CYBERBRIEFING — Martedì 12 maggio 2026
Edizione MATTINA
🔴 IN PRIMO PIANO
Hacker cinesi dentro le reti della PA italiana: il caso GhostEmperor e Sistemi Informativi
Sistemi Informativi S.p.A., società romana controllata da IBM Italia e fornitore strategico di infrastrutture IT per la Pubblica Amministrazione, è stata colpita da un’intrusione cyber attribuita al gruppo di spionaggio cinese GhostEmperor. L’attacco, durato circa due settimane, ha confermato la capacità degli aggressori di mantenersi silenziosamente all’interno delle reti bersaglio. La vicenda si inserisce in un più ampio scenario di cyberguerra silenziosa condotta da attori statali cinesi contro infrastrutture occidentali, con l’Italia nel mirino. I servizi essenziali sono stati ripristinati, ma le indagini sono ancora in corso.
🔗 CyberSec Italia | Difesa Online
📰 LE NOTIZIE DI OGGI
1. CERT-AgID: phishing Agenzia delle Entrate in piena attività
Nella settimana del 10-16 maggio, il CERT-AgID ha rilevato una nuova campagna di phishing che sfrutta il nome dell’Agenzia delle Entrate. Le email, che notificano una fantomatica “Notifica Amministrativa”, invitano a cliccare un link che porta a una pagina fraudolenta identica al portale ufficiale. L’obiettivo è rubare credenziali di accesso. Il CERT ha già distribuito gli indicatori di compromissione agli enti accreditati.
2. Smishing INPS e false multe PagoPA: 116 campagne malevole in una settimana
Nella settimana 2-8 maggio, il CERT-AgID ha rilevato ben 116 campagne malevole (78 mirate all’Italia), con 854 indicatori di compromissione distribuiti. Tra i vettori più usati: smishing che impersona l’INPS promettendo rimborsi statali per rubare documenti e dati personali, e 19 campagne phishing con false notifiche di multe non pagate via PagoPA. Le banche più imitate: Intesa Sanpaolo, Nexi, ING e BCC.
3. “Dirty Frag”: vulnerabilità critica nel kernel Linux, patch d’emergenza in corso
Una grave vulnerabilità soprannominata “Dirty Frag” nel kernel Linux sta spingendo le principali distribuzioni (Debian, Ubuntu, Red Hat e altre) a rilasciare patch d’emergenza. Il difetto potrebbe essere sfruttato per escalation di privilegi o disruption di sistemi. Chi gestisce server Linux in produzione è invitato ad applicare gli aggiornamenti il prima possibile.
4. ShinyHunters rivendica 365TB di dati da Canvas: allarme nel settore education
Il noto gruppo hacker ShinyHunters ha dichiarato di aver violato Canvas, una delle piattaforme LMS (Learning Management System) più diffuse nelle università mondiali, sottraendo un volume enorme di dati (365TB rivendicati). La violazione potrebbe coinvolgere dati di studenti, docenti e istituzioni accademiche in tutto il mondo. Le indagini sono in corso e Canvas non ha ancora rilasciato una dichiarazione ufficiale.
5. Attacco supply chain ai pacchetti npm TanStack: credenziali sviluppatori a rischio
Ricercatori di sicurezza hanno scoperto un attacco alla supply chain npm che ha preso di mira i pacchetti della libreria TanStack, molto usata dagli sviluppatori JavaScript. I pacchetti compromessi erano progettati per rubare credenziali dai sistemi degli sviluppatori. Chi usa TanStack in progetti attivi è invitato a verificare le versioni installate e aggiornare immediatamente.
6. Meta fa marcia indietro sulla privacy: Instagram rimuove i DM cifrati
Meta ha silenziosamente rimosso la crittografia end-to-end dai messaggi diretti di Instagram, ampliando nel contempo la profilazione AI degli utenti. La mossa, annunciata senza grande clamore, segna un passo indietro significativo rispetto agli impegni sulla privacy degli ultimi anni. Gli utenti che si affidavano alla crittografia per conversazioni sensibili devono considerare alternative come Signal o WhatsApp (che per ora mantiene la crittografia).
7. Falsi installer di strumenti AI diffondono malware infostealer tra gli sviluppatori
Una campagna malevola sta distribuendo installer contraffatti di strumenti AI popolari tra sviluppatori e professionisti IT. I file, distribuiti tramite siti fasulli e post sui social, installano in realtà un infostealer basato su Chromium in grado di sottrarre credenziali salvate nel browser, cookie di sessione e portafogli di criptovalute. Scaricare sempre software esclusivamente dai siti ufficiali.
8. Ransomware in Italia: multiple aziende colpite, i gruppi SAFEPAY e Qilin più attivi
Il panorama ransomware italiano rimane sotto pressione: nella prima settimana di maggio i gruppi SAFEPAY (ha colpito Zona Ovest di Torino, Soavegel e Studio Ubertazzi), Qilin (Complastex e Inox Market Service) e altri hanno rivendicato attacchi a PMI italiane. Il dato di contesto: secondo il rapporto Clusit 2026, gli attacchi informatici gravi in Italia sono cresciuti del 42% rispetto all’anno precedente.
🔗 Telsy | NPC Academy
🛡️ CONSIGLIO DEL GIORNO
Non fidarti mai di email che sembrano provenire dall’Agenzia delle Entrate o da PagoPA. L’amministrazione pubblica italiana non chiede mai di cliccare link per inserire credenziali. Se ricevi una notifica sospetta, accedi direttamente al sito ufficiale digitando l’indirizzo nel browser, senza usare i link presenti nel messaggio.
Cyberbriefing Mattutino è una newsletter indipendente di cybersecurity in italiano.
🔔 Segui tutto il network su dariofadda.it — CVE News • HackMonitor • Cyber Intelligence
🔗 Fonti: BleepingComputer • Dark Reading • Infosecurity Magazine • x.com UndercodeNews, ThreatMon, GitHub Blog, Zee News, CNN, SamMobile
📡 Aggiornamenti quotidiani