La vera falla non è nel tuo server, ma nel fornitore che non controlli

La supply chain è diventata uno dei bersagli preferiti dei cybercriminali. NIS2, dati e casi reali mostrano perché la sicurezza oggi si gioca anche fuori dal perimetro aziendale

La cybersecurity di un'azienda assomiglia alla cucina di un buon ristorante: regole rigide, controlli di qualità, standard igienici. Poi però qualcuno si affida a un fornitore di materie prime che conserva tutto al caldo nel furgone, con la porta aperta e il frigorifero spento. Il cliente finale non lo vede, ma se qualcosa va storto la responsabilità ricade sul ristorante, non sul grossista. Nella supply chain digitale succede la stessa cosa: l'utente vede il tuo brand, non il tuo fornitore, ma è da lì che spesso passa il rischio più grande.

La cybersecurity nella supply chain - ovvero lungo la filiera di fornitori e partner - è oggi uno dei temi più rischiosi per le aziende IT e i decision-maker. Basta pensare a noti incidenti come l'attacco alla catena di fornitura SolarWinds, in cui i criminali hanno compromesso un software di gestione usato da migliaia di clienti: un singolo fornitore vulnerabile ha aperto la porta a una cascata di violazioni. Non a caso, gli esperti ripetono che una catena è forte quanto il suo anello più debole, e sempre più spesso quell'anello debole è un fornitore esterno.

Gli esempi sono ormai all'ordine del giorno: apparati elettromedicali obsoleti in ospedale, portali sanitari non aggiornati, bancomat che girano ancora su sistemi fuori supporto. In molti casi non serve scardinare la cassaforte, perché l'attaccante entra comodamente dalla porta di servizio.

La vulnerabilità corre in filiera: il tallone d'Achille che le imprese non vedono

Il nuovo “tallone d'Achille” aziendale è la vulnerabilità di filiera: un solo partner poco sicuro può compromettere l'intera catena del valore. Per i pirati informatici è logico: perché attaccare frontalmente una grande impresa ben protetta, quando si può puntare a un suo fornitore più piccolo e meno attrezzato? Questa tendenza si riflette chiaramente nella percezione dei rischi: fino a poco tempo fa il ransomware era il nemico numero uno, ma oggi il primato è insidiato dalle vulnerabilità di filiera. Il ransomware rimane la minaccia con l'impatto economico maggiore, ma la supply chain è ormai il bersaglio più esposto.

La vulnerabilità non risiede più (solo) dentro l'azienda, bensì lungo i suoi confini digitali. Le grandi imprese hanno iniziato a rendersene conto, adottando contromisure e sensibilizzando i propri fornitori; le PMI invece faticano a reagire, pur essendo spesso le prime esposte agli attacchi.

La NIS2 mette ordine: obblighi più severi per i fornitori critici

Il legislatore europeo non è rimasto a guardare. La nuova direttiva NIS2 (EU 2022/2555) pone forte enfasi sulla sicurezza della supply chain, riconoscendo che proteggere solo il proprio perimetro non basta più. In particolare - come indicato nell'Articolo 15 della direttiva - le aziende essenziali e importanti dovranno estendere la gestione del rischio ai fornitori digitali critici. La normativa italiana di recepimento (Dlgs. 138/2024) lo ribadisce chiaramente: i soggetti NIS devono adottare misure di gestione del rischio comprensive della sicurezza della catena di approvvigionamento, inclusi gli aspetti di sicurezza nei rapporti con ciascun fornitore di beni o servizi digitali. In pratica, la sicurezza va estesa a tutta la filiera.

Cosa significa? NIS2 obbliga le aziende a valutare attentamente i propri fornitori e partner ICT, imponendo controlli molto più rigorosi sui terzi. Ad esempio: analisi del rischio che includano fornitori e subappaltatori (non basta più valutare i rischi interni), clausole contrattuali di sicurezza (nei contratti con i partner vanno previsti requisiti minimi di cybersecurity, audit periodici, procedure di incident response), verifica dei servizi ICT critici (assicurarsi che i fornitori rispettino standard adeguati di protezione), monitoraggio continuo della postura di sicurezza dei fornitori (non basta un audit iniziale, serve un'attenzione costante) e obblighi di segnalazione: se un incidente coinvolge la supply chain, l'azienda deve notificarlo alle autorità entro tempi stabiliti.

In sostanza, la NIS2 formalizza un principio ormai evidente: la sicurezza non si ferma ai cancelli dell'azienda, ma deve abbracciare l'intero ecosistema di fornitori.

Il metodo in cinque passi per mettere in sicurezza la filiera

Come tradurre tutto questo in pratica operativa? Consolidare una prassi e tradurla in un framework in cinque fasi per gestire in sicurezza i fornitori, aiutando così le aziende a strutturare il processo:

• Classificazione dei fornitori: mappare tutti i fornitori e segmentarli per criticità e impatto sul business. Ovviamente un conto è il fornitore di cancelleria per uffici, ben altro è chi gestisce i vostri server in cloud. Identificate i fornitori critici (per esempio per dati trattati, accesso ai sistemi, sostituibilità) e quelli meno rischiosi. Questa classificazione guiderà le risorse: più alta la criticità, più approfonditi dovranno essere i controlli e i requisiti di sicurezza.
• Valutazione del rischio: per i fornitori critici, condurre una valutazione approfondita del loro profilo di sicurezza. Ciò include questionari e audit sulle misure di cybersecurity adottate, verifiche sulle certificazioni e magari test pratici (ad esempio penetration test concordati) sulle loro infrastrutture. È fondamentale stimare il rischio inerente che ogni fornitore porta: un data center provider dovrebbe essere valutato per resilienza fisica e logica, un partner di sviluppo software per le pratiche di secure coding, e così via.
• Definizione dei requisiti e contratto: in base alla valutazione, definire requisiti di sicurezza chiari che il fornitore deve rispettare. Questi requisiti vanno formalizzati nel contratto o SLA: ad esempio obbligo di patch management regolare, standard minimi, policy di incident reporting (il fornitore deve notificare tempestivamente eventuali breach), diritto di audit per il cliente e clausole di terminazione/exit (come sarà gestita la fine del rapporto o un grave inadempimento di sicurezza). In questa fase si stabiliscono anche eventuali penali o incentivi contrattuali legati alla sicurezza.
• Monitoraggio continuo: non abbassare mai la guardia dopo la firma. Implementare un programma di monitoraggio periodico dei fornitori: audit annuali (anche a sorpresa), review trimestrali dei KPI di sicurezza, verifiche delle certificazioni aggiornate. Strumenti utili possono essere piattaforme di vendor rating che raccolgono indicatori (vulnerabilità note, posture misurata esternamente) o l'uso di questionari periodici. Inoltre, mantenere una comunicazione aperta: coinvolgere i fornitori in attività di awareness condivise, aggiornarsi reciprocamente su nuove minacce. L'obiettivo è instaurare un rapporto di collaborazione proattiva attraverso la quale il fornitore ideale diventa quasi un'estensione del vostro team di sicurezza.
• Dismissione sicura: anche la fine del rapporto con un fornitore va gestita con attenzione. Vanno revocati tutti gli accessi rimasti (account, VPN, chiavi API…), recuperati o fatti distruggere i dati sui dispositivi forniti, è necessario assicurarsi che i dati aziendali in suo possesso vengano restituiti o cancellati in modo sicuro. Una checklist di offboarding ben definita previene spiacevoli strascichi (come credenziali attive in mano a ex fornitori). Inoltre, è importante raccogliere lesson learned: è essenziale analizzare com'è andata la partnership dal punto di vista della sicurezza, per migliorare i criteri di scelta futuri.

Questi cinque passaggi - dalla qualifica iniziale alla gestione continuativa fino all'uscita del fornitore - costituiscono un ciclo completo di gestione sicura dei fornitori.

Dati alla mano: la supply chain costa più del ransomware

Se tutto questo vi sembra poco concreto, parliamo di numeri. I dati emersi dal recente Osservatorio Security Risk 2025 di AIPSA, in collaborazione con The European House - Ambrosetti e Cybrain, confermano nero su bianco la centralità del rischio supply chain.

Le risposte di oltre 150 security manager ci dicono che gli attacchi alla supply chain sono percepiti come la minaccia cyber più probabile in assoluto - più del social engineering e di altre tipologie - proprio perché sfruttano l'interconnessione per colpire a catena fornitori e clienti. Inoltre, sono valutati tra i rischi con maggior potenziale di impatto economico: il ransomware resta leggermente in testa come impatto medio più alto, ma la filiera segue a ruota.

Questo vale trasversalmente per aziende di ogni fascia di fatturato. Pensiamo al cosiddetto mid-market (50-250 milioni di euro di fatturato): per queste imprese, una riduzione anche minima del rischio legato a supply chain o ransomware può tradursi in benefici economici a sei o sette cifre l'anno. Nelle grandi imprese, i ritorni attesi da un calo dell'1% del rischio arrivano addirittura a milioni di euro.

Questi dati evidenziano due cose: primo, che i danni potenziali di un attacco alla filiera sono enormi (interruzione operativa, sanzioni, perdita di fiducia dei clienti…); secondo, che investire in sicurezza conviene, perché anche mitigazioni moderate del rischio generano un valore tangibile.

Eppure, nonostante la crescente consapevolezza, solo una minoranza di aziende ha già attuato piani strutturati per gestire questi rischi in ottica preventiva. Molte organizzazioni lavorano ancora a compartimenti stagni, senza una visione coordinata delle crisi e della resilienza di filiera.

La sicurezza si gioca fuori dal perimetro: muoversi subito

La sicurezza informatica nella supply chain non è più un tema rinviabile o di nicchia: è diventata un pilastro della resilienza aziendale. Ogni organizzazione, grande o piccola, è interconnessa in ecosistemi digitali dove il rischio corre lungo i nodi della filiera. Ignorare questo fatto equivale a lasciare la porta aperta ai cybercriminali. Prendere sul serio questo tema, è fondamentale. Valutare subito l'esposizione cyber nella filiera: chi sono i fornitori critici? Vanno verificate le loro misure di sicurezza. Mettere a contratto ciò che succede in caso di incidente, fare un reality check della supply chain, individuare i punti deboli e intervenire prima che lo facciano gli attaccanti.

Alzare l'asticella della sicurezza lungo tutta la catena. Il mondo reale bussa alla porta (anzi, alla porta del vostro fornitore): bisogna fare in modo di farci trovare pronti.