I Data breach e gli attacchi ransomware tornano a colpire settori strategici in più continenti, mettendo sotto pressione infrastrutture critiche, grandi piattaforme digitali e istituzioni educative. Nel primo periodo emergono con chiarezza i casi che definiscono il quadro globale: l’attacco ransomware contro l’autorità idrica rumena Apele Române, la violazione su larga scala all’Università di Phoenix attribuita al gruppo Clop, e la massiccia esposizione di dati personali che coinvolge Coupang in Corea del Sud. Episodi diversi per tecniche e contesti, ma uniti da un filo comune: vulnerabilità persistenti, gestione inadeguata degli accessi e un ritardo strutturale nell’adeguamento delle difese rispetto alla sofisticazione delle minacce. Le conseguenze non sono solo tecniche, ma anche operative, finanziarie e regolatorie, con un impatto diretto sulla fiducia di cittadini e consumatori.
Cosa leggere
Ransomware contro l’autorità idrica rumena e uso di BitLocker
L’attacco che ha colpito Apele Române si inserisce nel filone sempre più frequente di ransomware contro infrastrutture critiche. L’incursione, avvenuta nel fine settimana precedente al 22 dicembre 2025, ha compromesso circa 1.000 sistemi informatici, sfruttando BitLocker di Windows per cifrare i file. I sistemi coinvolti includono server per sistemi informativi geografici, database, servizi email e web, oltre a workstation e server DNS. Gli attaccanti hanno lasciato una nota di riscatto chiedendo un contatto entro sette giorni, senza tuttavia rivendicare pubblicamente l’operazione.
Nonostante l’impatto sull’IT, l’autorità ha confermato che le operazioni idrotecniche non hanno subito interruzioni. La gestione delle dighe, delle previsioni idrologiche e delle protezioni contro le alluvioni è proseguita grazie a comunicazioni vocali e radio, con il personale sul campo che ha operato localmente gli impianti. Questo dettaglio evidenzia una separazione ancora efficace tra tecnologie operative e sistemi informativi, ma non riduce la gravità dell’incidente.
Le indagini coinvolgono la Direzione Nazionale per la Sicurezza Cibernetica, il Servizio di Intelligence Rumeno e il centro nazionale Cyberint, che hanno avviato l’integrazione dell’infrastruttura idrica nei sistemi di protezione centralizzati. L’episodio arriva dopo ripetuti avvertimenti su gruppi hacktivisti pro-Russia e campagne mirate contro infrastrutture essenziali in Europa orientale, confermando l’esposizione strutturale di questo settore.
Breach all’Università di Phoenix e zero-day Oracle EBS
Negli Stati Uniti, la violazione che ha colpito l’Università di Phoenix rappresenta uno dei casi più gravi del 2025 in ambito accademico. Il gruppo Clop ha sfruttato una vulnerabilità zero-day in Oracle E-Business Suite, compromettendo i sistemi dell’ateneo già nell’agosto 2025. La breccia ha portato all’esfiltrazione dei dati di 3.489.274 individui, tra studenti, ex studenti e personale.
Le informazioni sottratte includono nomi, recapiti, date di nascita, numeri di sicurezza sociale, oltre a coordinate bancarie come numeri di conto e routing. L’università ha rilevato formalmente l’incidente solo il 21 novembre 2025, quando Clop ha pubblicato il nome dell’istituto sul proprio sito di leak. La gestione dell’evento ha richiesto il deposito di un modulo 8-K presso la SEC e l’invio di notifiche agli interessati nei giorni successivi.
Come misura di mitigazione, l’università offre 12 mesi di protezione dell’identità, con monitoraggio del credito, rimborsi per frodi fino a un milione di euro e scansioni del dark web. Il caso rientra in una campagna più ampia di Clop contro organizzazioni che utilizzano Oracle EBS, già sfruttato per colpire altre università statunitensi. Il Dipartimento di Stato USA ha messo sul piatto una ricompensa di 9,17 milioni di euro per informazioni che colleghino il gruppo a governi stranieri, segnale della rilevanza geopolitica attribuita a queste operazioni.
Violazione Coupang e rischio insider in Corea del Sud
In Asia, la violazione che coinvolge Coupang assume contorni particolarmente delicati per dimensioni e modalità. Un ex dipendente ha mantenuto accessi attivi ai server esteri dell’azienda per cinque mesi, dal 24 giugno all’8 novembre 2025, sfruttando chiavi di accesso non revocate dopo le dimissioni. Il risultato è l’esposizione di 33,7 milioni di account clienti, un numero che supera il precedente record nazionale stabilito dal caso SK Telecom.
I dati sottratti comprendono nomi, numeri di telefono, indirizzi email, indirizzi di consegna e storici di acquisto. Pur non includendo direttamente informazioni di pagamento, la combinazione di questi dati non cifrati consente la ricostruzione di pattern di vita, strutture familiari e abitudini di consumo, aumentando il rischio di spear-phishing, frodi mirate e persino minacce fisiche.
Coupang ha individuato accessi anomali il 6 novembre, ma ha completato l’analisi dell’incidente solo il 18 novembre, confermando pubblicamente la violazione il 29 novembre 2025. La normativa coreana non impone la cifratura per questo tipo di dati, limitando l’obbligo alle informazioni di pagamento e agli identificatori univoci. La vicenda ha però acceso un forte dibattito pubblico sulla inadeguatezza delle protezioni legali, con la nascita rapida di forum e iniziative di class action che hanno raccolto oltre 200.000 partecipanti in pochi giorni.
Impatto operativo e finanziario degli incidenti
Dal punto di vista operativo, l’attacco in Romania ha dimostrato come la resilienza delle infrastrutture fisiche possa mitigare i danni immediati, ma ha comunque bloccato sistemi IT essenziali, rallentando attività amministrative e di analisi. Negli Stati Uniti, la breach all’Università di Phoenix espone milioni di persone a furti di identità e frodi finanziarie potenzialmente di lungo periodo, con costi indiretti elevati per banche e consumatori.
Il caso Coupang presenta un impatto ancora più ampio sul piano reputazionale. In un mercato e-commerce altamente competitivo, la perdita di fiducia può tradursi in cali di utilizzo e in sanzioni rilevanti. Le multe previste possono arrivare fino al 3% del fatturato annuo, con stime che vanno da 137 milioni di euro a oltre 1,1 miliardi di euro nei casi più gravi. A questi si aggiungono i costi di gestione dell’incidente, delle indagini e delle azioni legali.
Domande frequenti sugli Outflows Crypto
Perché ci sono stati outflows così massicci dai fondi crypto questa settimana?
Gli outflows per 873 milioni di euro sono dovuti principalmente a prese di profitto da parte degli investitori dopo i rialzi dei mesi precedenti, uniti a una fase di incertezza normativa e macroeconomica che ha spinto alla cautela su asset volatili come Bitcoin ed Ethereum.
Perché XRP e Solana stanno attirando capitali mentre il mercato scende?
XRP e Solana sono visti come asset con potenziale di crescita inespresso o legati a narrative specifiche (come nuovi prodotti DeFi per XRP o l’espansione dell’ecosistema Solana). Gli investitori stanno riallocando capitali verso queste altcoin percepite come “sottovalutate” rispetto ai leader di mercato.
Cosa significa il trasferimento di asset di BlackRock su Coinbase Prime?
Nonostante i deflussi dai suoi ETF, i trasferimenti di Bitcoin ed Ethereum su Coinbase Prime indicano che BlackRock sta gestendo attivamente la custodia e la liquidità dei suoi asset, preparandosi per future operazioni e non disinvestendo strutturalmente dal settore.
Qual è la novità regolatoria in Ghana?
Il Ghana ha approvato il “Virtual Asset Service Providers Bill 2025”, una legge che legalizza il trading di criptovalute sotto la supervisione della banca centrale, introducendo licenze e norme di compliance per favorire l’adozione sicura degli asset digitali nel paese.
