EdoardoLimone.com

Cybersecurity e altro ancora...

Porto di Ancona: data breach

Indice

Il 14 gennaio 2026 il collettivo Anubis ha pubblicato alcuni documenti che dimostrerebbero un data breach ai danni del Porto di Ancona.

Il porto di Ancona fa parte dell’Autorità del Sistema Portuale (AdSP) del Mare Adriatico Centrale. L’elenco di questo AdSP comprende: Ancona, Pesaro, Falconara Marittima, San Benedetto del Tronto, Pescara, Ortona e Vasto. Le Autorità del Sistema Portuale sono soggetti NIS2 di alta criticità e sono anche impattate dalla Circolare 2/2017 di AgID recanti le Misure Minime di Sicurezza ICT per la P.A.

Cosa è successo

Il collettivo Anubis ha pubblicato alcuni file trafugati all’AdSP di Ancona tra cui potrebbero esserci anche documenti relativi ad atti di segnalazione alla Capitaneria di Porto di Ancona, reportistica di varia natura aggiornata al 2025. Comprendere bene l’entità del danno è difficile ma, considerato il materiale pubblicato da Anubis il patrimonio informativo trafugato sarebbe di rilievo.

La Home Page di Anubis

Stando a quanto dichiarato dal collettivo, sarebbero stati acquisiti illecitamente oltre 56.000 file con oltre 8.000 cartelle. Se questo data breach si rivelasse simile agli altri, sarebbe plausibile che tra i file trafugati ci possano essere anche quelli destinati al contenimento di credenziali di accesso a sistemi e servizi e ciò comporterebbe una violazione delle più basiche misure di sicurezza, unitamente ad un aggravamento generale delle conseguenze dell’attacco.

In data breach simili, infatti, sono stati trafugati credenziali per gli account social, per l’accesso a piattaforme istituzionali, per l’accesso a portali web, tutte informazioni detenute non correttamente all’interno di file di testo (.txt), file Word (.docx), file Excel (.xlsx).

Screenshot dell’home page del portale https://porto.ancona.it/it

Alle ore 00:49 del 15/01/2026 non risultano sull’home page informazioni in merito all’accaduto all’interno della sezione “Notizie”. In attesa di sviluppi è bene considerare che le attività svolte dall’AdSP sono molte e tra queste, come accennato in precedenza, ci sono anche le attività di sicurezza ispettiva svolte dal Porto che si realizzano attraverso la scrittura di verbali ispettivi e la raccolta di materiale multimediale (prevalentemente immagini e video).

☝︎Torna all’indice

Chi è Anubis

Secondo il portale Ransomfeed, il collettivo Anubis avrebbe realizzato 43 offensive tra il 2025 (40) e il 2026 (3) e questa sembrerebbe la prima in Italia. Il gruppo ha fatto vittime prevalentemente negli Stati Uniti ma anche in Spagna, Australia, Gran Bretagna, Canada, Germania annoverando organizzazioni di logistica (Den Hartogh Logistics), strutture sanitarie (Olive Branch Family Medical Center), nonché amministrazioni pubbliche.

☝︎Torna all’indice

Elementi di attenzione

A parer di chi scrive, l’attacco all’AdSP del Porto di Ancona presenta alcune informazioni poco chiare:

  1. Non è chiaro se vi fosse l’esposizione di credenziali tra i file sottratti. Se così fosse si configurerebbe la violazione di quanto prescritto dalla NIS2 in tema di corretta detenzione di tali dati, la violazione della Circolare 2/2017 di AgID. In particolare la salvaguarda 5.11.1 “Conservare le credenziali amministrative in modo da garantirne disponibilità e riservatezza.”
  2. Non è chiara la frase “stessi dati interessati dall’incidente di sicurezza informatica avvenuto a marzo 2024”, perché se fossero gli stessi non si spiegherebbe l’esfiltrazione di documenti con date successive al 2024.
  3. L’incorretta applicazione dei meccanismi di autenticazione e la mancata applicazione della MFA configurerebbe una inosservanza del D.lgs 138/2024, art.24 c.2 lettera i) “sicurezza e affidabilità del personale, politiche di controllo dell’accesso e gestione dei beni e degli assetti” e soprattutto della lettera l) “uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno“. Inoltre è bene notare che la mancanza di attivazione della MFA sulle utenze amministrative è una non conformità che in passato il Garante per la Protezione dei Dati Personali ha inserito in diversi provvedimenti. Uno di questi è il famoso provvedimento del 28 settembre 2023 n. 426 nel quale si annotava che “Nello specifico, al momento della violazione le procedure di autenticazione informatica utilizzate nell’ambito dell’accesso in VPN e alle postazioni di lavoro non prevedevano l’uso del doppio fattore di autenticazione, mentre la password policy non comprendeva una differenziazione tra utenze con privilegi amministrativi e utenza senza privilegi amministrativi”.
  4. Non è chiaro se i dipendenti del porto sono stati avvertiti con ritardo come spiegato nell’aggiornamento del 18/01/2026 e riportato dal Corriere Adriatico. Se così fosse si sarebbero violate le normative che invitano alla tempestiva comunicazione agli interessati. Di questo ritardo però il comunicato ufficiale non fa menzione.

Dai file trafugati e pubblicati da Anubis, inoltre, ci sarebbero anche documenti di identità che i giornali hanno provveduto a visionare e riportare nei loro articoli. Resta quindi da capire la responsabilità di tenuta dati del porto anche in relazione alla normativa vigente fin dal 2017 in materia di sicurezza informatica. Se fosse stata disattesa (ad esempio memorizzando file di credenziali in modo non adeguato), si configurerebbero gli estremi per la rilevazione di non conformità anche di livello grave.

Conclusioni

In conclusione nonostante il comunicato pubblicato su internet da parte del Porto di Ancona miri ragionevolmente a contemperare gli effetti dell’incidente informatico con frasi del tipo “L’attacco, di recente rivendicato, è riuscito a sottrarre solo il 2% delle informazioni“, restano alcuni punti da chiarire che potrebbero indicare anche la trascuratezza di norme di sicurezza informatica presenti dal 31/12/2017.

☝︎Torna all’indice

Aggiornamenti

18/01/2026 – Ritardi nella comunicazione interna

Da un articolo del Corriere Adriatico a cura di Federica Serfilippi si apprende che l’attacco cyber sarebbe avvenuto a dicembre e che i dipendenti del porto sarebbero stati avvertiti con estremo ritardo rispetto a quanto prevede la legge.

Nella circolare diramata lo scorso 8 gennaio al personale e per conoscenza alle sigle sindacali regionali Cgil, Cisl e Uil è così che l’Authority spiegava l’attacco informatico subito l’11 dicembre e rivendicato solo all’inizio di questa settimana dal collettivo Anubis. L’incursione nel sistema informatico dell’ente ha consentito agli hacker di mettere le mani su 56mila file, molti dei quali finiti in rete e contenenti dati sensibili.

16/01/2026 – Gestione della comunicazione esterna

La sezione notizie del portale web del Porto di Ancona alle ore 09:10 del 16/01/2026

Ore 09:00 – Il portale del Porto di Ancona non presenta, al momento, un annuncio/avviso sull’incidente. Nella giornata di ieri, 15/01/2026, intorno alle ore 17:10 il portale si è aggiornato riportando la notizia “Porto di Ancona: in corso l’adeguamento strutturale della banchina 23”.

Ore 16:46 – Il portale web del Porto di Ancona pubblica una notizia in merito all’incidente informatico occorso. Il testo del comunicato dice quanto segue.

In relazione all’attacco informatico avvenuto l’11 dicembre 2025, l’Autorità di sistema portuale del mare Adriatico centrale è intervenuta subito a protezione dei dati in suo possesso. L’attacco, di recente rivendicato, è riuscito a sottrare solo il 2% delle informazioni.

L’Adsp ha provveduto ad adottare tutte le misure tecnico-organizzative idonee per gestire la problematica, con il supporto del Dpo, il Responsabile della protezione dei dati, oltre a compiere le attività amministrative previste dalla normativa, tra cui le denunce e le notificazioni agli organi competenti (Polizia postale e Autorità garante per la protezione dei dati personali).

Sono state adottate tutte le misure previste in materia di cybersicurezza per contrastare gli attacchi informatici che, come noto, sono purtroppo sempre più frequenti e diffusi. Dell’accaduto sono state informate tempestivamente anche le rappresentanze sindacali e il personale Adsp.

L’attacco è intervenuto durante la migrazione dei dati dell’Autorità di sistema portuale al Psn-Polo strategico nazionale, l’infrastruttura per garantire la sicurezza e l’autonomia tecnologica sugli asset strategici per il Paese. Dal report sull’attacco informatico emerge che le misure di sicurezza tecniche e organizzative adottate sono valse a limitare gli effetti negativi del fatto e che, continuando nell’attivazione di tutti i dispositivi, software e attività già programmate, questi eventi possono essere ulteriormente ridotti e resi meno impattanti.

All’Adsp è arrivata una comunicazione il 14 gennaio da parte della Agenzia per l’Italia Digitale in cui si informava che l’attacco informatico, già noto all’Ente, era stato effettuato dal gruppo di cybercriminali Anubis. A seguito della comunicazione Agid, il Gruppo di lavoro Cyber dell’Autorità di sistema portuale ha redatto, come prevede la normativa, un’informativa che è stata pubblicata oggi nell’Albo pretorio dell’Ente: https://porto-ancona.trasparenza-valutazione-merito.it/web/trasparenza/dettaglio-albo-pretorio?p_p_id=jcitygovmenutrasversaleleftcolumn_WAR_jcitygovalbiportlet&p_p_lifecycle=0&p_p_state=normal&p_p_mode=view&p_p_col_id=column-2&p_p_col_count=1&_jcitygovmenutrasversaleleftcolumn_WAR_jcitygovalbiportlet_current-page-parent=0&_jcitygovmenutrasversaleleftcolumn_WAR_jcitygovalbiportlet_current-page=2489

In merito all’informativa sopra citata, reperibile anche a questo indirizzo, è interessante leggerne i contenuti, in particolare la parte che dimensiona l’incidente.

L’utente malevolo ha provveduto ad esfiltrare un ridotto sottoinsieme, 36GB su un totale di 2250GB degli stessi dati interessati dall’incidente di sicurezza informatica avvenuto a marzo 2024.

In merito a questo aspetto, tuttavia, c’è un dettaglio non poco chiaro: il Porto sostiene che sono stati esfiltrati gli stessi dati interessati dall’incidente di sicurezza informatica avvenuto a marzo 2024 ma Anubis ha pubblicato dati con data 2025 (ad esempio la tabella delle ispezioni effettuate). Di questo parla anche il Corriere Adriatico con un articolo del giornalista Antonino Pio Guerra:

Basti pensare che tra i documenti pubblicati da Anubis c’è anche la relazione aggiornata sul progetto del banchinamento grandi navi al molo Clementino di ottobre 2025.

Un altro aspetto interessante sarebbe capire se tra i file trafugati vi fossero credenziali mal gestite che configurerebbero il rischio di un aumento delle conseguenze di attacco. In merito a questo il giornalista del Corriere Adriatico mostra i suoi dubbi:

Dubbi anche sulla tenuta dei sistemi: divulgato un file Excel relativo al Pnrr dal titolo esplicito: «Password accesso piattaforme».

Immagine di Edoardo Limone

Edoardo Limone

Ha svolto per 12 anni l'attività di consulente direzionale per le principali amministrazioni centrali del Paese, tra cui: Ministero della Difesa, Ministero di Giustizia ma anche per le principali Direzioni Generali dell'Unione Europea su progetti afferenti iniziative per la gestione di infrastrutture critiche. Consulente di Cyber Security nell'analisi di strategie atte a rafforzare consapevolezza e sicurezza tecnica all'interno delle infrastrutture ICT. Per maggiori informazioni leggere questa pagina.