Blog sull’e-government | La Posta

E-mail ancora il tallone d’Achille: come dovrebbero agire ora i gestori di infrastrutture critiche

Scritto da Die Schweizerische Post AG | 8-lug-2025 6.00.00

Sia che si tratti di sanità, approvvigionamento energetico, autorità pubbliche, sistemi finanziari o trasporti pubblici, le infrastrutture critiche (KRITIS, acronimo tedesco) costituiscono la colonna portante della nostra società. In un mondo sempre più interconnesso, l’e-mail rimane il mezzo di comunicazione centrale, ma è anche uno dei varchi preferiti per gli attacchi informatici.

 

 

In particolare, le organizzazioni in Germania, Austria e Svizzera sono sempre più prese di mira e sono pertanto soggette a regolamentazioni sempre più stringenti a livello nazionale ed europeo. Per far fronte alle minacce nel mondo digitale, oltre ai classici meccanismi di protezione come i filtri antispam e la protezione antivirus, sono ora necessarie anche misure estese per dimostrare la conformità normativa (prova di compliance). Queste richiedono risorse aggiuntive. Per questo le soluzioni di sicurezza intelligenti e adattabili sono oggi più richieste che mai.

 

Lo scenario delle minacce: complesso, professionale, che non conosce confini nazionali

 

Le organizzazioni di rilevanza sistemica in Germania, Austria e Svizzera sono sempre più colpite da attacchi che sfruttano la vulnerabilità del traffico di e-mail, ad esempio:

  • Campagne di phishing e spear phishing mirate che puntano sulla fiducia e sulla personalizzazione;
  • Attacchi Business Email Compromise (BEC) che puntano al furto di dati di accesso o alla deviazione di transazioni finanziarie;
  • Attacchi alla supply chain tramite e-mail compromesse di offerenti terzi.

 

Questi attacchi sono sempre più ostinati, sofisticati e spesso parte di campagne coordinate, con un notevole potenziale di danno.

 

Perché proprio le e-mail sono così vulnerabili?

 

Molte organizzazioni critiche (KRITIS) hanno investito nella protezione dal perimetro e nel monitoraggio della rete. Tuttavia, l’e-mail rimane l’anello più debole per tre motivi fondamentali:

  1. Errore umano: anche il personale ben formato può essere manipolato con e-mail di phishing personalizzate.
  2. Ambienti IT eterogenei: i vecchi sistemi e le moderne applicazioni cloud spesso non sono integrati in modo adeguato.
  3. Comunicazione transfrontaliera: le e-mail attraversano regolarmente i confini nazionali, rendendo più difficile il controllo e la protezione.

 

Pressione regolatoria in aumento

 

Allo stesso tempo, i legislatori di tutti e tre i Paesi dell’area DACH stanno inasprendo le normative:

  • Germania: la Legge sulla sicurezza IT 2.0 obbliga i gestori di KRITIS a implementare disposizioni di sicurezza nettamente più severe.
  • Austria: la legge NISG attua a livello nazionale la direttiva europea NIS e richiede standard elevati in materia di obblighi di segnalazione e misure di protezione.
  • Svizzera: con la ciberstrategia nazionale (CSN) ci sono requisiti chiari per i settori critici, anche senza appartenenza all’UE.

Una cosa è chiara: con l’aumento della comunicazione digitale aumentano anche le esigenze normative.

 

Sicurezza moderna delle e-mail – cosa conta adesso

 

Per far fronte alla situazione di pericolo e ai requisiti regolatori è necessario un approccio globale:

  • Analisi delle minacce basata sull’IA che si adatta in tempo reale a nuovi modelli di attacco;
  • Riconoscimento delle anomalie basato sul comportamento per riconoscere tempestivamente attività sospette;
  • Crittografia end-to-end per la massima riservatezza;
  • Meccanismi di reazione automatizzati per intervenire in modo rapido e mirato in caso di emergenza.

 

Un must strategico – non un tema tecnico margina

 

Da tempo la sicurezza delle e-mail va oltre i filtri antispam e la protezione antivirus: si tratta di proteggere l’integrità aziendale, la sicurezza pubblica e la capacità di resistenza a livello nazionale.

 

Conclusione: per le organizzazioni KRITIS nell’area DACH la sicurezza delle e-mail è obbligatoria. A fronte di minacce complesse e disposizioni severe, sono indispensabili sistemi di difesa intelligenti. L’e-mail resta il principale punto d’ingresso di eventuali attacchi – proteggiamolo.

 

 

 
Visualizza articolo completo