I data breach che coinvolgono banche statunitensi tramite il fornitore Marquis e la violazione dei sistemi di Leroy Merlin in Europa rappresentano un campanello d’allarme per la sicurezza digitale transatlantica. Nel primo periodo emergono i punti chiave: i cybercriminali colpiscono Marquis Software Solutions, esponendo dati sensibili di oltre 74 istituzioni finanziarie USA, mentre in Francia Leroy Merlin conferma un accesso non autorizzato ai dati anagrafici di migliaia di clienti. In un contesto europeo dove il mercato bancario digitale supera i 300 miliardi di euro annui e quello retail coinvolge catene operative su più paesi, queste violazioni dimostrano come vulnerabilità su fornitori terzi, firewall obsoleti, endpoint non protetti e infrastrutture ibride possano tradursi in rischi sistemici. Gli attacchi evidenziano la persistenza di punti ciechi tecnologici, nonostante investimenti elevati in difesa, e alimentano lo spettro di furti d’identità, phishing mirati e estorsioni digitali. Le autorità europee, incluse ENISA e organismi nazionali, monitorano gli sviluppi mentre aziende e istituzioni rafforzano i protocolli, in un anno in cui i breach potrebbero superare costi diretti e indiretti pari a 50 miliardi di euro per l’UE.
Cosa leggere
Dinamiche dell’attacco a Marquis e impatto sul settore bancario
L’attacco a Marquis Software Solutions, avvenuto il 14 agosto 2025, rappresenta un caso emblematico di come una vulnerabilità nella supply chain possa compromettere l’intero sistema bancario. I criminali sfruttano una falla nota del firewall SonicWall, riuscendo a infiltrarsi nei server di un fornitore che gestisce analisi dati, CRM e strumenti di compliance per oltre 700 istituzioni finanziarie USA. L’accesso non autorizzato consente di estrarre informazioni estremamente sensibili, inclusi numeri di previdenza sociale, identificativi fiscali, indirizzi completi, numeri di telefono e dettagli sui conti correnti, senza codici di accesso. La compromissione coinvolge più di 400.000 clienti, distribuiti tra First Northern Bank of Dixon, Florida Credit Union, Suncoast Credit Union e decine di altri istituti. Le notifiche alle vittime iniziano a ottobre e proseguono fino al 3 dicembre 2025, data in cui l’incidente viene reso pubblico in modo esteso. Le istituzioni colpite avviano lockdown temporanei dei sistemi CRM, bloccano funzioni di reportistica e sospendono attività di marketing digitale, evidenziando come un singolo breach possa influenzare l’intero modello operativo del settore. Marquis paga un riscatto non divulgato, pratica controversa che sostiene indirettamente l’economia del cybercrime e apre il dibattito su normative più severe proibitive del pagamento. Le analisi post-incidente rivelano che l’exploit SonicWall, noto dal 2024, era privo di patch, riflettendo carenze nella gestione delle vulnerabilità. In Europa emergono paralleli significativi: fornitori cloud e integratori esterni sono tra i principali vettori di compromissione, con l’Italia che registra 20 breach analoghi nel 2025, per un totale di 1,5 milioni di record compromessi. La violazione innesca timori su security governance, vendor management e resilienza delle infrastrutture bancarie, mentre i cybercriminali adottano una strategia di silenzio, evitando di pubblicare immediatamente i dati sui marketplace del dark web. Questo comportamento suggerisce una possibile seconda fase di estorsione o sfruttamento privato dei dati rubati.
La violazione a Leroy Merlin e i rischi per il settore retail europeo
Il caso Leroy Merlin, emerso il 3 dicembre 2025, mostra un altro scenario di vulnerabilità critica, questa volta nel settore retail. La compagnia, con 165.000 dipendenti e ricavi di 9,1 miliardi di euro, conferma un accesso non autorizzato ai sistemi informativi che espone nomi completi, indirizzi postali, email, numeri di telefono e date di nascita dei clienti francesi. La violazione non include password o coordinate bancarie, riducendo la possibilità di frodi finanziarie dirette, ma amplificando il rischio di phishing avanzato e social engineering. Leroy Merlin opera in 14 paesi europei, tra cui l’Italia con oltre 50 punti vendita, ma esclude per ora un impatto sulle filiali estere. Le analisi interne indicano che l’attacco sfrutta probabilmente un endpoint esposto, come un portale e-commerce o un sistema di loyalty program. La società blocca rapidamente l’accesso illecito e avvia protocolli di notifica ai clienti, che ricevono istruzioni su come identificare messaggi fraudolenti e monitorare le attività sospette.
In Italia, dove il marchio genera 800 milioni di euro all’anno, i team di sicurezza effettuano scansioni dei database per verificare eventuali correlazioni. L’ENISA classifica gli attacchi ai retailer come eventi ad “alta priorità”, per l’elevata quantità di dati personali demografici che possono essere utilizzati per campagne di impersonificazione o frodi basate su abbonamenti. Gli analisti attribuiscono l’incidente a possibili campagne di credential stuffing, sfruttando email già esposte in breach precedenti.
Confronto tra i due breach: differenze strutturali e impatti settoriali
Gli attacchi a Marquis e Leroy Merlin condividono la dipendenza da vulnerabilità di terze parti, un fattore ricorrente nei breach del 2025. Entrambi espongono dati personali critici, favorendo furti d’identità anziché transazioni fraudolente immediate. Tuttavia, emergono differenze rilevanti. Il caso Marquis coinvolge decine di banche, con una catena di notifiche che impatta 400.000 utenti e mette in discussione la supply chain security del settore fintech. Leroy Merlin, invece, presenta un impatto circoscritto alla Francia, con dati meno sensibili ma comunque valorizzabili per profilazione malevola e spam mirato. I costi di remediation stimati superano i 10 milioni di euro nel caso Marquis e si aggirano intorno ai 2 milioni di euro nel caso Leroy Merlin, includendo comunicazioni ai clienti, audit e rafforzamento delle difese. In Italia, secondo AGID, il settore bancario perde 500 milioni di euro all’anno per attacchi simili, mentre il retail registra circa 200 milioni di euro di danni diretti e indiretti. Le tattiche criminali evolvono rapidamente: ransomware persistente nel settore finanziario, accessi stealth e senza cifratura nel settore retail. In entrambi gli scenari però i criminali evitano leak immediati, preferendo strategie “low and slow” per monetizzare i dati nel lungo periodo ed eludere le difese basate su AI.
Impatti economici e regolatori in Europa e Italia
Le violazioni incidono sul tessuto economico europeo. I clienti delle banche colpite da Marquis mostrano un tasso di abbandono del 15% nei servizi digitali, generando perdite stimate in 20 milioni di euro. In Europa, Leroy Merlin rischia sanzioni fino al 4% dei ricavi annuali, equivalenti a 360 milioni di euro, se eventuali ritardi nelle notifiche venissero confermati. Il mercato italiano percepisce un impatto indiretto ma significativo: con 10 milioni di utenti potenzialmente esposti a phishing derivato da dati demografici, il Garante Privacy osserva un aumento del 25% nelle segnalazioni post-incidente. Nel settore fintech, gli investimenti in cybersecurity raggiungono 1 miliardo di euro nel 2025, mentre i retailer affrontano costi aggiuntivi da 5 milioni di euro ciascuno per campagne antifrode e rafforzamento dei controlli interni. La combinazione tra set di dati sottratti da Marquis e informazioni demografiche di Leroy Merlin alimenta il mercato nero dei record digitali, con prezzi medi pari a 10 euro per profilo. Le aziende europee rispondono adottando modelli zero trust, riducendo del 30% le superfici esposte e accelerando la segmentazione dei database per contenere l’ampiezza degli impatti.
Misure di mitigazione e lezioni operative
Marquis adotta misure drastiche: rotazione credenziali, patching immediato, MFA obbligatoria, blocco dei flussi sospetti e rafforzamento dei sistemi di logging. Le credit union colpite estendono questi requisiti ai contratti con i fornitori, imponendo audit periodici per prevenire future vulnerabilità. Leroy Merlin focalizza invece la risposta su monitoraggio 24/7, strumenti SIEM avanzati e campagne di educazione per i clienti, offrendo anche crediti fedeltà per mitigare l’impatto reputazionale. In Italia, banche e retailer integrano nuove procedure di analisi proattiva, incluse scansioni regolari dei firewall SonicWall e test di penetrazione mirati a endpoint esposti. Gli esperti suggeriscono modelli di segmentazione dei dati che isolano le informazioni anagrafiche da quelle finanziarie, riducendo del 40% il potenziale danno in caso di breach. Il 2025 mostra una crescita evidente dei breach di supply chain, con proiezioni che indicano oltre 100 incidenti gravi entro l’anno, alimentando la necessità di strategie difensive coordinate tra UE e Stati Uniti per contenere gruppi ransomware sempre più radicati e strutturati.
