Quando nella notte del 23 marzo 2026 Netalia rileva un’anomalia critica nei propri sistemi core, la società genovese, uno dei principali provider cloud italiani, con infrastrutture distribuite su tre regioni esclusivamente nazionali, comprende immediatamente di trovarsi davanti a un evento di natura eccezionale.

Poche ore dopo, la conferma: si tratta di un attacco ransomware, successivamente rivendicato dal gruppo Qilin, uno dei collettivi cybercriminali più attivi nel panorama europeo.

Un’infrastruttura sotto pressione

L’azienda riporta che l’attacco ha colpito componenti centrali della piattaforma cloud, rendendo temporaneamente indisponibili archivi e servizi utilizzati da enti pubblici e privati. Netalia chiarisce fin da subito un punto cruciale: “allo stato attuale, non vi sono evidenze di esfiltrazione dei dati”. Una posizione ribadita anche nei giorni successivi, mentre le analisi forensi – affidate a soggetti terzi indipendenti – procedono per ricostruire la dinamica dell’incidente.

La società notifica tempestivamente l’evento allo CSIRT Italia, alla Polizia Postale e al Garante Privacy, attivando tutte le procedure previste per un incidente di sicurezza di questa portata.

Il caso Genova: quando il cyber impatta la vita quotidiana

Fra i servizi più colpiti, uno in particolare finisce al centro dell’attenzione pubblica: il pagamento online delle multe del Comune di Genova: un sistema che resta in tilt per giorni, costringendo l’amministrazione a prorogare i termini per non far perdere ai cittadini la riduzione del 30% sulle sanzioni. La Procura apre un’inchiesta a carico di ignoti, mentre la Polizia Postale concentra le indagini proprio su Qilin, già noto per attacchi con richiesta di riscatto in criptovalute.

L’episodio evidenzia un punto spesso sottovalutato: quando un provider cloud viene colpito, a essere impattati non sono solo i clienti diretti, ma interi servizi pubblici essenziali, con ricadute immediate sulla vita delle persone.

La lunga strada del ripristino

Nei giorni successivi all’attacco, Netalia avvia un percorso di recovery complesso, scandito da aggiornamenti quotidiani:

• il 27 marzo viene completata la bonifica della prima region;
• il 28 marzo nasce la “bolla protetta”, un ambiente sicuro ricostruito da zero per ospitare i workload ripristinati;
• tra il 29 marzo e il 3 aprile si procede alla riallocazione progressiva dei dati, con il ritorno online di alcuni servizi chiave, tra cui proprio quello del Comune di Genova;
• l’8 aprile l’azienda comunica di aver migrato nella bolla protetta oltre l’85% dei dati dei clienti attivi.

Pochi giorni fa,12 maggio arriva l’aggiornamento conclusivo: l’infrastruttura è bonificata e fortificata, ma una parte circoscritta dei dati non è recuperabile, nonostante settimane di lavoro con tecniche avanzate di data recovery e reverse engineering.

Cosa ha reso possibile l’attacco

L’analisi forense chiarisce un elemento decisivo: l’infrastruttura perimetrale non presenta vulnerabilità strutturali. La falla è invece riconducibile a un errore procedurale, che ha esposto l’organizzazione e compromesso l’efficacia dei sistemi di rilevazione e difesa. Un dettaglio che sposta l’attenzione dal “tecnico” al “processuale”: anche un’infrastruttura solida può essere messa in crisi da un singolo punto debole nella catena operativa.

Un incidente che diventa spartiacque

L’attacco a Netalia non è un semplice incidente informatico: è un segnale strutturale che racconta molto di più sullo stato della sicurezza digitale italiana. Mostra come la dipendenza da un unico fornitore possa trasformare un disservizio in un rischio sistemico, soprattutto quando quel fornitore eroga servizi considerati essenziali per enti pubblici e organizzazioni critiche.

Rende evidente anche quanto la resilienza della supply chain digitale non sia più un tema tecnico, ma un requisito di continuità operativa: senza una filiera robusta, ogni anello diventa un potenziale punto di rottura. E questo vale in particolare per la PA, che spesso concentra servizi strategici su pochi provider cloud o infrastrutturali.

Allo stesso tempo, l’episodio dimostra che la tecnologia da sola non basta. Servono processi interni maturi, governance chiara, capacità di valutare e monitorare i fornitori, piani di risposta agli incidenti che includano scenari di compromissione della terza parte. È la parte meno visibile della cybersecurity, ma quella che fa davvero la differenza quando qualcosa va storto.

Infine, l’attacco conferma la crescita di gruppi ransomware come Qilin, sempre più organizzati, aggressivi e orientati a colpire infrastrutture critiche per massimizzare l’impatto. Non si tratta più di criminalità opportunistica, ma di veri attori strutturati che operano con logiche quasi industriali.

Netalia, dal canto suo, parla di un “momento di evoluzione”: sistemi, processi e organizzazione sono stati rivisti e potenziati, con un approccio più orientato a prevenzione, monitoraggio continuo e continuità operativa.

Una lezione per l’intero ecosistema digitale italiano

L’incidente dimostra quanto la sicurezza non sia mai un elemento “a valle”, ma un prerequisito strategico per la tenuta del sistema Paese. E conferma che, nell’era della cloudizzazione dei servizi pubblici, un attacco informatico non è più solo un problema tecnico: è un tema di interesse pubblico, con impatti concreti su cittadini, imprese e istituzioni.

A raccontare l’episodio e, soprattutto, il modo in cui è stato vissuto, gestito e riportato alla normalità sarà Luca Orabona, Direttore Operativo di Netalia, ospite del 277° Coffeetech.