Filomena Gallo e Marco Cappato commentano: “Così viene vanificata l’iniziativa popolare. Valutiamo nuove azioni legali”

Il TAR precisa che “non è qui in esame il giudizio sulla legittimità della legge sul fine vita” e rigetta la richiesta delle Regione e le associazioni “Pro Vita”

Con sentenza depositata il 30 ottobre 2025, il TAR per la Lombardia – Sezione Quinta – ha dichiarato inammissibile per difetto assoluto di giurisdizione il ricorso presentato dall’Associazione Luca Coscioni e da alcuni cittadini lombardi contro la deliberazione del Consiglio regionale che, a novembre scorso, aveva dichiarato inammissibile la proposta di legge di iniziativa popolare n. 56/XII sul suicidio medicalmente assistito.

Secondo il TAR, la decisione del Consiglio regionale di non discutere la proposta, tramite la messa al voto di una questione pregiudiziale di costituzionalità, rientra nell’attività legislativa interna dell’assemblea e non può essere oggetto di sindacato giurisdizionale.

L’Associazione sottolinea che questa interpretazione svuota di significato l’iniziativa legislativa popolare a livello regionale: anche quando una proposta è formalmente ammissibile e coerente con la normativa statale, può essere sottratta alla discussione senza possibilità di controllo o rimedio.

Dichiarano Filomena Gallo e Marco Cappato, rispettivamente Segretaria nazionale e Tesoriere dell’Associazione Luca Coscioni:

Il TAR ha ritenuto di non potersi esprimere, ma così facendo consente che un Consiglio regionale possa impedire ai cittadini di vedere anche solo discussa una proposta di legge di iniziativa popolare, anche se conforme al quadro normativo regionale sulle proposte di legge per cui tantissimi cittadini hanno firmato affinché fosse discussa.

È una ferita alla democrazia partecipativa. L’iniziativa popolare non può ridursi a un atto simbolico: va garantita la discussione pubblica nelle sedi istituzionali. È un modo per svuotare il diritto dei cittadini di partecipare alla formazione delle leggi.

Il TAR precisa che “non è qui in esame il giudizio sulla legittimità della legge sul fine vita” e afferma che deve rigettare la richiesta delle controparti – Regione e le associazioni “Pro Vita” – di rinviare l’udienza (quella che si era tenuta il 22 settembre scorso) per attendere la pronuncia della Corte costituzionale del prossimo 4 novembre sulla competenza tra Stato e regioni in materia di procedure attuative di suicidio medicalmente assistito, poiché le esigenze rappresentate dalle associazioni intervenienti (le associazioni “pro vita”) sono del tutto indipendenti rispetto al sindacato di legittimità sugli atti del presente giudizio.

L’Associazione valuterà ora nuove iniziative legali e politiche per garantire che l’iniziativa legislativa popolare – strumento previsto dallo Statuto regionale e dalla Costituzione – torni a essere effettiva e vincolante almeno per la discussione pubblica nelle assemblee elettive.

Approfondimento: Scheda tecnica

L'articolo Liberi subito Lombardia, il TAR dichiara inammissibile il nostro ricorso proviene da Associazione Luca Coscioni.

Capire davvero cos’è il ransomware non è semplice: tra notizie frammentate e articoli tecnici, chi cerca risposte rischia di perdersi in un mare di informazioni confuse. Questo articolo nasce per fare chiarezza, offrendo una spiegazione completa e accessibile di come funziona il ransomware e del mondo criminale che lo alimenta.

Negli ultimi anni le cronache sono piene di notizie su grandi violazioni informatiche, riscatti milionari, gang cybercriminali, servizi di RaaS (Ransomware-as-a-Service) e perfino presunti conflitti cibernetici tra bande criminali. Per chi non lavora nel settore della sicurezza, termini come questi possono risultare oscuri e generare confusione. In questo articolo spiegheremo che cos’è il ransomware e come funziona il business — altamente redditizio — del crimine informatico organizzato. Offriremo un’analisi completa: partiremo dal modello di “affiliazione” e proseguiremo descrivendo tecniche, tattiche di attacco e metodi di estorsione usati dagli operatori del fenomeno.

Il ransomware cos’è

Nell’immaginario popolare, si pensa che la criminalità informatica sia legata a singoli individui con abilità informatiche eccezionali. Ma se vuoi estorcere milioni di dollari a una grande azienda, non puoi fare tutto da solo, hai bisogno di una “squadra”, ovvero: Un gruppo di hacker criminali con competenze informatiche diversificate, avanzate e verticali, che frequentano il Dark Web e che con molta probabilità vivono in Russia.

Infatti, la stragrande maggioranza dei criminali informatici non dispone di tutte le capacità tecniche necessarie per fare da soli e quindi creare malware, estorcere denaro, penetrare le aziende. Ecco appunto che nasce la RaaS, la Ransowmare as a Service, dei criminali informatici che collaborano in modo “organizzato”, per un unico scopo: estorcere tanto più denaro possibile ad una ipotetica organizzazione.

La criminalità informatica è esplosa negli ultimi anni perché i criminali si sono “specializzati” e “sotto-specializzati” in modo che ognuno potesse concentrarsi su un determinato obiettivo, su una singola fase del processo di violazione ed estorsione e tutto questo funziona terribilmente (purtroppo) bene.

La piramide del RaaS

Per RaaS, come abbiamo detto, si intende “Ransomware as a Service”, quindi Ransomware come “servizio”, un modello di business criminale dove la violazione viene condotta da un gruppo di criminali informatici militarmente organizzati. Ora analizzeremo questa piramide a tre livelli, per comprendere al meglio il suo funzionamento e la divisione dei compiti tra i criminali informatici.

Gli sviluppatori

Al primo livello troviamo gli “Sviluppatori”. Si tratta di esperti nella scrittura dei malware, di crittografia, che li realizzano, li aggiornano continuamente, creano strumenti per poter fornire sviluppate dashboard e sistemi di comando e controllo agli “affiliati”, capaci di gestire tutta la fase di infezione, che come vedremo è la fase ultima “attiva” di un attacco ransomware, prima di passare all’estorsione. Gli sviluppatori mettono a disposizione anche degli strumenti di supporto tecnico per gli affiliati, in modo che questi possano avere delle risposte immediate dagli sviluppatori su problematiche tecniche.

Gli Affiliati

Al secondo livello abbiamo gli “Affiliati”. Si tratta di altri criminali informatici che affittano il ransomware dagli sviluppatori e conducono la reale attività di attacco e di estorsione, accedendo alle reti della vittima e rimangono al suo interno per molto tempo, esfiltrando quanti più dati sensibili che gli consentiranno un ulteriore livello di persuasione nel caso in cui l’azienda non vorrà pagare la richiesta di riscatto, che vedremo nel secondo articolo.

Gli affiliati, quindi, affittano il ransomware dagli sviluppatori, accettando o concordando le provvigioni all’interno di forum underground chiusi (come i forum nelle darknet su presentazione), ma anche su forum accessibili presenti nel clearweb, come ad esempio il noto XSS.is.

Gli affiliati, in molti casi, per poter accedere ad una rete di una grande azienda, possono acquistare l’accesso dalla terza e ultima entità nella piramide RaaS, ovvero i broker di accesso.

I broker di accesso

Questi ultimi, sono di fatto dei gruppi di criminali informatici che violano le reti delle azienda per acquisirne persistenza. Sono molto esperti di tecniche di penetration test e, una volta acquisito l’accesso alla rete di una grande organizzazione, la mettono in vendita nei forum underground per poche migliaia di dollari. Gli affiliati, spesso sono clienti dei broker di accesso, in quanto consentono di velocizzare il loro flusso di lavoro, mettendo loro a disposizione accessi illeciti già verificati e disponibili e a basso costo.

L’organizzazione

Ovviamente la RaaS esiste quando c’è una organizzazione da violare. Questa organizzazione normalmente ha endpoint esposti su internet non correttamente configurati o aggiornati, che permettono ai broker di accesso di accedere all’interno delle loro reti.

Queste aziende spesso vengono identificate attraverso motori di ricerca quali Shodan, Zoomeye, Censys, IVRE che permettono di individuare con facilità le risorse esposte su internet di una organizzazione e le relative vulnerabilità esposte. Come spesso abbiamo detto, la RaaS non ha come obiettivo una specifica azienda, spesso colpisce una grande azienda, solo perché lascia una firma “indelebile” sul web delle sue intrinseche vulnerabilità dovute ad una errata postura cyber al suo interno.

Lo scenario di attacco

Ora che abbiamo scoperto tutti gli attori nel grande gioco del RaaS, ci addentreremo sul modello di attacco e quindi scopriremo le modalità di iterazione tra i tre livelli del RaaS. Ma per prima cosa iniziamo a mostrarvi la grafica numerata del percorso di attacco per semplificarci la lettura.

Ora comprenderemo con precisione tutti i passi che vengono effettuati in questa perfetta e militare organizzazione criminale che consentirà, qualora il tutto funzioni a dovere di estorcere grandissime quantità di denaro.

1. I “broker di accesso”, violano le organizzazioni per acquisire persistenza nelle loro reti e mettono in vendita tali accessi nei forum underground;
2. Gli “affiliati” acquistano dai “broker di accesso”, gli accessi alle reti maggiormente appetibili, per poter velocizzare e sviluppare l’attacco;
3. Gli “affiliati” affittano il ransomware dagli “sviluppatori” e accettano o si accordano sulle provvigioni. Alle volte depositando delle caparre nei forum underground, che potranno essere utili per il pagamento degli “sviluppatori” o dei “broker di accesso” in caso di scomparsa del gruppo affiliato;
4. Gli “sviluppatori” forniscono il ransomware agli “affiliati” provvisto di documentazione e dashboard di controllo, oltre a tutto il supporto specialistico che potrà essere utilizzato in caso di necessità da parte degli “affiliati”;
5. Gli “affiliati”, utilizzando le falle acquisite dai “broker di accesso” per penetrare nella rete della vittima, rimanendo silenti per molti giorni, fino a quando non avranno prelevato una serie di informazioni sensibili che li aiuteranno nella “seconda estorsione” (che vedremo nel successivo articolo). Inoltre gli “affiliati”, procedono alla rimozione di tutti i backup presenti nei file-system, in modo da rendere ancora più difficile la ricostruzione dei dati, anche su macchine che non verranno cifrate dal ransomware. Una volta compiute queste attività, possono procedere all’avvio del ransomware;
6. L’organizzazione si accorge del ransomware e si avviano le negoziazioni tra “l’organizzazione” violata e gli “affiliati”, fino al pagamento del riscatto. Gli affiliati potranno fare leva sui dati sensibili esfiltrati minacciando di pubblicarli in rete, oltre che contattare le testate giornalistiche e le figure apicali dell’azienda (come vedremo nel successivo articolo) per aumentare la pressione. L’organizzazione si avvarrà di esperti che cureranno le “trattative” con gli “affiliati”, per arrivare alla miglior “negoziazione” del pagamento del riscatto.
7. L’azienda a questo punto paga il riscatto agli “affiliati” utilizzando la criptovaluta, generalmente in bitcoin e gli “affiliati”, forniscono la chiave di decrittazione dei contenuti cifrati dal ransomware;
8. Gli “affiliati” spartiscono le provvigioni con gli “sviluppatori”.

La distribuzione dei guadagni

Qualsiasi pagamento di riscatto effettuato da una vittima viene suddiviso tra l’affiliato e lo sviluppatore del ransomware. Nel caso di DarkSide (il ransomware che ha bloccato Colonial Pipeline), lo sviluppatore del malware prendeva il 25% per riscatti inferiori a 500.000 dollari, ma tali provvigioni scendevano al 10% per riscatti superiori a 5 milioni di dollari.

Tutto questo viene definito con delle politiche descritte nei blog degli “sviluppatori” o nei forum underground come ad esempio XSS del quale abbiamo parlato molto di recente. Questa divisione dei pagamenti dei riscatti risulta molto chiara da vedere sulle blockchain, con le diverse azioni che separano i portafogli Bitcoin controllati dagli affiliati e dallo sviluppatore.

Se parliamo di DarkSide, lo sviluppatore ha ricevuto bitcoin per un valore di 15,5 milioni di dollari (17%), con i restanti 74,7 milioni di dollari (83%) destinati ai vari affiliati.

In totale, a DarkSide sono stati effettuati poco più di 90 milioni di dollari in pagamenti di riscatto in bitcoin, provenienti da 47 portafogli distinti.

Questo fa comprendere con relativa precisione il numero di vittime violate che hanno pagato un riscatto. Ad esempio, secondo DarkTracer, 99 organizzazioni sono state infettate dal malware DarkSide, suggerendo che circa il 47% delle vittime ha pagato un riscatto e che il pagamento medio era pari a 1,9 milioni di dollari.

Altre ruoli nella RaaS e forme di outsourcing

Come abbiamo visto, la RaaS ruota principalmente attorno a “sviluppatori” ed “affiliati”, ma esistono anche altre figure che mano a mano stanno prendendo forma facendo divenire la RaaS una vera e propria organizzazione aziendale, con ruoli diversificati e molteplici attività di outsourcing.

Sviluppatori SDK/Librerie

I criminali informatici che sviluppano infrastrutture che vengono rivendute agli sviluppatori di Ransomware per velocizzare il loro ciclo di sviluppo del software, come ad esempio i sistemi di pagamento in criptovaluta, i blog, e così via.

Si tratta a tutti gli effetti di componenti software criminali, che vengono acquistate dagli sviluppatori di ransomware che utilizzano all’interno delle loro soluzioni, esattamente come si stesse progettando un software lecito, utilizzano software di terze parti.

Operatori di Negoziazione

Per poter massimizzare il profitto in situazioni nelle quali le aziende sono reticenti a pagare il riscatto e per massimizzare gli sforzi messi in atto per violare e crittografare una determinata azienda, la RaaS può avvalersi su persone specializzate nella gestione dei “negoziati” tra l’azienda violata e il gruppo RaaS.

Infatti, diversi attori si stanno avvalendo di figure che gestiscono l’aspetto della negoziazione, oltre ad accumulare pressione verso l’azienda, ad esempio tramite chiamate, attacchi DDoS (Distributed Denial-of-Service) e minacce tra cui la perdita di informazioni rubate durante un l’attacco ransomware, insomma delle persone specializzate in pura “estorsione”, che possano facilitare l’attività di pagamento da parte dell’azienda.

Tecniche di estorsione

Il ransomware non è rimasto immutato dalla sua comparsa. Si può tracciare una linea che parte dal primo caso noto — il Trojan AIDS di Joseph Popp — e arriva ai casi più recenti e sofisticati come WannaCry, Maze, REvile DarkSide. Nel tempo sono cambiate le capacità tecniche dei malware, ma soprattutto si sono evolute le strategie di ricatto: i gruppi criminali hanno trasformato l’attacco informatico in un modello economico sempre più articolato e remunerativo.

Per comprendere l’attuale panorama, è utile distinguere tre principali tattiche di estorsione che si sono affermate progressivamente.

• Estorsione tramite cifratura (single extortion)
  La tecnica originaria e ancora praticata consiste nel bloccare l’accesso ai dati critici della vittima mediante cifratura. Gli attaccanti chiedono un riscatto in cambio della chiave di decrittazione. Questo è il meccanismo che caratterizzava i primi ransomware e che rimane alla base di molti attacchi odierni.
• Estorsione tramite pubblicazione dei dati (double extortion)
  Quando la vittima rifiuta di pagare, gli aggressori ricorrono a una seconda leva: l’esfiltrazione e la minaccia di pubblicare informazioni sensibili. Questa strategia, nota come double extortion, combina la cifratura con la fuga di dati, aumentando la pressione psicologica, legale e commerciale sulla vittima — il rischio di danni reputazionali o di violazione della privacy spesso spinge le organizzazioni a trattare.
• Estorsione estesa e pressione esterna (triple extortion e varianti)
  Da diversi anni è emersa una terza dimensione dell’estorsione, volta ad aumentare ulteriormente la leva sul bersaglio. I criminali non si limitano a cifrare e a minacciare la pubblicazione dei dati: contattano giornalisti per ottenere visibilità sull’incidente, avvisano clienti o partner commerciali della vittima, o in alcuni casi si rivolgono direttamente a figure apicali dell’organizzazione usando informazioni riservate per ricattarli personalmente. Questa tattica amplia la catena del rischio — coinvolge stakeholder esterni e sfrutta la pressione pubblica e relazionale per forzare il pagamento

L’aggiunta di più livelli estorsivi ha trasformato il ransomware da semplice strumento tecnico a leva strategica multifattoriale: la vittima affronta non solo il blocco operativo, ma anche possibili danni legali, perdite di clienti e un danno d’immagine difficile da quantificare. Per questo motivo molte imprese oggi non considerano più i backup come unica difesa, ma integrano misure di risposta che contemplano anche la gestione della comunicazione, la negoziazione e il coinvolgimento di consulenti legali e specialisti in incident response.

Attacco e persistenza

Come abbiamo visto, i “broker di accesso”, hanno grandi capacità tecniche offensive, capaci di violare una organizzazione, pertanto a loro spetta il compito di penetrare il sistema dell’azienda e rivendere i punti di accesso agli “Affiliati”, che rimarranno all’interno delle reti fino a quando non avranno trovato dei dati tendenzialmente sensibili, capaci di ricattare la vittima attraverso la doppia estorsione, modalità introdotta da Maze (una cyber-gang ad oggi non più attiva) a fine del 2019.

Tutti sembrano concordare sul fatto che le tattiche, le tecniche e le procedure utilizzate dagli “affiliati” e dai “broker di accesso”, riflettono un modo di azione comune che incorpora un mix di funzionalità native di Windows , malware commodity e strumenti di red team pronti all’uso come Cobalt Strike, Mimikatz, powershell e backdoor .NET.

I “broker di accesso” infatti, hanno buone competenze nelle attività di penetration-test mentre gli “affiliati”, si muovono lateralmente per accedere alle infrastrutture che contengono i dati più preziosi, come ad esempi i reparti di ricerca e sviluppo, il reparto di finanza e controllo oppure l’ufficio Human Resource, con l’intento di prelevare quante più informazioni “sensibili” dall’organizzazione.

Una volta stabilita la persistenza, la banda criminale può rimanere all’interno di una organizzazione anche per 45 giorni, ma è noto che il numero dei giorni può arrivare fino a 90 (quindi 3 mesi, che di fatto possiamo paragonarlo ad un attacco APT, un Advanced persistent threat), e solo dopo aver prelevato quante più informazioni possibili utili alla seconda estorsione, avviano il payload del ransomware.

Dobbiamo quindi comprendere che il momento in cui viene percepito l’attacco informatico da parte degli utenti (qualora non sia stato rilevato un accesso in precedenza), è la fine del lavoro “tecnico”, svolto dai criminali informatici.

La richiesta di riscatto

Il ransomware, a questo punto effettua il suo lavoro, cifra i dati presenti all’interno dei server e mostra a video un programma che riporta che il computer è stato infettato, il prezzo per decifrare i dati e il tempo entro quando occorrerà pagare il riscatto. Nel caso di Ransomware come REvil (Sodinokibi), passato quel periodo, la cyber-gang raddoppia il costo del riscatto.

Schermata di blocco del ransomware REvil (Sodinokibi)

Inoltre viene prodotto un file (anche se sono molteplici le forme di azione), dove viene scritto cosa dovrà fare l’organizzazione per ottenere la chiave di cifratura che gli consentirà la decifrazione dei dati. Nello specifico viene riportato di “non perdere tempo”.

Vengono inoltre riportate le istruzioni per accedere al sito nella rete onion in totale sicurezza, specificando che è consigliato l’utilizzo di una VPN e di TOR browser. Una volta acceduto con TOR al sito .onion, occorrerà specificare un codice generalmente visualizzato dal programma sullo schermo del computer e quindi procedere con il pagamento del riscatto.

File di testo che riporta le istruzione di recupero.

Operazione di estorsione multiforme

Di recente sono state osservate una moltitudine di nuove tecniche di estorsione, capaci di aumentare la pressione verso l’organizzazione e quindi indurla a pagare il riscatto.

Ad esempio, nell’incidente subito dalla Vastaamo (una clinica psichiatrica finlandese), dopo aver cifrato i dati, gli affiliati hanno proceduto ad informare i suoi clienti che i dati delle loro cartelle cliniche sarebbero stati resi pubblici. Infatti 300 cartelle cliniche vennero pubblicate nel darweb e l’azienda fallì.

In altri casi, si è assistito a delle telefonate da parte degli affiliati verso i giornalisti per informarli che una determinata organizzazione è stata colpita da un ransomware, aumentando di fatto la circolazione delle notizie e quindi la pressione sulle organizzazioni.

In altri casi si è assistito anche a delle pressioni fatte verso i top manager delle aziende minacciandoli di pubblicare informazioni sensibili prelevate dai loro stessi pc, questo mentre l’azienda stava valutando il pagamento del riscatto del ransomware.

Un altro esempio davvero folle riportato da Mandiant, è relativo ad un affiliato di DarkSide, che era stato in grado di esfiltrare la polizza assicurativa informatica dell’azienda. Queste informazioni sono state ovviamente sfruttate dalla cyber-gang durante il processo di negoziazione del riscatto, rifiutandosi di ridurre l’importo, data la sua conoscenza dei limiti della previsti dalla polizza.

La complessità nell’attribuzione di un attacco

L’arte dell’inganno è sempre stata alla base delle attività di criminalità informatica a tutti i livelli, tanto è vero che molti libri sono stati scritti sulle tecniche di spoofing e di deception, e quindi su come ingannare gli altri a far credere di essere attaccati da un altro soggetto.

Determinare per quale paese o governo le cyber-gang possono lavorare è diventato molto difficile da comprendere negli ultimi anni, dal momento che molti gruppi cercano specificamente di lasciare delle “tracce”, per incastrare altri paesi o governi.

I false flag

I codici da soli non sono sufficienti per identificare la nazionalità degli aggressori, poiché i criminali informatici possono lasciare deliberatamente false tracce, quelle che in gergo militare vengono chiamate delle false bandiere o “false flag”.

Per “false flag”, si indica una tattica segreta perseguita nelle operazioni militari, attività di intelligence e/o di spionaggio, condotte generalmente da governi, servizi segreti, progettata per apparire come perseguita da altri enti e organizzazioni, anche attraverso l’infiltrazione o lo spionaggio all’interno di questi ultimi.

Questo si legge su wikipedia come “concetto militare”, e questo ovviamente è stato acquisito e messo in atto nella guerra informatica e nelle operazioni ransomware inserendo all’interno dei malware delle specifiche “tracce”, capaci di influenzare un analista nel far dedurre, in maniera errata, l’origine di un attacco ransomware.

Le forme di deception

Il russo risulta una lingua utilizzata in molti paesi dell’ex URSS, specialmente nel campo della tecnologia informatica, pertanto oggi potrebbe essere abbastanza complicato trarre delle conclusioni sull’impronta del malware attraverso commenti, messaggi di errore, restrizioni su base linguaggio/paese, gli IP Address dei sistemi di command and control e altro ancora.

Molti gruppi che lavorano per i governi di vari paesi, stanno specificamente cercando di lasciare degli artefatti nel codice appositamente forgiati per depistare gli analisti dalle loro vere identità e paesi di provenienza.

Sono tecniche di imitazione per far credere che l’attacco sia stato sferrato da un gruppo di un altro stato, oppure simulare ed impersonare precisamente un attore di minaccia noto, per depistare le loro tracce. Molti gruppi hanno analizzato i malware di altri concorrenti, per riportare all’interno dei loro file binari, degli artefatti che possano ricondurre a loro.

Acronimi e significati del mondo Ransomware

Il mondo del ransomware è caratterizzato da un linguaggio tecnico ricco di acronimi e termini specifici che possono rendere difficile la comprensione del fenomeno per chi non opera quotidianamente nel settore della sicurezza informatica. Molti di questi termini provengono dal gergo usato all’interno delle community cybercriminali e descrivono ruoli, modelli di business e tecniche operative proprie del crimine informatico organizzato.

Il seguente glossario raccoglie i principali acronimi e termini legati al ransomware, offrendo una panoramica chiara e sintetica del lessico usato nelle cronache di sicurezza e nelle analisi sulle minacce informatiche.

Conclusioni

Come abbiamo visto in questi due articoli, la RaaS è un fenomeno criminale altamente specializzato e organizzato, dove il potere negoziale delle informazioni ha oggi un valore impressionante.

Il panorama geopolitico di questo ultimo periodo, rende questi attacchi informatici – soprattutto se indirizzati verso i sistemi critici dei paesi – un problema di sicurezza nazionale e questo porta i governi a gestirli con la massima attenzione e questo è quello che non è gradito dai criminali informatici.

Inoltre, vista la difficoltà nell’identificare la provenienza di un attacco ransomware (è stata la Russia, la Cina o la Corea del Nord, ovviamente sono esempi), può portare ad una destabilizzazione degli equilibri geopolitici costruiti in precedenza e l’innesco di potenziali escalation.

Il fenomeno del ransomware è in verticale aumento, questo perché è estremamente remunerativo e a basso costo. Aspettiamoci quindi che le tattiche di estorsione utilizzate dalle cyber-gang continueranno ad evolversi nei prossimi anni in modo ad oggi non prevedibile e che del ransomware inizieranno a parlarne le prime pagine dei giornali.

Per questo risulta imprescindibile (come spesso riportato sulle pagine di Red Hot Cyber) regolamentare la guerra informatica liberando la mente da quello “che era” il Tallin Manual, cercando di scrivere un trattato realmente internazionale e non solo scritto a beneficio della Nato e dell’alleanza Five Eyes.

L'articolo Scopri cos’è il ransomware. Tecniche, tattiche e procedure del cybercrime da profitto proviene da Red Hot Cyber.

La cybersecurity è diventata uno dei temi più importanti nell’era digitale in cui viviamo. Con l’aumento del numero di dispositivi connessi, la diffusione di internet e la crescita esponenziale dei dati online, il rischio di attacchi informatici è aumentato in modo esponenziale.

Ma cosa si intende per cybersecurity?

In parole semplici, la cybersecurity è l’insieme di tecnologie, processi e pratiche progettati per proteggere le reti, i dispositivi e i dati da attacchi informatici, frodi e altre minacce digitali. La cybersecurity è essenziale per garantire la sicurezza online, sia per i singoli utenti che per le aziende.

Le minacce informatiche

Le minacce informatiche sono un aspetto fondamentale della cybersecurity. Ci sono molte forme di minacce informatiche, che possono essere classificate in diverse categorie.

Le minacce informatiche sono azioni che vengono eseguite da individui o gruppi di individui con l’obiettivo di danneggiare o ottenere accesso non autorizzato a sistemi informatici e dati personali. Ecco alcuni esempi più comuni:

1. Virus: I virus informatici sono programmi che infettano il tuo computer e si diffondono da file in file. Possono causare il blocco del computer o la perdita di dati importanti.
2. Malware: Il malware è un termine generico che si riferisce a qualsiasi tipo di software dannoso. Ad esempio, i Trojan possono farsi passare per programmi innocui per poi rubare informazioni personali come password e numeri di carte di credito.
3. Phishing: Il phishing è un tentativo di frode in cui i criminali cercano di convincerti a fornire informazioni personali come le tue credenziali di accesso o i numeri di carta di credito. Di solito fanno questo attraverso email, messaggi di testo o siti web fasulli.
4. Attacchi DDoS: Un attacco DDoS è un tentativo di rendere un sito web o un servizio Internet inaccessibile sovraccaricandolo con un grande volume di traffico.

In generale, queste minacce informatiche possono causare danni notevoli e quindi è importante proteggere i nostri dispositivi e dati personali.

Ma la cybersecurity non riguarda solo la prevenzione delle minacce informatiche. Include anche la protezione dei dati personali e la garanzia della privacy online. Ci sono molte tecnologie e pratiche che possono essere utilizzate per proteggere la sicurezza online, come ad esempio l’uso di password complesse, l’installazione di software antivirus e firewall, l’uso di software di crittografia per proteggere i dati sensibili e l’implementazione di processi di autenticazione a più fattori.

Infine, c’è la cyberwar, una minaccia sempre più reale in un mondo sempre più connesso. La cyberwarfare si riferisce all’uso di tecnologie informatiche per condurre attacchi militari o per combattere contro gli attacchi informatici. La cyberwarfare può essere utilizzata per disabilitare le infrastrutture critiche, come i sistemi di energia elettrica, di trasporto e di telecomunicazione.

I criminali informatici

I criminali informatici sono individui o gruppi che utilizzano le tecnologie informatiche per compiere attività illegali e dannose. Questi individui possono avere obiettivi diversi, come il furto di dati personali, la frode finanziaria, l’estorsione, il sabotaggio informatico e la spionaggio.

La maggior parte dei criminali informatici sono organizzati in gruppi criminali che operano su scala globale. Questi gruppi possono avere membri in diversi paesi e utilizzano tecnologie sofisticate per nascondere la loro identità e le loro attività. In alcuni casi, questi gruppi possono avere legami con organizzazioni criminali tradizionali, come la mafia.

I criminali informatici spesso utilizzano tecniche sofisticate per ottenere accesso ai sistemi informatici e ai dati personali. Alcune di queste tecniche includono l’utilizzo di malware, attacchi di phishing, exploit di vulnerabilità dei software, e la forza bruta per decifrare le password.

Per proteggersi dalle attività dei criminali informatici, è importante adottare buone pratiche di sicurezza informatica, come l’utilizzo di software antivirus, l’aggiornamento regolare dei software, la scelta di password robuste e l’utilizzo di software di crittografia. Inoltre, è importante non fornire informazioni personali a siti web o a individui sconosciuti e prestare attenzione ai messaggi di phishing.

Come proteggerci dalle minacce informatiche

Per proteggerci dalle minacce informatiche, è importante adottare un approccio olistico alla sicurezza informatica. Ciò significa che dobbiamo considerare la sicurezza informatica come un processo continuo che coinvolge persone, processi e tecnologie.

Un programma di ICT Risk Management (gestione del rischio informatico) può aiutare le aziende a minimizzare le minacce informatiche.

Il programma di ICT Risk Management prevede una serie di fasi, tra le quali:

1. Identificazione dei rischi: identificare i potenziali rischi per la sicurezza informatica, come attacchi di phishing, malware, accesso non autorizzato, violazione della privacy e interruzioni del servizio.
2. Valutazione dei rischi: valutare i rischi identificati in termini di probabilità e impatto per l’azienda.
3. Mitigazione dei rischi: implementare le misure di sicurezza necessarie per mitigare i rischi identificati. Ciò può includere l’utilizzo di software di sicurezza informatica, l’implementazione di politiche e procedure di sicurezza, l’addestramento del personale, la crittografia dei dati sensibili e la gestione delle vulnerabilità dei software.
4. Monitoraggio e revisione: monitorare continuamente il sistema per identificare eventuali nuove minacce o vulnerabilità e revisione del programma di sicurezza informatica per garantire che sia efficace ed adeguato.

Le aziende possono anche adottare alcune buone pratiche per minimizzare le minacce informatiche, come:

• Implementare una politica di sicurezza informatica forte e comunicarla a tutti i dipendenti.
• Utilizzare software di sicurezza informatica, come firewall, antivirus e antispyware.
• Aggiornare regolarmente i software per correggere le vulnerabilità di sicurezza.
• Utilizzare password robuste e cambiare le password regolarmente.
• Prestare attenzione ai messaggi di phishing e non fornire mai informazioni personali a siti web sconosciuti.
• Crittografare i dati sensibili per proteggerli da accessi non autorizzati.
• Limitare l’accesso ai dati sensibili solo a dipendenti autorizzati.

In sintesi, proteggersi dalle minacce informatiche richiede un approccio olistico alla sicurezza informatica e l’adozione di buone pratiche di sicurezza informatica. Le aziende possono minimizzare le minacce informatiche adottando un programma di ICT Risk Management e implementando politiche e procedure di sicurezza robuste.

Gli esperti di sicurezza informatica

Gli esperti di sicurezza informatica svolgono un ruolo fondamentale nella protezione delle aziende dalle minacce informatiche. Questi specialisti sono responsabili della progettazione e implementazione di politiche, procedure e tecnologie di sicurezza informatica che proteggono i sistemi informatici e i dati dell’azienda.

Nel contesto dei programmi di ICT Risk Management, gli esperti di sicurezza informatica sono coinvolti in tutte le fasi del processo. In particolare, essi contribuiscono all’identificazione dei potenziali rischi per la sicurezza informatica, valutando le vulnerabilità dei sistemi informatici e progettando misure di sicurezza adeguate per mitigare i rischi identificati.

Gli esperti di sicurezza informatica possono anche aiutare le aziende a implementare software di sicurezza informatica, come firewall, antivirus e antispyware, e ad adottare buone pratiche di sicurezza informatica, come l’utilizzo di password robuste e il monitoraggio del sistema per identificare eventuali minacce.

Inoltre, gli esperti di sicurezza informatica sono responsabili del monitoraggio continuo dei sistemi informatici dell’azienda per identificare eventuali nuove minacce o vulnerabilità e per garantire che il programma di sicurezza informatica sia efficace e adeguato.

In sintesi, gli esperti di sicurezza informatica svolgono un ruolo critico nella protezione delle aziende dalle minacce informatiche. Nel contesto dei programmi di ICT Risk Management, essi contribuiscono all’identificazione, valutazione e mitigazione dei rischi per la sicurezza informatica, nonché alla progettazione e implementazione di politiche e procedure di sicurezza informatica.

L'articolo Che cos’è la Sicurezza Informatica. Tra minacce, cybercrime, protezione e lavoro proviene da Red Hot Cyber.

Il 29 ottobre, una massiccia interruzione della piattaforma cloud Azure di Microsoft ha causato disservizi su scala globale, bloccando per oltre otto ore le operazioni di aziende e servizi pubblici. L’incidente ha coinvolto numerosi clienti, tra cui Alaska Airlines, l’aeroporto di Heathrow, Vodafone, Costco, Starbucks, Kroger, oltre a migliaia di utenti di Microsoft 365 e Xbox.

Secondo la società, la causa del guasto è stata una “modifica involontaria della configurazione” dei sistemi. Nella serata del 29 ottobre, Microsoft ha confermato che la piattaforma era tornata operativa e che i livelli di errore e latenza si erano normalizzati, pur segnalando che un numero ristretto di utenti avrebbe potuto riscontrare ancora difficoltà residue.

L’interruzione è avvenuta a poche ore dalla pubblicazione del rapporto trimestrale sugli utili dell’azienda, aggravando l’impatto reputazionale. Per diverse ore gli utenti non sono riusciti ad accedere a Microsoft 365, al portale Azure e alla rete Xbox Live, con alcuni che hanno riferito anche l’inaccessibilità temporanea del sito ufficiale di Microsoft.

Disservizi diffusi tra compagnie e infrastrutture

L’interruzione ha interessato il settore dei trasporti e della grande distribuzione. Le compagnie Alaska Airlinese Hawaiian Airlines hanno segnalato difficoltà operative, mentre il sito web dell’aeroporto londinese di Heathrow è rimasto offline per parte della giornata.

Anche il colosso delle telecomunicazioni Vodafone e diverse catene internazionali, tra cui Costco, Starbucks e Kroger, hanno comunicato interruzioni impreviste su siti e applicazioni.

Sulla piattaforma Downdetector, oltre 18.000 utenti hanno segnalato problemi con Azure, mentre circa 20.000 hanno riportato disservizi su Microsoft 365.

Precedenti e vulnerabilità del cloud

L’incidente si inserisce in una serie di interruzioni che negli ultimi mesi hanno colpito i principali fornitori di servizi cloud. Il 20 ottobre, appena nove giorni prima, Amazon AWS aveva subito un blackout durato oltre 15 ore che aveva compromesso l’accesso a siti e applicazioni come Snapchat e Reddit.
Nel marzo precedente, un ulteriore guasto ai sistemi Microsoft aveva impedito a decine di migliaia di utenti di utilizzare Outlook e altri servizi aziendali.

Secondo Griffith, professore di ingegneria alla Cornell University, episodi di questo tipo mettono in evidenza la fragilità della rete globale: «Il mercato del cloud è dominato da poche grandi aziende, e ciò concentra le risorse digitali mondiali in un numero ristretto di mani», ha affermato.

I dati della società di analisi Canalys mostrano che nel primo trimestre Amazon AWS detiene il 32% del mercato delle infrastrutture cloud, seguita da Microsoft Azure con il 23% e Google Cloud con il 10%.

Dipendenza da un singolo fornitore e rischi sistemici

Gli esperti avvertono che la concentrazione dei servizi digitali nelle mani di pochi operatori può generare rischi economici e sistemici. Le perdite globali legate a un’interruzione su larga scala potrebbero raggiungere decine o centinaia di miliardi di dollari, ma l’impatto più grave, secondo gli analisti, riguarda la crescente vulnerabilità delle infrastrutture digitali globali.

Byrne, analista di eMarketer, ha sottolineato che l’aumento della dipendenza dalle piattaforme cloud potrebbe amplificare le conseguenze di simili blackout: «Le aziende dovranno puntare su strategie multi-cloud e piani di disaster recovery per ridurre i rischi di blocco totale».

Gli analisti concordano sul fatto che questi episodi potrebbero accelerare la transizione verso architetture cloud distribuite, più resilienti e meno legate a un unico fornitore.

L'articolo Interruzione AWS e Azure: la dipendenza da un solo fornitore è un grave rischio proviene da Red Hot Cyber.

I minimalisti di Windows hanno stabilito un altro record. L’appassionato @XenoPanther ha ridotto le dimensioni di una copia in esecuzione di Windows 7 a 69 megabyte, meno della media delle app mobili. A titolo di confronto, un’installazione standard di questo sistema operativo richiede decine di gigabyte.

Secondo l’autore, si è trattato più di un esperimento per divertimento che di un tentativo di creare una versione completa. Questa immagine ridotta all’essenziale è quasi completamente non funzionale: mancano librerie di sistema, elementi dell’interfaccia, finestre di dialogo e gran parte della grafica. Tuttavia, il desktop si carica comunque, seppur con notevole difficoltà, e l’autenticazione di Windows rimane abilitata.

Sebbene tutto ciò che riguarda l’interfaccia grafica non funzioni, una build del genere potrebbe gestire anche le applicazioni console più semplici, che richiedono solo il kernel di sistema. Tali esperimenti sono da tempo diventati un campo distinto tra gli appassionati affascinati dall’idea di far funzionare Windows con una quantità di memoria minima. Gli utenti più anziani ricordano di aver installato Windows 3.1 su un floppy disk, solo per fare esperimenti.

Le versioni minimali del sistema sono utili non solo per curiosità. Sono adatte a macchine virtuali , ambienti di test e container, dove compattezza e avvio rapido sono essenziali. Nel 2015, Microsoft aveva già tentato di creare una versione ufficiale e leggera: Windows Server Nano, che occupava circa 400 megabyte. L’azienda lo ha poi sostituito con il container base Nano Server Base, che pesava meno di 300 megabyte. Si avviava più velocemente, ma era troppo limitato nelle funzionalità e inadatto per attività che richiedevano un set completo di interfacce e API.

Oggi, sviluppatori come NTDEV e il loro progetto Tiny11 continuano a sviluppare in modo indipendente l’idea di un Windows compatto. Microsoft, nel frattempo, aggiunge più servizi integrati e componenti ausiliari a ogni nuova versione, rendendo il sistema sempre più pesante. Pertanto, progetti come Windows 7 da 69 MB servono da promemoria: è possibile realizzare un sistema leggero e veloce, ma a Redmond non è ancora possibile.

Sebbene Windows 7 sia obsoleto da tempo e non riceva aggiornamenti di sicurezza, questo set minimo di file può essere utile per eseguire programmi più datati che non richiedono un’installazione completa del sistema. E per chi cerca qualcosa da fare durante un piovoso weekend nel Regno Unito, tentare di battere il record di @XenoPanther sembra un bel modo di trascorrere una serata.

L'articolo Windows 7 ridotto a 69 MB: l’impresa dei minimalisti proviene da Red Hot Cyber.

Before a spectrometer can do any useful work, it needs to be calibrated to identify wavelengths correctly. This is usually done by detecting several characteristic peaks or dips in a well-known light source and using these as a reference to identify other wavelengths. The most common reference for hobbyists is the pair of peaks produced by a mercury-vapor fluorescent light, but a more versatile option is a xenon-bulb light source, such as [Markus Bindhammer] made in his latest video.

A xenon gas discharge produces a wide band of wavelengths, which makes it a useful illumination source for absorbance spectroscopy. Even better, Xenon also has several characteristic spikes in the infrared region. For his light source, [Markus] used an H7 xenon bulb meant for a vehicle headlight. The bulb sits in the center of the source, with a concave mirror behind it and a pair of converging lenses in front of it. The converging lenses focus the light onto the end of an optical cable made of PMMA to better transmit UV. A few aluminum brackets hold all the parts in place. The concave mirror is made out of a cut-open section of aluminum pipe. The entire setup is mounted inside an aluminum case, with a fan on one end for cooling. To keep stray light out of the case, a light trap covers the fan’s outlet.

[Markus] hadn’t yet tested the light source with his unique spectrometer, but it looks as though it should work nicely. We’ve seen a wide variety of amateur spectrometers here, but it’s also illuminating to take a look at commercial scientific light sources.

youtube.com/embed/eoKuQDhld10?…

hackaday.com/2025/11/02/buildi…

noblogo.org/transit/un-ponte-s…

Transit

2025-11-01 15:53:50

Un ponte sul mare dei conti.

(174)

Il dibattito sul ponte sullo stretto di Messina di questi giorni va oltre la politica. I rilievi della Corte dei conti non sono un atto di ostruzionismo, ma l’esercizio di una funzione di garanzia che tutela la legalità, la trasparenza e la corretta gestione delle risorse pubbliche. In un sistema democratico equilibrato, il controllo non è un freno, ma uno strumento di responsabilità.

Il progetto del ponte muove circa 14 miliardi di euro, coinvolge interessi strategici e incide sull’ambiente, sull’economia e sulla coesione territoriale. È naturale, e necessario, che la Corte chieda chiarezza su piani finanziari, sostenibilità economica e conformità giuridica degli atti, per assicurare che ogni fase rispetti le norme sui contratti pubblici e sulla spesa dello Stato.

Nel caso del governo Meloni, la spinta verso una realizzazione rapida dell’opera è ovvia: il ponte è diventato un simbolo politico, un progetto identitario che promette infrastrutture e sviluppo. Tuttavia, l’urgenza non può sostituire la trasparenza né giustificare forzature amministrative. Il ruolo della Corte è proprio quello di ricordare che una grande opera vive solo se fondata su basi legali solide e su una gestione finanziaria sostenibile.

Parlare di “attacco” o “ostacolo” da parte della Corte significa travisare la sua missione costituzionale. La funzione di controllo serve a rafforzare la credibilità dell’azione di governo, non a limitarla. In un periodo in cui il debito pubblico pesa e i margini di spesa sono stretti, è fondamentale che ogni euro investito sia tracciabile e coerente con i vincoli di legge.

La correttezza dei rilievi contabili sta nel richiamare l’attenzione su elementi tecnici che non possono essere ignorati: la revisione dei contratti con i concessionari, la copertura finanziaria pluriennale, la valutazione dei rischi ambientali e la trasparenza delle gare. Sono queste le condizioni per evitare arbitrio, sprechi o contenziosi futuri che rallenterebbero ulteriormente i lavori. La vera modernizzazione non è solo costruire infrastrutture, ma farlo rispettando le regole e garantendo che la spesa pubblica sia un investimento per tutti, non un rischio collettivo.

Ora serve che il governo Meloni abbandoni la retorica distrattiva. Se davvero la priorità è costruire il futuro dell’Italia, si dimostri di saperlo fare passando dal rispetto delle leggi e dall’ascolto delle istituzioni di controllo. Solo così questa opera potrà essere il simbolo di un paese credibile, non di una stagione di scorciatoie, e non divenire l’ennesimo fallimento di un esecutivo che, per ora, non ha portato a casa quasi nulla.

#Blog #PonteSulloStretto #GovernoMeloni #Opinioni #Italia #Politica

Mastodon: @alda7069@mastodon.unoTelegram: t.me/transitblogFriendica: @danmatt@poliverso.orgBio Site (tutto in un posto solo, diamine): bio.site/danielemattioli

Gli scritti sono tutelati da “Creative Commons” (qui)

Tutte le opinioni qui riportate sono da considerarsi personali. Per eventuali problemi riscontrati con i testi, si prega di scrivere a: corubomatt@gmail.com

Transit

Il blog di Alessandra Corubolo & Daniele Mattioli. On line -in varie forme- dal 2005.

^Telegram

Conoscete la storia dell’elefante Don Diego?

Venite a scoprirla il 12 novembre alla Biblioteca Universitaria Alessandrina!
Verrà presentato il volume “Don Diego alla corte roveresca di Casteldurante: l’Historia naturale dell’elefante” di Antonella Attanasio.

Primo dei “Quaderni” della collana “Immaginare i Saperi” per De Luca Editori d’Arte

Interventi di:
Daniela Fugaro, direttrice della Biblioteca Universitaria Alessandrina

Massimo Moretti, Sapienza Università di Roma

Lucia Tomasi Tongiorgi, Accademia Nazionale dei Lincei

Antonella Sbrilli, Sapienza Università di Roma

Ore 17.00 Sala Bio Bibliografica
Biblioteca Universitaria Alessandrina
Palazzo del Rettorato della Sapienza
Piazzale Aldo Moro, 5

.
.
.
#immaginareisaperi#bibliotecauniversitariaalessandrina#sapienzauniversitàdiroma

@delucaeditori@massimo_.moretti@antonellattanasio@diconodioggi@storiadellarterivista@bibliotecaalessandrina

alessandrina.cultura.gov.it/pr…

Dear Friend of Press Freedom,

It’s been 220 days since Rümeysa Öztürk was arrested for co-writing an op-ed the government didn’t like. Read on for news from California, Washington D.C. and Maryland as the government shutdown drags on.

Public records are for the public

When Wired made public records-based stories free, subscriptions went up.

When 404 Media published reporting that relied on the Freedom of Information Act without a paywall, new sources came forward.

Freedom of the Press Foundation (FPF) spoke to Wired Global Editorial Director and FPF board member Katie Drummond, and 404 Media co-founder Joseph Cox about why giving the public access to public records reporting is good for journalism — and for business. Read more here.

Shutting down the government doesn’t shut down the First Amendment

It’s absurd and unconstitutional to exclude reporters from immigration hearings unless they get government permission to attend, especially when it’s impossible to obtain permission due to the government shutdown, and particularly when the current government despises First Amendment freedoms and will use any opportunity to evade transparency.

And yet that’s exactly what an immigration court in Maryland did this week. We wrote a detailed letter to the top judge at the courthouse explaining why they need to reverse course, both to comply with the law and for the sake of democracy. The next day, Capital News Service reported that the court had backed down and lifted the ban. Read the letter here.

No secret police in LA

Award-winning journalist Cerise Castle sued Los Angeles County in July and obtained a court order for the department to release the sheriff’s deputy ID photographs.

But now the county is appealing. Its objection to allowing the public to identify law enforcement officers is especially striking when Angelenos and others across the country are outraged by unidentified, masked federal immigration officers abducting their neighbors. It also comes on the heels of the city of Los Angeles embarrassing itself with its failed effort to sue a journalist for publishing officer photographs.

We connected with Castle’s lawyer, Susan Seager, to try to figure out what the department is thinking. Read more here.

Top three questions about the White House ballroom

FPF’s Daniel Ellsberg Chair on Government Secrecy Lauren Harper has lots of questions about the demolition of a section of the White House to construct a ballroom.

She wrote about three of them for our government secrecy site, The Classifieds: (1) Is there a budget? (2) Who are the donors, and what do they get in return? and (3) Where should we look for answers about what’s going on at the East Wing? Read more here.

What we’re reading

U.S. assessment of Israeli shooting of journalist divided American officials (The New York Times). A retired U.S. colonel has gone public with his concern that the Biden administration’s findings about the 2022 killing of Palestinian-American journalist Shireen Abu Akleh by the Israeli military were “soft-pedaled to appease Israel.” There has been “a miscarriage of justice,” he says.

ICE detains British journalist after criticism of Israel on US tour (The Guardian). The detention of Sami Hamdi by U.S. Immigration and Customs Enforcement solely for his views while on a speaking tour in the U.S. is a blatant assault on free speech. These are the tactics of the thought police.

Trump and Leavitt watch with glee as the press is crumbling (Salon). “As the press becomes more subservient and less independent, the firsthand knowledge needed to even stage a fight to get our mojo back is a whisper in the ether,” writes Brian Karem. That’s why veteran journalists who know how abnormal this all is need to be extra vocal these days.

Atlanta journalist says he ‘won’t be the only’ one deported by Trump officials (The Guardian). “It’s not the way I wanted to come back to my country – deported like a criminal,” journalist Mario Guevara told Briana Erickson of FPF’s U.S. Press Freedom Tracker from El Salvador. Read The Guardian’s story, based on reporting by the Tracker.

One third of all journalists are creator journalists, new report finds (Poynter). It’s no time for gatekeeping. There aren’t enough traditional J-School trained journalists to adequately document every ICE abduction – let alone everything else going on. We appreciate everyone who is exercising their press freedom rights, no matter how they’re categorized.

RSVP

freedom.press/issues/public-re…