Rischi concreti

Negli ultimi mesi diversi episodi hanno dimostrato quanto il problema sia concreto. Uno dei casi più recenti ha riguardato l’Università La Sapienza di Roma, vittima di un attacco ransomware che ha bloccato i sistemi interni per tre giorni. Il ransomware è un tipo di malware – cioè un software malevolo – che blocca l’accesso ai dati o ai computer di un’organizzazione chiedendo un riscatto per ripristinarli. In pratica è come se qualcuno chiudesse a chiave tutti gli uffici digitali di un’università e chiedesse denaro per restituire le chiavi.

Secondo alcune ricostruzioni, gli aggressori avrebbero inviato un link contenente la richiesta di pagamento. Una volta aperto, compariva un conto alla rovescia di 72 ore entro cui soddisfare le loro condizioni. Poche settimane prima, anche un centro di formazione professionale di Treviso era stato colpito da un attacco simile, con conseguente blocco delle attività didattiche e amministrative.

Episodi non isolati

Oggi scuole e atenei utilizzano un numero crescente di strumenti digitali: piattaforme di didattica a distanza, sistemi di ammissione online, portali interni, servizi cloud per condividere materiali e posta elettronica istituzionale. Ogni nuovo servizio, tuttavia, rappresenta anche un possibile punto di ingresso per un attacco.

Secondo i dati raccolti da Kaspersky, nel 2025 l’11,91% degli utenti del settore education in Italia ha incontrato minacce provenienti dal web, mentre il 10,30% ha subito attacchi direttamente sui dispositivi. In altre parole, circa un utente su dieci ha avuto a che fare con software malevoli o tentativi di intrusione.

Tra le tecniche più utilizzate dai criminali informatici c’è il phishing. Si tratta di e-mail o messaggi che sembrano provenire da fonti affidabili – ad esempio dal dirigente scolastico o dall’amministrazione – ma che in realtà servono a rubare password o a far installare malware. Un esempio tipico: un messaggio che invita a “scaricare urgentemente un documento” o ad aggiornare le proprie credenziali. Basta un clic sbagliato per compromettere un account o un computer.

Anche alcune abitudini quotidiane possono aumentare i rischi. In molte scuole, per esempio, gli studenti scambiano ancora file tramite chiavette USB. Se una di queste contiene un programma infetto, il malware può diffondersi rapidamente nei computer della rete scolastica.

Per ridurre questi pericoli, gli esperti sottolineano la necessità di adottare un approccio più strutturato alla sicurezza informatica. Non basta installare un antivirus: servono strumenti aggiornati, backup dei dati, sistemi di protezione contro il ransomware e, soprattutto, formazione per docenti e personale amministrativo.

La sfida è particolarmente complessa per le scuole, che spesso non dispongono di team IT dedicati. Per questo molte soluzioni di sicurezza puntano oggi su sistemi semplici da gestire e centralizzati, in grado di proteggere automaticamente computer, account e dati sensibili degli studenti.

*Illustrazione progettata da Kaspersky

Il tema di quest’anno è «Privacy senza Garante o Garante senza Privacy?», una provocazione che invita a riflettere sul ruolo reale delle autorità di controllo e sull’efficacia della tutela della privacy in un contesto in cui tra banner di consenso, tracciamento diffuso e burocrazia normativa la protezione dei cittadini sembra spesso più formale che sostanziale.

Come da tradizione, il programma nasce anche dalle proposte della community. La call for speech è aperta, ma mancano pochi giorni alla chiusura.

Avete sviluppato uno strumento interessante? State lavorando su sicurezza, anonimato, analisi di sistemi di sorveglianza, crittografia o tecnologie che impattano la privacy? Oppure avete una ricerca, un progetto o anche una provocazione ben documentata da condividere?

Se siete lettori di Hacker Journal, probabilmente avete qualcosa di interessante da raccontare. Fatevi avanti e proponete uno speech.

Tutte le informazioni per partecipare sono qui:
https://e-privacy.winstonsmith.org/

Analisi in dettaglio

Le attività sospette sono state individuate dal servizio di monitoraggio Barracuda Managed XDR, una piattaforma di sicurezza progettata per rilevare e bloccare minacce informatiche in tempo reale. Secondo l’analisi, le versioni pirata di software spesso nascondono codici malevoli che possono portare a problemi seri per le aziende: infezioni da malware, furto di credenziali, installazione di cryptominer (programmi che sfruttano il computer per generare criptovalute), fino ad arrivare a violazioni più gravi come gli attacchi ransomware.

Uno dei principali problemi è che i software pirata non ricevono aggiornamenti ufficiali. Questo significa che eventuali vulnerabilità restano aperte e possono essere sfruttate dai criminali informatici. In pratica, installare una versione illegale di un programma equivale spesso a lasciare una porta socchiusa nel sistema aziendale.

L’indagine di Barracuda ha identificato diversi segnali che possono indicare la presenza di software pirata nei computer aziendali. Tra questi la comparsa di file eseguibili sospetti con nomi generici come activate.exe, activate.x86.exe o activate.x64.exe. Si tratta di nomi scelti proprio per sembrare innocui e non attirare l’attenzione degli utenti o dei sistemi di sicurezza.

Un altro indicatore riguarda la posizione dei file. Spesso questi programmi vengono salvati in cartelle facilmente accessibili, come la cartella Download, e vengono avviati manualmente subito dopo un’attività nel browser, ad esempio dopo aver visitato un sito da cui scaricare software pirata. In molti casi i file sono contenuti in archivi ZIP protetti da password e accompagnati da istruzioni su come “attivare” il programma.

A differenza di molte infezioni malware automatiche, infatti, il software craccato richiede quasi sempre un intervento diretto dell’utente per essere installato e attivato. Questo rende il comportamento dell’utente stesso uno degli indicatori più evidenti di rischio.

Fortunatamente, nei casi analizzati il Security Operations Center di Barracuda è riuscito a neutralizzare le attività sospette prima che i software malevoli riuscissero a stabilirsi nei sistemi aziendali.

“I dipendenti che scaricano software gratuiti di dubbia provenienza o senza licenza sui dispositivi aziendali rappresentano un rischio significativo per la sicurezza”, ha spiegato Laila Mubashar, Senior Cybersecurity Analyst di Barracuda. Secondo l’esperta, le organizzazioni devono adottare misure di protezione più rigorose, che includano controlli sulle installazioni di software, limitazioni ai privilegi di amministratore e programmi di formazione per sensibilizzare gli utenti.

Tra le raccomandazioni principali ci sono il blocco in tempo reale dei file eseguibili non autorizzati, il monitoraggio delle cartelle più utilizzate per i download e l’adozione di politiche aziendali chiare sull’uso dei software.

Leggi anche: “Quando il pericolo non si vede“

*Illustrazione progettata da Barracuda

I rischi

Una delle vulnerabilità citate, identificata come CVE-2023-32434, permette agli hacker di prendere il controllo del “kernel” di iOS. Il kernel è il cuore del sistema operativo: è la parte che gestisce tutte le funzioni del telefono, dalla memoria alle applicazioni. Per capire l’importanza di questo livello, si può pensare al kernel come al motore di un’auto: se qualcuno ne prende il controllo, può comandare tutto il veicolo. La seconda vulnerabilità, CVE-2023-38606, è ancora più particolare. Questo difetto sfrutta una caratteristica dei chip Apple che in precedenza non era stata documentata pubblicamente. In pratica consente agli attaccanti di aggirare alcune protezioni che operano direttamente a livello hardware, cioè all’interno dei componenti fisici del dispositivo. Nonostante queste somiglianze, gli esperti invitano alla cautela: il fatto che Coruna utilizzi le stesse vulnerabilità non significa necessariamente che sia stato creato dagli stessi autori di Operation Triangulation. Oggi, infatti, i dettagli tecnici di questi difetti sono disponibili pubblicamente e diversi gruppi con le giuste competenze potrebbero sviluppare strumenti simili senza aver mai visto il codice originale.

Spyware complesso

Un altro aspetto emerso dalle analisi riguarda la complessità dello spyware. Coruna non si limita a due exploit: secondo i ricercatori contiene ben 23 tecniche di attacco distribuite in cinque diverse catene di compromissione. Le vulnerabilità già note rappresenterebbero quindi solo una piccola parte dell’intero toolkit. C’è però anche una buona notizia. Apple ha corretto questi difetti con aggiornamenti di sicurezza che sono stati estesi fino alla versione iOS 15.7.x. Il problema, come spesso accade, è che molti utenti non installano subito gli aggiornamenti. Questo significa che dispositivi non aggiornati potrebbero rimanere vulnerabili.

Leggi anche: “Truffa cripto via Google“

Come funziona?

Il principio è relativamente semplice: il corpo umano, composto in gran parte da acqua, riflette e assorbe le onde elettromagnetiche. Quando una persona si muove in una stanza coperta dal Wi-Fi, altera leggermente il segnale tra router e dispositivi collegati. Queste micro-variazioni, normalmente invisibili all’utente, possono essere misurate attraverso parametri tecnici come il CSI (Channel State Information), che descrive in modo dettagliato come il segnale si propaga nello spazio.

Grazie a modelli matematici e algoritmi di intelligenza artificiale, i ricercatori riescono a trasformare queste variazioni in informazioni concrete: spostamenti, postura, direzione del movimento e, in alcuni casi, perfino la respirazione. Non si tratta di fantascienza, ma di un’evoluzione delle tecniche di radio sensing già studiate in ambito accademico.

Le prime applicazioni previste sono positive: monitoraggio sanitario non invasivo, rilevamento di cadute per anziani, sistemi antifurto senza telecamere, controllo di accessi in ambienti sensibili. Un sistema di questo tipo potrebbe, ad esempio, inviare un alert se rileva un movimento anomalo in un ufficio chiuso o se identifica una caduta improvvisa in casa, senza bisogno di installare sensori indossabili o videocamere.

Dal punto di vista tecnico, questi sistemi richiedono hardware Wi-Fi compatibile con la raccolta di dati CSI e software in grado di analizzare grandi quantità di segnali in tempo reale. Non tutti i router domestici supportano nativamente queste funzionalità, ma molti chipset moderni lo consentono tramite firmware modificati o strumenti di ricerca. Questo significa che, almeno teoricamente, la barriera tecnologica non è insormontabile.

I rischi

Ed è proprio qui che entra in gioco il tema della sicurezza informatica e della privacy. Se il Wi-Fi può essere trasformato in un “sensore ambientale invisibile”, il rischio è che venga utilizzato anche per attività di sorveglianza non autorizzata. A differenza delle telecamere, questo tipo di monitoraggio non è percepibile a occhio nudo: non c’è un obiettivo da coprire o un LED acceso che segnali la registrazione. In ambito aziendale o pubblico, la possibilità di tracciare la presenza delle persone senza consenso esplicito solleva interrogativi etici e legali rilevanti. Serviranno norme chiare per stabilire chi può raccogliere questi dati, con quali finalità e per quanto tempo conservarli.

La ricerca dimostra che la tecnologia è concreta e tecnicamente fattibile. Il passo successivo non sarà solo tecnologico, ma normativo: trovare un equilibrio tra innovazione, sicurezza e tutela della privacy. Per i professionisti della cybersecurity, questo scenario apre un nuovo fronte di attenzione, dove il perimetro di difesa non riguarda più soltanto i dati digitali, ma anche la nostra stessa presenza fisica negli spazi connessi.

*Illustrazione progettata da Freepik

Advanced Persistent

Partiamo dal rapporto intitolato Advanced Persistent Bots 2025 di F5 Labs che ha messo in evidenza come i bot abbiano raggiunto un livello di sofisticazione tale da eludere molte delle soluzioni consolidate.
Non si tratta più di attacchi rumorosi o immediatamente riconoscibili: i bot agiscono con continuità, adottano comportamenti plausibili e operano a un livello di astrazione che rende inefficaci controlli come CAPTCHA o blocchi IP.

Il grafico mostra la distribuzione del traffico bot non autorizzato suddiviso per livello di sofisticazione, con distinzione tra ambiente web e mobile. Fonte

Credential stuffing

Uno degli scenari più ricorrenti è il credential stuffing, la pratica che sfrutta combinazioni di username e password sottratte in precedenti violazioni di dati. L’abitudine, radicata negli utenti, di riutilizzare le stesse password su più piattaforme trasforma queste credenziali in un passepartout per accedere a servizi differenti. Gli aggressori utilizzano botnet automatizzate per tentare migliaia di accessi simultanei. Anche se la percentuale di successo è ridotta, il volume dei tentativi rende l’attacco estremamente redditizio. Episodi noti, come la compromissione di migliaia di account PayPal o la recente esposizione dei dati sensibili dei clienti dell’azienda 23andMe, mostrano la portata del fenomeno. In quest’ultimo caso, i profili violati sono stati messi in vendita nel dark web con un valore che cresceva proporzionalmente al numero di account inclusi. L’impiego di soluzioni come l’autenticazione multifattore (MFA) rappresenta un passo avanti, ma non risolve il problema. Nuove tecniche come i proxy di phishing in tempo reale intercettano e replicano le sessioni degli utenti, bypassando i meccanismi di protezione. Per questo le aziende devono puntare su sistemi di rilevamento comportamentale, capaci di distinguere l’attività legittima da quella automatizzata
attraverso l’analisi di variabili come la provenienza del traffico, la velocità di digitazione o la coerenza delle sessioni.

Settore Hospitality

Un altro terreno colpito è quello dell’ospitalità e della vendita al dettaglio, dove si registra un aumento costante di attacchi ai sistemi di pagamento e ai programmi fedeltà. Secondo i dati riportati nel rapporto F5, l’attività dei bot in questo settore è cresciuta in alcuni casi di oltre tre volte rispetto all’anno precedente. Due tecniche risultano prevalenti: il carding e gli attacchi alle gift card. Il carding sfrutta i bot per testare grandi quantità di numeri di carte di pagamento rubate, verificandone la validità attraverso moduli di checkout o API dedicate. I bot specializzati sulle gift card, invece, prendono di mira i sistemi fedeltà, monitorando i saldi, riscattando premi o trasferendo punti con modalità fraudolente. Il valore economico di queste risorse digitali, facilmente convertibili in denaro o beni, rende l’hospitality un bersaglio privilegiato. I criminali sfruttano pattern prevedibili, come codici sequenziali nelle carte regalo, e la mancanza di controlli avanzati. Per difendersi, le aziende devono affiancare ai sistemi antifrode tradizionali strumenti specifici per la mitigazione del traffico automatizzato, con controlli granulari sulle transazioni e analisi dei comportamenti anomali.

Schema architetturale di una rete proxy residenziale: i bot malevoli utilizzano servizi di autenticazione e instradamento per mascherare il traffico attraverso nodi di gestione. Fonte

Tecniche di evasione

Uno dei motivi principali per cui i bot risultano così difficili da bloccare è la loro capacità di aggirare i meccanismi difensivi più diffusi. I CAPTCHA, un tempo barriera efficace, oggi possono essere risolti in pochi secondi grazie a piattaforme che impiegano persone reali – le cosiddette click farm – a un costo irrisorio per i cybercriminali. Parallelamente, l’uso dei proxy residenziali ha reso il traffico dei bot quasi indistinguibile da quello degli utenti legittimi. Queste reti sfruttano dispositivi compromessi per mascherare l’origine del traffico, generando indirizzi IP apparentemente comuni e non riconducibili a data center sospetti. Aziende come Okta hanno segnalato campagne di credential stuffing di scala massiva proprio grazie a queste infrastrutture di evasione. Contrastare simili tattiche richiede soluzioni che vadano oltre la semplice analisi dell’IP o la verifica dei CAPTCHA. Occorrono strumenti basati su intelligenza artificiale e machine learning, capaci di correlare dati, rilevare anomalie e costruire profili di rischio dinamici per ogni interazione.

La gestione del rischio

La difesa dai bot non può limitarsi a un approccio reattivo. Ogni organizzazione deve valutare il proprio livello di esposizione e determinare il grado di rischio tollerabile. L’obiettivo deve essere un bilanciamento intelligente: ridurre al minimo le attività malevole, preservando le automatizzazioni necessarie. La risposta più efficace è una strategia multilivello, che integri tecniche di rilevamento avanzato, controlli di accesso adattivi e monitoraggio continuo del comportamento degli utenti. L’approccio DevSecOps, che incorpora la sicurezza fin dalle prime fasi di sviluppo delle applicazioni, diventa un tassello fondamentale per anticipare le mosse dei bot e ridurre la superficie d’attacco.

Minaccia strutturale

Riassumendo, il quadro delineato dal rapporto F5 Labs dimostra che i bot non sono un fenomeno episodico, ma una minaccia strutturale e persistente. La loro capacità di mimetizzarsi, adattarsi ed evolversi impone un cambio di mentalità nella gestione della sicurezza. Non basta più ragionare in termini di barriere statiche: serve una resilienza
dinamica, in cui l’analisi dei dati, l’automazione difensiva e il monitoraggio continuo lavorino in sinergia.

Cos’è un canale C2 e perché è importante

Quando un malware infetta un dispositivo, spesso ha bisogno di comunicare con chi lo controlla: ricevere istruzioni, inviare dati rubati, aggiornarsi. Questo collegamento si chiama canale di comando e controllo. Tradizionalmente avviene tramite server controllati dai criminali informatici.

Per evitare di essere scoperti, però, gli attaccanti da tempo nascondono queste comunicazioni dentro servizi legittimi come email o piattaforme cloud. Il traffico appare “normale” e diventa più difficile da bloccare.

La novità ipotizzata da Check Point è un passo oltre: usare un assistente IA come ponte. Il malware potrebbe chiedere all’IA di visitare un determinato sito Web e riassumerne il contenuto. In quel contenuto, però, sarebbero nascosti comandi o dati. Così il computer infetto non si collegherebbe mai direttamente al server malevolo: a farlo sarebbe l’assistente IA.

Flusso per l’utilizzo di un malware in una chat IA per comunicare con un server C2

Vediamo un esempio concreto

Immaginiamo un dipendente che utilizza un assistente IA per lavorare. Se un malware fosse presente sul suo PC, potrebbe sfruttare quell’assistente per “chiedere” di recuperare informazioni da uno specifico indirizzo Web controllato dall’attaccante. L’IA accede al sito, legge il contenuto e lo restituisce sotto forma di testo. In mezzo a quel testo, il malware trova le istruzioni da eseguire. Dal punto di vista della rete aziendale, sembrerebbe solo una normale richiesta a un servizio IA. Nessun contatto diretto con infrastrutture sospette.

I ricercatori hanno dimostrato la fattibilità di questo scenario in un ambiente controllato, coinvolgendo piattaforme come Microsoft Copilot e Grok, entrambe dotate di accesso al Web. Dopo la segnalazione responsabile, Microsoft ha confermato le osservazioni e introdotto modifiche per limitare il comportamento nel flusso di recupero web di Copilot.

Dal malware “statico” al malware che decide

La ricerca evidenzia anche un cambiamento più ampio. Finora l’IA è stata usata dai criminali soprattutto per scrivere codice malevolo o creare email di phishing più convincenti. In questo nuovo scenario, invece, l’IA diventerebbe parte attiva dell’operazione.

Un malware potrebbe raccogliere informazioni sull’ambiente in cui si trova – tipo di azienda, software installati, ruolo dell’utente – e chiedere all’IA come comportarsi: colpire subito? Restare in silenzio? Puntare solo a determinati file? È un po’ come se il virus chiedesse consiglio a un “consulente esterno” prima di agire.

Questo renderebbe gli attacchi più mirati e meno rumorosi. Per esempio, invece di cifrare tutti i file come fanno molti ransomware, un attacco guidato dall’IA potrebbe selezionare solo i documenti più critici, riducendo i segnali di allarme.

*Illustrazione progettata da Freepik

La falla, identificata come CVE-2026-3102, riguarda le versioni fino alla 13.49 di ExifTool ed è stata corretta con il rilascio della versione 13.50, disponibile dal 7 febbraio. Ma cosa significa, in concreto?

Cos’è ExifTool e perché è così usato

ExifTool è un programma gratuito che consente di analizzare i “metadati” dei file, ovvero quelle informazioni nascoste che accompagnano un contenuto digitale. Per esempio, una fotografia può contenere la data e l’ora dello scatto, il modello della fotocamera, talvolta perfino il luogo in cui è stata scattata. Professionisti della comunicazione, fotografi, investigatori digitali e analisti OSINT (Open Source Intelligence) lo utilizzano ogni giorno per estrarre o confrontare questi dati.

Proprio perché è integrato in molti flussi di lavoro automatizzati – come script che analizzano centinaia di immagini in pochi secondi – ExifTool è diventato un tassello chiave in numerosi ambienti professionali.

Il problema: “command injection”

La vulnerabilità scoperta dal Global Research and Analysis Team (GReAT) di Kaspersky è di tipo “command injection”. In parole semplici, significa che un aggressore può nascondere un comando dannoso all’interno dei metadati di un’immagine PNG appositamente creata. Quando ExifTool legge quel file, invece di limitarsi a estrarre informazioni, finisce per eseguire anche il comando nascosto. È un po’ come se, aprendo una busta per leggere una lettera, scattasse automaticamente un meccanismo invisibile che avvia un’azione non desiderata.

Secondo i ricercatori, l’exploit è a bassa complessità: bastano due comandi da terminale, uno per generare l’immagine malevola e un altro per attivare l’esecuzione sul sistema bersaglio. Una volta compromesso il computer, l’attaccante potrebbe scaricare ulteriore malware oppure accedere a file sensibili archiviati sulla macchina, incluse immagini e documenti PDF.

Chi deve preoccuparsi?

Il rischio riguarda in particolare gli utenti macOS che utilizzano ExifTool in versione non aggiornata, soprattutto in ambienti professionali o in pipeline automatizzate. Chi gestisce grandi archivi fotografici, lavora nell’analisi forense digitale o integra ExifTool in script personalizzati dovrebbe verificare immediatamente quale versione è in uso.

Gli esperti raccomandano di aggiornare subito alla versione 13.50 o successive, evitare di elaborare file provenienti da fonti non attendibili con versioni obsolete e controllare attentamente gli script automatizzati che richiamano il programma.

*Illustrazione progettata da Freepik

Il punto debole? Identità e accessi

Gli attaccanti oggi puntano soprattutto agli account utente. Tra le minacce più rilevate ci sono accessi “anomali” a Microsoft 365: login da Paesi insoliti, in orari improbabili o addirittura casi di “impossible travel”, quando un utente risulta connesso da due continenti nel giro di pochi minuti. È un po’ come timbrare il cartellino a Milano e, cinque minuti dopo, a Tokyo: impossibile, a meno che qualcuno non abbia rubato le credenziali.

Una volta dentro, i criminali cercano di aumentare i propri privilegi, cioè ottenere poteri da amministratore. In pratica, passano da semplice “ospite” a “direttore” del sistema. Il 42% dei tentativi di escalation riguarda l’aggiunta di utenti a gruppi con diritti elevati su Windows, mentre nel 16% dei casi viene creato un nuovo amministratore globale su Microsoft 365. Con questi poteri, possono disattivare difese, muoversi nella rete e distribuire ransomware.

Ransomware sempre più rapido

Il ransomware resta la minaccia più temuta. Nel 2025 tra il 5% e l’11% delle organizzazioni monitorate ogni mese ha subito un impatto. In alcuni casi l’attacco è stato fulmineo: appena tre ore dal primo accesso alla cifratura dei dati. Il 90% degli incidenti ransomware ha sfruttato vulnerabilità nei firewall, mentre il 96% dei casi con “movimento laterale” – cioè lo spostamento dell’attaccante da un computer all’altro all’interno della rete – si è concluso con la cifratura dei sistemi. Tra i gruppi più attivi figurano Akira, Qilin, RansomHub e Cactus. Molti adottano la “doppia estorsione”: non solo bloccano i file, ma minacciano di pubblicare i dati rubati.

Vulnerabilità vecchie di 13 anni

Uno dei dati più sorprendenti riguarda le falle software. La vulnerabilità più diffusa è la CVE-2013-2566, legata all’uso dell’algoritmo RC4, considerato insicuro da anni. È come lasciare una porta con una serratura superata che i ladri sanno già scassinare. In totale sono state identificate 2.525 vulnerabilità uniche; l’11% ha un exploit pubblico, cioè uno “strumento” già pronto all’uso per colpire i sistemi non aggiornati. Colpisce anche il numero di configurazioni deboli: certificati digitali non affidabili, versioni obsolete del protocollo TLS (che protegge le comunicazioni web), e server configurati con metodi di cifratura superati.

Strumenti disattivati e dispositivi fantasma

Nel 100% degli incidenti analizzati era presente almeno un dispositivo non protetto o “rogue”, cioè non gestito ufficialmente dall’IT. Inoltre, nel 94% dei casi di funzionalità di sicurezza disabilitate risultava spento l’agente di protezione sugli endpoint. È come installare un allarme e poi dimenticarsi di attivarlo. Preoccupa anche la supply chain: il 66% degli incidenti ha coinvolto fornitori o terze parti. Account dimenticati, VPN lasciate aperte e accessi non revocati diventano porte secondarie perfette per gli attaccanti.

La sfida dell’IA

Il report avverte che gli aggressori stanno iniziando a usare intelligenza artificiale “agentica”, capace di automatizzare la ricerca di vulnerabilità e adattare gli attacchi in tempo reale. Per difendersi, secondo Barracuda, servono piattaforme integrate, autenticazione multifattore sempre attiva, patch tempestive e formazione continua dei dipendenti.

Leggi anche: “Phishing e IA alimentano i ransomware“

Cosa fare per segnalare correttamente

Se segnalate problemi, fermatevi un attimo prima di premere “Submit”. Usare l’IA per scansionare codice e “trovare vulnerabilità” oggi è una scorciatoia che può portare fuori strada. Non perché l’idea sia malvagia, ma perché questi strumenti non sempre capiscono davvero il codice. Una vulnerabilità non è una stringa sospetta: è una combinazione di logica, uso reale e assunzioni umane. Se volete fare scanning su larga scala, la prima regola è semplice: l’IA non può avere l’ultima parola. Ogni report deve essere letto, capito e validato da una persona, quindi da voi. Quel tempov va pagato da voi, non scaricato sui maintainer. Aprire decine di issue tutte insieme “per vedere cosa succede” non è sperimentazione ma è scaricare costi su volontari. E soprattutto: presentatevi con qualcosa di concreto. Un report accompagnato da una patch cambia molto la conversazione. State dicendo: “ho fatto parte del lavoro”, non “ora tocca a voi”.

Il repo di curl è stato preso di mira da migliaia di issue generate dall’IA, al punto che l’evento è stato sostanzialmente considerato un DDoS

Come difendervi se siete maintainer

Una delle trappole più comuni è sentirsi obbligati a rispondere con cura a qualsiasi segnalazione, ma se qualcuno vi dedica zero attenzione, potete legittimamente fare lo stesso. Davanti a un report che “puzza” di IA, la strategia più efficace è una risposta corta e neutra: dichiarate il sospetto, chiedete più giustificazioni e chiudete. Se dall’altra parte c’è una persona reale e competente, tornerà con spiegazioni migliori. In quel caso avrete perso poco tempo e guadagnato una segnalazione forse valida. Se non risponde nessuno, avete filtrato rumore con uno sforzo minimo. Quando siete indecisi, ricordatevi che non siete soli. Chiedere un secondo parere a qualcuno di fiducia nella community non è una debolezza, è una difesa collettiva. E fate attenzione a un dettaglio ricorrente nei report di bassa qualità: spesso il problema non è nel vostro progetto, ma nel codice di esempio fornito dal reporter, che usa la libreria in modo insicuro e poi attribuisce la colpa a voi.

Le piattaforme possono aiutare, ma non basta

Rate limit, CAPTCHA, meno incentivi “gamificati” alle segnalazioni: sono tutte misure sensate. Ma da sole non risolvono il problema. L’IA abbassa il costo di produrre rumore, e nessun filtro tecnico sarà mai perfetto. La vera differenza la fanno le norme non scritte della comunità: cosa considerate accettabile, cosa ignorate senza rimorsi, cosa premiate con attenzione. Se come reporter alzate l’asticella e come maintainer smettete di “educare” lo spam, il sistema inizia lentamente a riequilibrarsi.

Leggi anche: “Intelligenza Artificiale al gusto privacy“