttura ricalca il modello ormai standard dei leak site di doppia estorsione: brand della gang in evidenza, elenco delle organizzazioni colpite con una scheda sintetica e un chiaro invito – il tasto “MORE” – a esplorare i campioni di dati pubblicati come prova dell’intrusione.​

La barra “PUBLISHED 1%” che compare sotto ciascuna vittima non è una trovata grafica, ma un indicatore del livello di esposizione pubblica dei dati. Nel gergo dei leak site ransomware, questa etichetta segnala che solo circa l’1% dei dati sottratti è stato reso pubblico, mentre il restante 99% è ancora trattenuto dal gruppo come leva nella negoziazione con la vittima.​

Doppia estorsione senza cifratura: la narrativa “non danneggiamo i pazienti”

Uno degli aspetti più peculiari di MS13-089 è la scelta dichiarata di non cifrare i sistemi delle vittime, concentrandosi esclusivamente su furto e minaccia di leak dei dati. In comunicazioni riportate da siti di monitoraggio delle violazioni, il gruppo sostiene di non aver cifrato gli asset di Virginia Urology “per non danneggiare i pazienti”, rivendicando una strategia basata unicamente sulla doppia estorsione.​

Questa narrativa – già vista in altri contesti in cui gli attori cercano di presentarsi come “professionisti” più che come vandali – non cambia però la sostanza: l’esfiltrazione di cartelle cliniche, dati assicurativi e documentazione fiscale rimane un danno grave, con potenziali ricadute per milioni di persone e importanti conseguenze regolatorie (HIPAA nel contesto USA, GDPR in Europa). La leva non è più la paralisi operativa tramite cifratura, ma la minaccia di una esposizione pubblica irreversibile.​

Impatti

Il debutto di MS13-089 conferma tendenze chiave del panorama ransomware:

• La doppia estorsione evolve oltre la cifratura: gruppi come MS13-089 mostrano che, in molti scenari, la sola minaccia di leak può bastare a innescare crisi reputazionali, legali e regolatorie di ampia portata, anche senza bloccare direttamente i sistemi.​
• I leak site diventano asset di comunicazione centrale: elementi come la barra “PUBLISHED 1%” sono pensati non solo per informare gli analisti, ma per costruire una narrativa pubblica e temporizzata della pressione sul bersaglio.​

Per i defender questo significa integrare nei playbook di risposta non solo scenari di cifratura massiva, ma anche casi in cui l’intero impatto è giocato sulla fuga di dati: monitoraggio costante dei leak site, capacità di reagire rapidamente alle pubblicazioni parziali e piani di comunicazione e notifica pensati per gestire la progressione da “1% pubblicato” alla minaccia di esposizione totale.

L'articolo MS13-089: il nuovo gruppo ransomware che ruba il nome a un vecchio bollettino Microsoft proviene da Red Hot Cyber.

Una buona notizia per chiudere l'anno. Festeggiate, riposate, che nel 2026 avremo bisogno di rabbia nuova.

spreaker.com/episode/dk-10x16-…

You’ve probably seen Lichtenberg figures before, those lightning-like traces left by high-voltage discharge. The safe way to create them is using an electron beam to embed charge inside an acrylic block, and then shake them loose with a short, sharp tap. The usual technique makes for a great, flat splay of “lightning” that looks great in a rectangular prism or cube on your desk. [Electron Impressions] was getting bored with that, though, and wanted to do something unique — they wanted to capture lightning in a bottle, with a cylindrical-shaped Lichtenberg figure. The result is in the video below.

They’re still using the kill-you-in-milliseconds linear accelerator that makes for such lovely flat figures, but they need to rotate the cylinder to uniformly deposit charge around its axis. That sounds easy, but remember this is a high-energy electron beam that’s not going to play nice with any electrical components that are put through to drive the spinning.

Ultimately, he goes old-school: a lead-acid battery and a brushed DC motor. Apparently, more power-dense batteries have trouble with the radiation. Though the 3D-printed roller assembly is perhaps not that old-school, it’s neat to know that PETG is resilient to beta ray exposure. Getting footage from inside the linear accelerator with a shielded GoPro is just a bonus. (Jump to five minutes in to see it go into the beam chamber.)

The whole process is very similar to one we featured long ago to put Lichtenberg figures into acrylic spheres (the linked post is dead, but the video survives). If you don’t have access to a powerful electron beam, you can still make Lichtenberg figures the old-fashioned way with a microwave sign transformer, but that’s very much an “at your own risk” project, considering it’s the deadliest hack on the internet.

youtube.com/embed/8a3GfozsU0s?…

hackaday.com/2025/12/22/lichte…

In Italia la cybersicurezza non è più un tema da “reparto IT”. È una questione di sicurezza nazionale, resilienza economica e tenuta democratica.

Se si leggono insieme tre livelli di fonte pubblica — Relazione annuale della nostra agenzia d’intelligence e sicurezza nazionale, dati ACN/CSIRT, e threat landscape UE (ENISA) — emerge una traiettoria politica piuttosto netta: centralizzare la governance, rendere gli obblighi esecutivi (e verificabili), e spostare il baricentro su filiere, Pubblica Amministrazione e minaccia ibrida.

La diagnosi: ransomware “dual use” e minaccia ibrida

Le analisi ufficiali di sicurezza indicano che alcune minacce cyber vengono ormai lette come strumenti “a doppio uso”, dove il confine tra criminalità e obiettivo strategico si assottiglia.

In pratica: estorsione e spionaggio possono convivere nella stessa campagna, e l’impatto non è solo economico, ma anche politico-istituzionale. Se il ransomware e certe intrusioni non sono più soltanto “reati digitali”, la risposta non può essere solo tecnica: diventa materia di policy (contrasto delle FFOO, poteri, responsabilità, deterrenza, obblighi e capacità di risposta coordinata).

La fotografia dei numeri: Italia sotto pressione, PA nel mirino

Il secondo livello è l’evidenza operativa. Nelle relazioni pubbliche di ACN/CSIRT emergono volumi elevati di eventi e incidenti gestiti a livello nazionale, indicativi di una pressione strutturale e non episodica, e di questo già RHC ne aveva evidenziato gli aspetti.

A livello UE, la threat intelligence di settore e i report ENISA collocano la Pubblica Amministrazione tra i target prioritari e confermano la persistenza di vettori d’ingresso come phishing, sfruttamento di vulnerabilità e campagne a matrice ideologica o state-aligned. Ed anche qui nostro malgrado, avevamo fatto delle previsioni anni fa, ma siamo rimasti inascoltati.

Tradotto: se PA e servizi essenziali sono bersagli ricorrenti, la cybersicurezza diventa un tema di continuità dello Stato e non una “buona pratica” facoltativa, da lasciare al singolo referente informatico presente negli uffici della PA, che sa “smanettare sui computer”.

Ci vogliono tecnici esperti e soprattutto dedicati. Personale che abbia a cuore l’interesse primario dello Stato e della protezione nazionale da questo genere di attacchi ostili.

Dalla resilienza all’accountability: come cambia la cyber policy italiana

Le fonti confermano comunque che nell’anno appena trascorso la politica italiana si sta muovendo lungo tre direttrici, coerenti con questa lettura. Obblighi e accountability: recepimento NIS2 per trasformare la cyber-resilience in responsabilità organizzativa e manageriale, con misure verificabili e sanzionabili.

Cornice nazionale rafforzata: interventi su cybersecurity e resilienza, con aggiornamenti e irrigidimenti anche sul versante dei reati informatici e della risposta. Risorse e implementazione: programmazione e ripartizione fondi per mettere a terra progetti e capacità nel triennio 2025–2027.

La competizione tecnologica (supply chain, servizi digitali critici, hardware e software strategici) rende la cyber un’estensione della sicurezza economica. I report UE evidenziano l’aumento dei rischi legati alla supply chain e l’uso della catena di fornitura come moltiplicatore operativo. Sul piano politico, questo spinge verso requisiti più stringenti sul procurement, audit più frequenti e investimenti su ecosistemi affidabili. Non è autarchia: è sovranità operativa, cioè ridurre dipendenze che possono diventare punti di pressione geopolitica. A cui non possiamo rinunciare.

Se si combinano quadro di minaccia, numeri operativi e cornice UE, il 2026 appare più come un anno di “stretta esecutiva” che di nuove grandi leggi. Enforcement NIS2 più visibile: controlli sostanziali su risk management, supply chain e incident reporting. Priorità PA: resilienza dimostrabile (SOC, continuità operativa, gestione vulnerabilità, formazione), con metriche e verifiche.

Ransomware e supply chain: la cybersicurezza diventa politica pubblica

Ransomware: risposta più “di filiera”, includendo cooperazione pubblico–privato e iniziative di disruption contro infrastrutture criminali. Supply chain e vulnerabilità: passaggio dalla reazione alla prevenzione, con programmi strutturati di vulnerability management e patch governance nei soggetti essenziali. In conclusione, la cybersicurezza sta diventando una politica pubblica piena, con logiche simili a sanità, protezione civile e sicurezza interna.

Certo le limitazioni dell’art 117 della nostra Costituzione impongono ampi e forse dispersivi confronti tra lo Stato e gli enti locali, responsabili delle infrastrutture e del territorio, per pianificare ed organizzare la distribuzione delle risorse. Come avviene già per i settori in precedenza richiamati, ma la cybersecurity non può essere una materia di contrasto politico ideologico, ma di interesse esclusivamente nazionale.

Possiamo sperare che il 2026, non sarà l’anno degli annuncii? Ma l’anno in cui si vedrà se norme e fondi si tradurranno in capacità operative? A parlare saranno i tempi di rilevazione, la qualità del reporting, la continuità dei servizi essenziali e la resilienza della filiera. E noi saremo qui ad informarvi. Buon Natale a tutti

Riferimenti: documentazione pubblica ACN/CSIRT Italia; report ENISA; quadro normativo nazionale (L. 90/2024, D.Lgs. 138/2024, DPCM fondi 2025–2027); Relazione annuale sulla politica dell’informazione per la sicurezza (anno 2024).

L'articolo Cybersecurity Italia 2026: tra ransomware, supply chain e sicurezza nazionale proviene da Red Hot Cyber.