I data breach nella catena di approvvigionamento rappresentano una minaccia crescente per le aziende, che si affidano sempre più a fornitori esterni.
La digitalizzazione ha reso indispensabile l’uso di sistemi informatici, spesso in outsourcing, e le imprese, soprattutto quelle di grandi dimensioni, si avvalgono di numerosi partner esterni per il loro operato.
Un attacco alla catena di approvvigionamento del software si verifica quando i soggetti attaccanti riescono a compromettere l’integrità del codice sorgente di un software ampiamente utilizzato nell’industria, inserendo un codice maligno (“malware“) che consente loro di raggiungere le aziende e gli utenti che acquisiscono tali tecnologie tramite il fornitore.
Questi attacchi, dunque, vengono definiti attacchi alla supply chain: non sono diretti contro l’ultima organizzazione compromessa, ma vengono veicolati attraverso i fornitori di software come vettori di attacco. Non basta implementare misure di sicurezza per la propria realtà aziendale: ogni fornitore e partner esterno rappresenta una potenziale vulnerabilità.
Un singolo punto debole nel sistema del fornitore può facilmente compromettere l’intera rete di aziende connesse e portare a un data breach su larga scala.
Proviamo allora a fornire un insieme di best practices e linee guida utili alle aziende per proteggere i propri dati e sistemi informatici lungo tutta la catena di approvvigionamento.
Verranno analizzati i principali rischi legati alla supply chain, illustrando le strategie più efficaci per ridurre le vulnerabilità, garantire la compliance alle normative sulla protezione dei dati e rafforzare la resilienza aziendale contro potenziali minacce.
Indice degli argomenti
Cos’è un attacco alla supply chain e i principali rischi ad essa legati
Un supply chain attack, o attacco alla catena di approvvigionamento, è una tecnica informatica sempre più comune, in cui gli attori malevoli non attaccano direttamente il bersaglio principale, da intendersi come una specifica realtà aziendale, ma agiscono manomettendo il prodotto di un determinato fornitore di software, hardware o servizi (ad esempio di come cloud o IT) sfruttato da detta realtà.
Nella maggior parte dei casi, gli attacchi alla catena di approvvigionamento avvengono in modo invisibile, lasciando intatta la firma digitale ufficiale del fornitore, facendo risultare il prodotto o servizio come se fosse stato distribuito regolarmente dal fornitore stesso: il prodotto o servizio manomesso viene implementato dalle imprese tramite canali legittimi, come i siti ufficiali o gli aggiornamenti ufficiali, senza destare alcun sospetto nel destinatario dell’attacco.
Le tre tipologie di supply chain attack
Esistono tre tipologie di supply chain attack.
Software supply chain attack: minaccia invisibile a monte
Questa tipologia di attacco mira a colpire il software prima ancora che arrivi all’utente finale, approfittando del fatto che molte aziende si affidano a librerie open source, framework o software gestiti da fornitori esterni. Sfruttando l’affidamento che pongono le imprese nei software dei fornitori, gli hacker riescono a modificare questo software “a monte”, senza che nessuno se ne accorga, evidentemente sfruttando una vulnerabilità presente presso il fornitore, e quando le aziende o gli utenti scaricano aggiornamenti o nuove versioni si trovano inconsapevolmente con un software compromesso già installato nei loro sistemi.
il caso SolarWinds
Emblematico è il caso SolarWinds (2020), che ha rappresentato uno degli attacchi informatici più sofisticati e dannosi degli ultimi anni. Gli attori malevoli riuscirono a compromettere un aggiornamento del software Orion, utilizzato da migliaia di aziende e agenzie governative nel mondo. Il codice maligno, firmato digitalmente dal fornitore (e quindi, all’apparenza, legittimamente emesso dal fornitore), venne distribuito attraverso i canali ufficiali di aggiornamento, sfruttando la fiducia degli utenti finali. Una volta installato, il malware ha permesso di spiare attività interne, rubare dati sensibili e creare accessi nascosti (backdoor) all’interno dei sistemi. Ciò che ha reso, dunque, questo attacco particolarmente grave non è stata solo la sua portata (si stima che siano state coinvolte oltre 18.000[1] organizzazioni) ma il fatto che sia passato attraverso canali considerati sicuri, come gli aggiornamenti ufficiali.
Hardware supply chain attack: manomissioni fisiche dei dispositivi
In questo contesto, l’attacco consiste in una manomissione fisica dei dispositivi elettronici (come computer, server o router) prima che arrivino a destinazione. L’intervento degli attori malevoli avviene durante la fabbricazione, l’assemblaggio o la distribuzione del prodotto, attraverso l’inserimento di microchip, sensori o componenti modificati che consentono di “spiare” e controllare da remoto le attività del bersaglio finale. Nella maggior parte dei casi, questa tipologia di attacco non avviene attraverso componenti aggiunti, ma bensì attraverso l’installazione di firmware (ossia un software integrato nei dispositivi) alterati al fine di attaccare il destinatario finale.
Sebbene siano intervenute successivamente le smentite ufficiali dei diretti interessati, nel 2018, un’inchiesta di Bloomberg[2] ha riportato che minuscoli microchip spia sarebbero stati inseriti in schede madri prodotte da Supermicro, società statunitense specializzata nella produzione di server ad alte prestazioni, sistemi di archiviazione e soluzioni per data center, destinate a colossi tecnologici come Apple e Amazon. Il caso ha sollevato un allarme concreto sulle vulnerabilità insite nelle lunghe e complesse catene di produzione globale: il rischio avrebbe esposto non solo governi e multinazionali, ma anche aziende di piccola e media dimensione.
Service provider attack: attacchi tramite fornitori di servizi IT
In quest’ultima tipologia di attacco alla catena di approvvigionamento, gli attori malevoli attaccano il fornitore di servizi esterno a cui l’azienda si affida per attività di ménage aziendale essenziali (quali, ad esempio, la gestione del cloud, della sicurezza informatica, dei backup, della posta elettronica e dei software gestionali), con lo scopo di entrare nei sistemi dei suoi clienti in modo indisturbato. Questa tipologia è particolarmente efficace in quanto, se il fornitore ha accesso ai sistemi dell’azienda cliente — ad esempio con permessi amministrativi o con strumenti di controllo remoto —compromettendo questo gli attaccanti riescono ad avere accesso anche ai sistemi dei suoi clienti.
Nel luglio del 2021, il mondo della sicurezza informatica è stato scosso da un attacco ransomware[3] di proporzioni globali che ha colpito Kaseya, un fornitore statunitense di strumenti per la gestione IT utilizzati da migliaia di aziende. Gli attori malevoli sono riusciti a sfruttare una vulnerabilità nei sistemi dell’azienda per distribuire il malware attraverso aggiornamenti ufficiali, propagando l’attacco a oltre 1.000 organizzazioni clienti in tutto il mondo. Ancora una volta, un tale episodio ha messo in luce la fragilità della catena di approvvigionamento.
Gli orientamenti del Garante italiano sul tema supply chain attack
Non sono mancati neppure in Italia, negli ultimi anni, casi di attacchi informatici alla catena di approvvigionamento. Dalle vulnerabilità nei servizi gestiti da terze parti, fino alle falle nei dispositivi connessi o nei canali di accesso remoto, il bersaglio degli hacker si è spostato sempre più spesso verso l’anello debole della filiera digitale, sfruttando la fiducia tra organizzazioni e fornitori per introdursi nei sistemi e compromettere dati sensibili.
Con provvedimento del 21 marzo 2024[4], il Garante per la protezione dei dati personali è intervenuto in merito ad un attacco informatico alla catena di approvvigionamento che ha coinvolto una società operante nel settore finanziario e assicurativo, in qualità di titolare del trattamento, e il suo fornitore di servizi informatici, responsabile del trattamento. L’incidente, avvenuto il 21 gennaio 2024, ha portato alla cifratura e all’esfiltrazione di dati personali da cinque server gestiti dal fornitore. Nel caso di specie, i dati sottratti riguardavano informazioni anagrafiche, di contatto, finanziarie e creditizie, nonché documenti di identificazione (carta di identità, patente, passaporto, CNS), tutti riferibili ai clienti della società utilizzatrice del servizio informatico.
Il Garante ha ritenuto che l’incidente presentasse caratteristiche tipiche di un service provider attack di elevato impatto, data la centralità del fornitore colpito nei processi di trattamento di dati tale da produrre potenziali rischi di furto d’identità, frodi finanziarie e danni reputazionali. Alla luce di tali circostanze, il Garante ha adottato un’ingiunzione rivolta alla Società, disponendo di comunicare la violazione dei dati personali agli interessati coinvolti entro quindici giorni dalla ricezione del provvedimento stesso.
Casi concreti di software supply chain attack sanzionati dal Garante
In un altro caso, il Garante per la protezione dei dati personali ha sanzionato con ordinanza di ingiunzione[5] una società operante nei servizi di gestione documentale e comunicazione, a seguito di un grave software supply chain attack che ha compromesso un’elevata mole di dati personali.
L’attacco, di tipo ransomware, notificato nell’agosto 2023, ha avuto origine dallo sfruttamento di due vulnerabilità[6] note all’interno della piattaforma Microsoft Exchange, componente centrale dell’infrastruttura IT aziendale.
Nonostante gli aggiornamenti di sicurezza fossero stati rilasciati dal provider già a novembre 2022 – a seguito di una prima segnalazione della vulnerabilità avvenuta a settembre dello stesso anno – e ulteriormente ribaditi dall’Agenzia per la Cybersicurezza Nazionale (ACN), la società non aveva adottato alcuna misura di mitigazione. L’inerzia nell’implementare i necessari aggiornamenti ha permesso agli attaccanti di sfruttare le falle, assumere i privilegi di amministratore e distribuire il codice malevolo, arrivando a compromettere i server aziendali e diverse postazioni di lavoro.
Il Garante ha rilevato che la mancata adozione tempestiva delle misure di sicurezza indicate da Microsoft e dall’ACN ha violato gli articoli 5, par. 1, lett. f), 25, 32 e 33 del GDPR, in quanto non sono state adottate misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio. Pertanto, il Garante ha applicato una sanzione amministrativa pecuniaria di 900.000 euro alla società ed ha ingiunto l’adozione di misure correttive, tra cui la verifica e la risoluzione delle vulnerabilità nei sistemi, la predisposizione di una procedura formalizzata per la gestione delle vulnerabilità e l’individuazione di valori relativi al tempo medio di rilevamento e risposta alle vulnerabilità, da attuarsi entro 90 giorni dalla notifica del provvedimento.
Vulnerabilità dei dispositivi connessi in ambito sanitario
Con provvedimento del 17 ottobre 2024[7], il Garante per la protezione dei dati personali ha concluso un procedimento nei confronti di un’azienda ospedaliero-universitaria, vittima di un attacco informatico avvenuto nel dicembre 2022. L’attacco, riconducibile a un malware di tipo ransomware, è stato innescato attraverso l’accesso non autorizzato a un PC aziendale collegato in VPN, evidenziando significative criticità nella gestione della sicurezza lungo la catena dei fornitori e dei dispositivi abilitati all’accesso remoto ai sistemi sanitari. Sebbene il data breach non abbia causato l’interruzione dei servizi sanitari, ha comportato gravi ripercussioni sulla riservatezza, integrità e disponibilità dei dati personali di un ampio numero di interessati – tra cui pazienti, dipendenti e consulenti – rivelando, di fatto, la vulnerabilità della supply chain digitale nel settore sanitario. In particolare, l’indisponibilità di controlli adeguati sui dispositivi connessi da remoto e l’assenza di misure proattive di sicurezza da parte dei fornitori tecnologici hanno favorito l’infiltrazione del malware nei sistemi centrali dell’Ente. Nel caso di specie, il Garante ha applicato una sanzione amministrativa pari a 25.000 euro.
Responsabilità e accountability nella gestione della filiera digitale
Con il provvedimento del 27 novembre 2024[8], il Garante per la protezione dei dati personali ha inteso sottolineare come la sicurezza dei dati, in ambienti digitali ad alta complessità, non possa essere delegata senza una chiara catena di responsabilità contrattuale e tecnica tra titolare e responsabili esterni. Il procedimento istruttorio nei confronti di una Regione italiana, titolare del trattamento dei dati relativi al Fascicolo Sanitario Elettronico (FSE), ha avuto origine a seguito di una violazione di dati personali riconducibile a una vulnerabilità nella catena di approvvigionamento. L’incidente ha interessato un fornitore esterno incaricato della gestione tecnica del portale FSE ed ha evidenziato in modo emblematico le criticità insite nella gestione dei rapporti tra titolare e subfornitori. L’attacco, infatti, ha avuto origine da una vulnerabilità nell’applicazione web sviluppata dal fornitore, dovuta a una configurazione errata e alla mancanza di controlli di autorizzazione adeguati: un utente autenticato, semplicemente manipolando l’URL, ha potuto accedere ai dati anagrafici di altri soggetti. Sebbene non fossero stati esposti dati sanitari, la violazione ha compromesso riservatezza e integrità delle informazioni personali di migliaia di cittadini.
Per questo motivo, l’Autorità ha imposto alla Regione di documentare entro 30 giorni dalla notifica del provvedimento le misure tecniche e organizzative correttive adottate per garantire la sicurezza dei trattamenti, in particolare con riferimento ai rapporti con i fornitori esterni. Il Garante ha così inteso rafforzare la responsabilità del titolare nella supervisione della catena di fornitura, evidenziando che l’affidamento di attività di trattamento a soggetti terzi non esonera dalla piena accountability né dalla necessità di un controllo continuo e proattivo.
Selezione rigorosa dei fornitori come misura preventiva
I provvedimenti riportati oltre ad evidenziare la periodicità dei supply chain attack ne testimoniano l’estrema pericolosità per la tutela delle informazioni, anche personali. Per prevenire tali attacchi ed i relativi rischi e, quindi, proteggere adeguatamente i dati è essenziale che le aziende, titolari dei trattamenti, adottino specifiche misure, di vigilanza e di responsabilizzazione in occasione della gestione dei rapporti con i fornitori di servizi informatici.
Ruoli chiari e selezione meticolosa dei fornitori
Per prevenire efficacemente i rischi connessi ai supply chain attack, è fondamentale che il titolare del trattamento adotti un approccio rigoroso nella gestione dei rapporti con i propri fornitori di servizi informatici. In primo luogo, in tutte le occasioni di appalto di trattamento di dati personali o comunque di accesso a tali dati da parte di terzi fornitori, la selezione del responsabile del trattamento deve avvenire pedissequamente all’art. 28 del GDPR, ossia il titolare deve sempre assicurarsi che il soggetto individuato quale possibile fornitore offra garanzie sufficienti – documentate e verificabili – in termini di misure tecniche e organizzative a protezione dei dati. In che modo svolgere tale selezione? Prima di procedere con l’ingaggio contrattuale, il titolare è tenuto a condurre un’attenta valutazione preliminare (pre-assessment), eventualmente supportata da checklist strutturate o tools, per verificare l’effettiva adozione del fornitore di adeguati standard di sicurezza. In questo senso, le procedure aziendali per la gestione delle terze parti devono essere non solo formalizzate ma concretamente operative: è essenziale, infatti, che sia previsto un meccanismo interno di controllo sull’applicazione effettiva di tali procedure perché vengano raccolte le evidenze in relazione a quanto dichiarato dal fornitore in sede di assessment, In occasione di tale verifica non potranno non essere coinvolte le funzioni aziendali competenti in materia di sicurezza informatica e di compliance data protection. Nel caso in cui, poi, a seguito dell’assessment dovesse essere rilevata una non conformità del fornitore, in termini di carenza di specifiche misure di sicurezza, la procedura adottata dovrebbe prevedere il coinvolgimento del business owner richiedente la fornitura e del Data Protection Officer, al fine svolgere ogni eventuale negoziazione e/o assunzione di rischio.
L’importanza del DPA (Data Processing Agreement)
In questo contesto, il Data Processing Agreement (DPA) – ovvero il contratto di nomina a responsabile del trattamento – non può essere considerato un semplice adempimento formale: si tratta, invece, di uno strumento cruciale per delineare in modo preciso ruoli, responsabilità e obblighi reciproci, comprese le misure da adottare in caso di violazioni o incidenti di sicurezza. Per essere davvero efficace, il DPA deve essere redatto in modo chiaro, deve essere periodicamente aggiornato e soprattutto deve risultare coerente con le reali modalità operative del fornitore.
Data transfer impact assessment: sicurezza oltre i confini europei
Nel caso in cui il trattamento dei dati personali comporti un trasferimento verso paesi terzi (extra UE/SEE), è obbligatorio procedere con un’adeguata valutazione d’impatto sul trasferimento, nota come Data Transfer Impact Assessment (DTIA). Il DTIA consente di valutare, tra l’altro, il livello di protezione dei dati garantito nel paese di destinazione, tenendo conto del contesto giuridico locale e delle misure supplementari tecniche, contrattuali o organizzative che il fornitore estero è in grado di adottare. In tale prospettiva, il DTIA rappresenta uno strumento essenziale per supportare decisioni informate e per prevenire il rischio di trattamenti contrari al GDPR. In questo contesto, è necessario che tale valutazione venga condotta preliminarmente altrasferimento, e che venga documentata, aggiornata e conservata in conformità ai principi di responsabilizzazione (accountability) previsti dal GDPR.
Audit periodici e monitoraggio della supply chain
Per prevenire efficacemente i supply chain attack, è fondamentale che il titolare del trattamento adotti un approccio strutturato e continuativo per il controllo della filiera, mediante l’esecuzione di audit periodici. Gli audit devono essere pianificati con regolarità, condotti in maniera approfondita, adeguatamente documentati. Inoltre, non possono limitarsi al solo fornitore diretto: è essenziale estendere i controlli anche ai fornitori di secondo e terzo livello, in modo da ottenere una visione completa della catena e poter intervenire tempestivamente in presenza di vulnerabilità o inadempienze.
Documentabilità dei controlli sulla filiera
Come evidenziato nei provvedimenti del Garante sopra citati, in caso di data breach, la mancanza di documentazione comprovante l’attività di verifica (come checklist, verbali di audit o assessment del rischio) può compromettere la capacità dell’organizzazione di dimostrare accountability.
Procedure specifiche in caso di data breach e attacchi alla supply chain
In contesti organizzativi caratterizzati da un ampio ricorso all’outsourcing e da una fitta rete di rapporti di fornitura, risulta essenziale predisporre procedure specifiche per la gestione degli incidenti di sicurezza che coinvolgano la supply chain.
Tali procedure dovrebbero includere azioni concrete da intraprendere anche da parte dei responsabili del trattamento, con indicazioni puntuali su tempi, modalità e responsabilità operative in caso di attacco. Una governance efficace richiede che il titolare strutturi piani di risposta calibrati sulla complessità della propria filiera, prevedendo meccanismi di coordinamento e comunicazione tra tutti i soggetti coinvolti. L’integrazione di procedure di data breach ad hoc per i fornitori – soprattutto per quei fornitori che gestiscono sistemi o dati critici – non rappresenta solo una buona prassi, ma un requisito fondamentale per garantire continuità operativa e conformità normativa in scenari ad alto rischio.
Monitoraggio continuo, anche in assenza di incidenti
Ulteriore misura per una gestione responsabile della sicurezza nella supply chain consiste nel richiedere ai fornitori report periodici anche in assenza di eventi critici. Questi report rappresentano uno strumento fondamentale per mantenere alta l’attenzione sul tema della sicurezza, monitorare costantemente l’effettiva applicazione delle misure concordate e, soprattutto, promuovere una cultura della sicurezza condivisa lungo tutta la catena del trattamento. Una vigilanza continua, documentata e trasparente non solo consente di prevenire vulnerabilità latenti, ma rafforza il rapporto fiduciario tra titolare e responsabili, contribuendo a una maggiore resilienza complessiva dell’organizzazione. Questo approccio è conforme alle disposizioni dell’art. 32, par. 1 lett. b) GDPR, che richiede l’adozione di misure di sicurezza che garantiscano un monitoraggio continuo.
Clausole contrattuali per mitigare responsabilità e rischi
Infine, è sempre possibile prevedere specifiche clausole contrattuali, come una clausola di manleva che tuteli il titolare del trattamento in caso di danni a terzi cagionati da evidente non conformità del fornitore alle misure prescritte con dolo o colpa.
Tale clausola assume un valore strategico nella gestione del rischio, poiché consente al titolare di rivalersi sul responsabile esterno qualora l’incidente derivi da inadempienze documentate o da violazioni palesi degli obblighi contrattuali e normativi, ferma restando la possibilità per il titolare di prevedere, nel rapporto interno, penali per inadempimento. In un contesto sempre più esposto a minacce informatiche complesse, simili previsioni contrattuali rafforzano l’accountability dell’intera filiera e incentivano comportamenti virtuosi da parte di tutti gli attori coinvolti nel trattamento dei dati.
Monitoraggio del Responsabile della Protezione dei Dati (DPO)
È fortemente raccomandato che il DPO delle organizzazioni che affidino o forniscano servizi in outsourcing all’esterno servizi comportanti il trattamento di dati personali preveda un piano strutturato di monitoraggio nei confronti di tali fornitori. Tale attività di controllo deve includere la verifica dell’effettiva attuazione delle misure tecniche e organizzative previste nel DPA, nonché la coerenza tra quanto formalmente stabilito e le prassi effettivamente adottate. Il piano di monitoraggio dovrebbe essere orientato a garantire una governance efficace del trattamento dei dati personali da parte di soggetti terzi, contribuendo a presidiare i rischi, assicurare il rispetto delle disposizioni del GDPR e favorire una gestione proattiva di eventuali non conformità o incidenti. Tale attività rientra nelle funzioni di supporto, sorveglianza e consulenza che il DPO è chiamato a svolgere in base agli artt. 38 e 39 GDPR.
Note
[1] 14 Dicembre 2020, United States Securities and Exchange Commission
[2] Bloomberg Businessweek – The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies (2018)
[3] Update Regarding VSA Security Incident – Kaseya
[4] Provvedimento del 21 marzo 2024 [doc. web n. 10002324]
[5] Provvedimento del 4 luglio 2024 [doc. web n. 10063782]
[6] CVE-2022-41040 e CVE-2022-41082
[7] Provvedimento del 17 ottobre 2024 [doc. web n. 10086523]
[8] Provvedimento del 27 novembre 2024 [doc. web n. 10095810]
