Il 31 luglio 2025 è stato pubblicato il data breach ai danni della nota azienda ACEA S.p.A. da parte del gruppo World Leaks. I dati pubblicati sono molti e ammonterebbero a circa 2,6 TB.
Sarebbe ripetitivo spiegare che anche in questo caso sono coinvolti file di credenziali in formato Excel e Word, così come archivi di posta abbandonati nel file system. Il vero problema di questo data breach è un altro: il data breach avrebbe esposto file che permetterebbero l’accesso e l’alterazione del funzionamento di impianti tecnici tra cui quello di turbine a vapore. Sono stati esposti manuali, file, credenziali di accesso a sistemi di gestione e monitoraggio di questi impianti. Sostanzialmente è accaduto esattamente tutto ciò che la Direttiva NIS2 cerca di evitare, mostrando quanto le aziende (anche quelle grandi) abbiano sottovalutato l’impatto di un data breach e della stessa direttiva europea.
Considerazioni di carattere generale
È inutile dilungarsi sugli aspetti tecnici di questo data breach: ACEA S.p.A. ha subito gli stessi danni della XYZ S.r.l.. File esposti, password esposte, gestione degli utenti esposte e tutto il resto. La riflessione da fare deve essere un’altra: il data breach s’inserisce, per l’ennesima volta, in uno scenario davvero raccapricciante in cui grandi aziende del paese, dimostrano la completa indifferenza al tema della cybersecurity, se non per comunicazioni istituzionali o per generare profitto. Un’azienda seria, che intende avere una gestione rispettabile della cybersecurity, non detiene le credenziali di accesso in file Word. Non detiene le credenziali di accesso ad impianti strategicamente rilevanti in un file Excel.
La realtà contro la finizione
Davanti a questo scempio (perché di ciò si può parlare), è bene ricordare che l’Italia presentò l’ACN parlando della “strategia del buon padre di famiglia” di cui, chiaramente, questi sono i risultati. Una sequenza incessante di databreach, con relativa esposizione di file che dimostra quanto sia stata sottovaluta, non compresa e ignorata colposamente la sicurezza informatica. In un contesto storico e geopolitico che pone l’Italia all’interno di uno scenario molto complicato; le nostre principali aziende dimostrano di aver compreso poco o nulla di che cosa sia la sicurezza informatica a danno della sicurezza e dell’integrità di quelle informazioni che un domani potrebbero segnare un rischio per alcuni o per molti.
