* L'attacco: cosa sappiamo finora * 350 GB di dati: cosa è stato sottratto * La risposta di Amazon e il nodo delle responsabilità * Le prove fornite dall'hacker * Un campanello d'allarme per la cybersecurity europea
L'attacco: cosa sappiamo finora {#lattacco-cosa-sappiamo-finora}
Un attacco informatico di proporzioni rilevanti ha colpito la Commissione Europea. Stando a quanto emerge nelle ultime ore, un aggressore ancora non identificato è riuscito a ottenere accesso non autorizzato a un account Amazon Web Services (AWS) utilizzato dall'esecutivo comunitario, sottraendo oltre 350 gigabyte di dati sensibili riconducibili al dominio europa.eu.
L'intrusione, avvenuta attraverso l'infrastruttura cloud, è stata rilevata dai sistemi di sicurezza di Bruxelles. Troppo tardi, però, per impedire l'esfiltrazione del materiale. Un dettaglio che solleva interrogativi pesanti sulle procedure di monitoraggio e risposta agli incidenti adottate dalle istituzioni europee.
La Commissione ha confermato di aver avviato un'indagine interna sulla violazione. Al momento non è stato reso noto se l'attacco sia opera di un singolo individuo, di un gruppo organizzato o se possa avere matrici riconducibili ad attori statali. Chi ha familiarità con episodi simili sa bene che le modalità di attribuzione richiedono settimane, quando non mesi, di analisi forense.
350 GB di dati: cosa è stato sottratto {#350-gb-di-dati-cosa-è-stato-sottratto}
La mole di informazioni esfiltrate è impressionante. Si parla di database interni e comunicazioni email, un patrimonio informativo che potrebbe contenere dati personali di funzionari, documenti riservati legati a procedure legislative in corso e scambi diplomatici.
Trecentocinquanta gigabyte non sono un numero astratto. Per avere un ordine di grandezza, si tratta di un volume paragonabile a milioni di documenti di testo, oppure a intere caselle di posta elettronica scaricate in blocco. Se confermata nella sua interezza, questa violazione si collocherebbe tra i più gravi data breach mai subiti da un'istituzione dell'Unione Europea.
Il rischio non è soltanto reputazionale. Dati di questa natura, finiti nelle mani sbagliate, possono alimentare campagne di ricatto, operazioni di intelligence ostile o iniziative di disinformazione mirata. Un aspetto, quest'ultimo, che Bruxelles conosce bene e su cui ha investito risorse crescenti negli ultimi anni.
La risposta di Amazon e il nodo delle responsabilità {#la-risposta-di-amazon-e-il-nodo-delle-responsabilità}
Amazon ha preso rapidamente le distanze dall'incidente. In una dichiarazione ufficiale, il colosso di Seattle ha precisato che AWS non ha subito alcun evento di sicurezza diretto: l'infrastruttura cloud, in altre parole, non sarebbe stata compromessa in quanto tale.
La distinzione è tutt'altro che sottile. Nel modello di shared responsibility che governa i servizi cloud, il fornitore garantisce la sicurezza dell'infrastruttura, mentre il cliente, in questo caso la Commissione Europea, è responsabile della protezione dei propri dati, delle configurazioni di accesso e della gestione delle credenziali.
Se l'attaccante ha sfruttato credenziali rubate, una configurazione errata degli accessi o una vulnerabilità nel modo in cui l'account era gestito, la responsabilità ricadrebbe interamente sul lato dell'istituzione europea. Una circostanza che, se confermata, aprirebbe un fronte politico non indifferente: come è possibile che un'istituzione che legifera sulla protezione dei dati, dal GDPR in avanti, non sia riuscita a proteggere i propri?
Le prove fornite dall'hacker {#le-prove-fornite-dallhacker}
A rendere ancora più concreta la minaccia, l'autore dell'attacco ha diffuso screenshot presentati come prova dell'avvenuto accesso ai sistemi e ai dati sottratti. Una pratica ormai consolidata nel panorama della criminalità informatica: la pubblicazione di campioni del materiale rubato serve a dimostrare la veridicità della violazione e, spesso, a esercitare pressione sulla vittima in vista di una richiesta di riscatto o di una vendita dei dati sul _dark web_.
Gli esperti di sicurezza informatica stanno analizzando il materiale reso pubblico per verificarne l'autenticità. Se le immagini dovessero risultare genuine, la Commissione si troverebbe di fronte alla necessità non solo di contenere il danno, ma anche di notificare la violazione secondo le procedure previste dalla normativa europea in materia di protezione dei dati personali.
L'episodio ricorda, per dinamiche e gravità, quanto accaduto in Italia con gli attacchi DDoS che hanno colpito infrastrutture istituzionali, sebbene in quel caso le modalità operative fossero diverse. Il filo conduttore resta lo stesso: la crescente vulnerabilità delle istituzioni pubbliche europee di fronte a minacce cyber sempre più sofisticate.
Un campanello d'allarme per la cybersecurity europea {#un-campanello-dallarme-per-la-cybersecurity-europea}
Questo attacco arriva in un momento in cui l'Unione Europea sta cercando di rafforzare il proprio apparato di difesa digitale. La direttiva NIS2, entrata in vigore per ampliare gli obblighi di sicurezza informatica a un numero maggiore di settori e soggetti, dovrebbe rappresentare un salto di qualità nella protezione delle infrastrutture critiche. Ma se le stesse istituzioni che promuovono queste norme risultano permeabili, il messaggio che ne deriva è quantomeno contraddittorio.
L'ENISA, l'Agenzia dell'Unione Europea per la cybersicurezza, ha più volte segnalato nei suoi rapporti annuali l'aumento esponenziale degli attacchi rivolti alle istituzioni pubbliche europee. I vettori di attacco si diversificano: dal phishing mirato al _credential stuffing_, dall'exploit di vulnerabilità zero-day all'abuso di configurazioni cloud mal gestite.
La questione, ora, è duplice. Da un lato, capire con esattezza l'estensione del danno: quali dati sono stati compromessi, chi potrebbe esserne interessato, quale uso potrebbe esserne fatto. Dall'altro, trarre lezioni operative. Le istituzioni europee gestiscono una quantità enorme di informazioni sensibili, che spaziano dalle politiche commerciali alle relazioni diplomatiche, dalle procedure di infrazione agli atti legislativi in gestazione. Proteggere questo patrimonio non è un'opzione, è un obbligo.
Bruxelles dovrà fornire risposte. E dovrà farlo in fretta, perché la credibilità dell'intero impianto europeo sulla protezione dei dati, lo stesso che ha portato a contenziosi con governi nazionali su questioni legate alla libertà accademica e alla governance universitaria, passa anche dalla capacità di proteggere le proprie informazioni. Se chi scrive le regole non riesce a rispettarle, il problema è molto più grande di un singolo account AWS compromesso.