Un nuovo attacco cyber al Congressional Budget Office (CBO) degli Stati Uniti e una serie di incidenti informatici in Regno Unito hanno esposto la fragilità delle infrastrutture governative e aziendali, provocando impatti economici diretti sul GDP britannico e sanzioni record da parte dell’Information Commissioner’s Office (ICO). L’ondata di intrusioni, collegata a gruppi APT di matrice statale e cyber gang internazionali, mostra come la sicurezza informatica stia diventando un fattore macroeconomico con conseguenze tangibili sulla produttività e sulla fiducia dei mercati. Il CBO, agenzia indipendente che fornisce analisi economiche al Congresso americano, ha confermato di aver subito una breccia informatica che ha compromesso email, bozze di rapporti e comunicazioni interne. Parallelamente, nel Regno Unito, la Bank of England ha collegato l’attacco informatico subito da Jaguar Land Rover (JLR) a un rallentamento della crescita del GDP nel terzo trimestre, mentre l’ICO ha comminato multe milionarie a diverse aziende per violazioni del GDPR legate alla gestione delle password.
Cosa leggere
Catena di attacchi contro agenzie governative USA
Secondo quanto riferito da funzionari federali, il CBO è stato colpito da un attore straniero sospetto, che ha ottenuto accesso alla rete interna e ai sistemi di comunicazione con gli uffici congressuali. L’agenzia ha reagito immediatamente, implementando nuovi monitoraggi e controlli avanzati di sicurezza per contenere l’incidente. Tra i dati compromessi figurano scambi con membri del Congresso e bozze di analisi economiche, il cui valore strategico le rende bersagli appetibili per attività di intelligence economica. Le prime indagini riconducono l’attacco al gruppo APT cinese Silk Typhoon, già coinvolto nella compromissione del Dipartimento del Tesoro USA e del Committee on Foreign Investment in the United States (CFIUS) nel dicembre 2024. Silk Typhoon, noto per aver sfruttato vulnerabilità ProxyLogon nel 2021, continua a utilizzare catene di exploit zero-day e tecniche di intrusione laterale. Gli esperti confermano che il gruppo ha compromesso oltre 68.000 server prima della distribuzione delle patch di sicurezza. La portavoce del CBO, Caitlin Emma, ha dichiarato che l’agenzia “sta affrontando l’incidente con la massima priorità e ha già adottato misure correttive”, ribadendo la centralità della protezione dei dati nelle attività legislative. Le autorità statunitensi ritengono che la breccia sia stata individuata rapidamente, limitando la perdita di informazioni. Tuttavia, l’episodio mette in luce la persistente vulnerabilità delle infrastrutture governative, già bersaglio di campagne coordinate contro il Tesoro, la NASA e il Dipartimento della Difesa negli ultimi anni.
Impatto economico dei cyberattacchi sul Regno Unito
Oltre Atlantico, la Bank of England ha ridotto la stima di crescita del GDP del terzo trimestre 2025 allo 0,2%, rispetto allo 0,3% previsto, citando come fattori principali le esportazioni deboli verso gli USA e le interruzioni produttive causate dall’attacco informatico a Jaguar Land Rover. L’azienda ha dovuto sospendere la produzione per oltre un mese, generando perdite stimate in 2,38 miliardi di euro e un effetto domino su fornitori e catene logistiche. Secondo l’Office for Budget Responsibility, si tratta del primo caso documentato di impatto macroeconomico diretto di un attacco cyber, con danni locali stimati fino a 2,5 miliardi di euro e classificazione Category 3 da parte della Cyber Monitoring Centre britannica. L’evento segna un precedente importante per la valutazione dei rischi economici legati alla sicurezza informatica, un tema che la Bank of England intende includere stabilmente nei propri modelli previsionali. Le conseguenze si estendono anche al settore retail: Marks & Spencer (M&S), Co-op e Harrods hanno subito gravi violazioni attribuite al gruppo Scattered Spider, con costi di bonifica stimati in 162 milioni di euro solo per M&S, parzialmente coperti da assicurazioni. Il National Cyber Security Centre (NCSC) ha registrato 204 incidenti significativi da settembre, con un aumento del 50% rispetto all’anno precedente. Secondo il CEO del NCSC, Richard Horne, “la mancanza di urgenza nella sicurezza informatica rappresenta oggi il principale rischio per la sopravvivenza aziendale”.
Multe record dall’ICO per violazioni GDPR e password deboli
Nel frattempo, l’Information Commissioner’s Office ha avviato una campagna di enforcement senza precedenti contro aziende colpevoli di violare l’articolo 32 del GDPR, che impone l’adozione di misure tecniche adeguate a protezione dei dati personali. Le sanzioni colpiscono organizzazioni di diversi settori, tra cui Capita plc, multata per 16,67 milioni di euro per l’esposizione di password in bucket AWS non protetti, e Advanced Computer Software, che paga 3,65 milioni di euro per una configurazione incompleta di MFA che ha permesso un attacco ransomware LockBit con effetti sul sistema sanitario NHS. Anche 23andMe figura tra i soggetti sanzionati, con 2,75 milioni di euro per l’esposizione di 6,9 milioni di profili utente a causa di attacchi di credential stuffing, mentre Interserve Group riceve una multa da 5,24 milioni di euro per phishing e gestione inadeguata delle credenziali di accesso. In ambito legale, DPP Law Ltd è colpita da una sanzione da 71.430 euro dopo un attacco brute-force su un account amministrativo privo di autenticazione multifattore. L’ICO ribadisce che la mancata adozione di autenticazione a più fattori e di password manager aziendali costituisce una violazione diretta del GDPR, evidenziando che il 43% delle aziende britanniche subisce ogni anno una breccia di sicurezza, e che l’85% degli incidenti deriva da phishing o credenziali deboli. Solo il 23% delle imprese dispone di un piano di risposta agli incidenti, mentre meno di un terzo utilizza VPN o valutazioni periodiche del rischio.
Exploit Oracle E-Business Suite: Allianz UK e la gang Clop
Un ulteriore fronte critico emerge con l’attacco condotto dal gruppo Clop, che ha sfruttato la vulnerabilità CVE-2025-61882 (punteggio 9.8) in Oracle E-Business Suite. Allianz UK ha confermato la compromissione di 80 clienti attivi e 670 ex-clienti, sottolineando che l’incidente è distinto dalla violazione subita dalla controllata americana Allianz Life USA. Il gruppo Clop, già noto per la campagna MOVEit del 2023, ha esteso le proprie operazioni sfruttando zero-day massivi e attaccando infrastrutture enterprise non aggiornate. Oltre ad Allianz, tra le vittime figurano anche il Washington Post e la compagnia aerea Envoy Air, controllata da American Airlines. Google Threat Intelligence monitora la catena di attacchi, stimando decine di organizzazioni coinvolte. Le aziende britanniche sono ora impegnate in una corsa per applicare le patch di sicurezza e notificare i clienti secondo le tempistiche imposte dal GDPR.
Difese e strategie di mitigazione contro le nuove minacce
L’ondata di attacchi spinge aziende e istituzioni a rafforzare le difese cyber e ad adottare autenticazione multifattore universale, audit regolari delle credenziali e policy di password robuste basate su tre parole casuali, come raccomandato dal NCSC. Le organizzazioni devono istituire piani di risposta testati, includendo simulazioni di incidenti e procedure di offboarding per ridurre il rischio di abusi interni. Le autorità britanniche stanno inoltre incoraggiando l’uso di AI per il rilevamento comportamentale e di monitoraggio continuo dei log di sistema, mentre la cooperazione internazionale tra USA e UK si intensifica per contrastare gruppi come Clop e Silk Typhoon. Secondo la Bank of England, la resilienza informatica è ora un indicatore economico strategico, tanto quanto inflazione o occupazione, e influenzerà direttamente le politiche monetarie e fiscali dei prossimi anni.
