Il tuo software è una bomba a orologeria. E la miccia è nella supply chain.

Daemon Tools è solo l'antipasto. Il problema è il tuo intero stack.

C'è una notizia che dovrebbe far dormire sonni poco tranquilli a chiunque gestisca un'infrastruttura digitale. Un software comunissimo, Daemon Tools, usato per montare immagini disco, è stato farcito di codice malevolo per mesi. Un attacco alla supply chain. Silenzioso. Letale. E mentre tutti si preoccupano del firewall, il nemico è entrato dalla porta di servizio, con tanto di pass firmato digitalmente. Non è un film, è la normalità operativa del 2026. La tua sicurezza non dipende più dal tuo codice, ma da quello di migliaia di sconosciuti che hanno contribuito a ogni singola dipendenza che il tuo team ha importato con un comando. E il conto, alla fine, lo paghi tu. In downtime, in dati rubati, in reputazione andata a gambe all'aria.

Qui a ThinkPink, che si lavori dalla nostra trincea di Rosignano Solvay o si tiri su un sistema resiliente a Kampala, abbiamo una regola non scritta: il software non si "fa", si costruisce. E oggi, costruire significa blindare la catena di montaggio, non solo il prodotto finito.

Fidarsi è bene. Del software di terze parti, nel 2026, è da ingenui.

Il caso Daemon Tools è la punta di un iceberg grande come un continente. Un'utility. Una cosa noiosa, quasi invisibile. Compromessa per mesi, capace di distribuire infezioni come un volantino. Pensare che sia un caso isolato è il primo errore. Le stime per il 2026 sono un pugno nello stomaco: gli attacchi alla supply chain sono diventati il vettore primario, non più un'eccezione. I costi? Astronomici. Si parla di oltre 80 miliardi di dollari a livello globale. E queste sono le stime ottimistiche. Altre, che includono i fermi operativi, sfiorano i 184 miliardi. Non sono numeri da report finanziario. Sono notti insonni, clienti persi e danni d'immagine che mettono in ginocchio le aziende. Lo abbiamo visto con i nostri occhi a Rosignano: piccole e medie imprese, eccellenze del loro settore, finite KO per una libreria Javascript marcia. Oltre la metà delle vittime subisce interruzioni della produzione, quasi la metà perde fatturato diretto. La sicurezza perimetrale è un concetto romantico, un fossato medievale nell'era dei droni.

Come ti entrano in casa (passando dalla porta del fornitore).

Dimentica il phishing all'impiegato distratto. Qui il livello è un altro. Gli attaccanti non forzano la tua porta; si fanno dare le chiavi dal tuo fornitore di fiducia. I metodi sono diventati di una banalità disarmante nella loro efficacia:

• L'open source, questo sconosciuto: L'open source è il motore del mondo. Ma chi controlla il motore? L'abuso di ecosistemi come NPM o PyPI è all'ordine del giorno. Basta un maintainer che riutilizza la stessa password ovunque, un sistema di build non protetto, e una riga di codice malevolo finisce in decine di migliaia di progetti downstream. È un castello di carte. E la base trema.
• Le credenziali? Un optional: L'accesso concesso a un fornitore terzo è una superstrada verso i tuoi dati. Una singola password debole, un token hardcodato nel posto sbagliato, e l'effetto domino è garantito. Lo scenario peggiore non è che ti buchino, è che buchino uno dei tuoi 50 fornitori SaaS.
• La catena di montaggio è il vero obiettivo: A che serve attaccare il prodotto finito quando puoi avvelenare la fabbrica? Le pipeline di CI/CD sono il nuovo campo di battaglia. Infiltrarsi nell'ambiente di build, modificare uno script e far sì che sia il fornitore stesso a distribuire l'aggiornamento infetto. Un capolavoro di efficienza.
• L'AI che velocizza il disastro: L'intelligenza artificiale non è solo roba nostra. Anche dall'altra parte la usano. E sono bravi. Le previsioni per il 2026 sono chiare: gli attacchi che prima richiedevano settimane ora si chiudono in poche ore. Il furto di identità e credenziali supererà il malware come arma principale.
• Il far west dello Shadow IT: Il cloud e il lavoro da remoto hanno creato un'anarchia tecnologica. Dipendenze software usate da un singolo sviluppatore, servizi SaaS attivati con una carta di credito aziendale. La maggior parte delle aziende ammette di avere visibilità su meno della metà della propria catena di fornitura. Un buco nero.

Il settore manifatturiero, per esempio, è diventato il bersaglio preferito. Perché? Sistemi legacy tenuti in piedi con lo sputo e una carenza cronica di competenze cyber. Questo dimostra che la linea tra rischio informatico e fallimento aziendale non esiste più.

Quell'1% che non andrà a gambe all'aria: il metodo ThinkPink.

C'è un 1% di aziende che ha smesso di subire e ha iniziato a prepararsi. Non perché sono più grosse, ma perché hanno capito che la resilienza non è un software, è una cultura. In ThinkPink siamo ossessionati da questo. L'obiettivo non è tappare i buchi, ma costruire una nave che stia a galla anche con una falla. Ecco come lo facciamo, senza slide motivazionali.

Costruire sapendo cosa c'è dentro: SBOM e visibilità brutale.

Non puoi proteggere quello che non sai di avere. Il Software Bill of Materials (SBOM) è diventato l'equivalente della lista degli ingredienti su un prodotto alimentare. Nel 2026, generare un SBOM non è più un vezzo da nerd, ma una parte automatizzata del processo di build. Normative come il Cyber Resilience Act in UE o le direttive CISA negli USA lo stanno rendendo obbligatorio. Settembre 2026 è dietro l'angolo. Molte aziende italiane che seguiamo sono bravissime a fare il loro prodotto, ma non hanno la minima idea di cosa ci sia dentro. Il nostro approccio è pratico: l'SBOM non è un documento per l'avvocato, è uno strumento per lo sviluppatore. Deve dire subito se quella libreria è spazzatura. E andiamo oltre, con i Pipeline Bill of Materials (PBOMs), per tracciare anche gli strumenti che costruiscono il software, non solo i pezzi che lo compongono.

Paranoia come policy: Zero Trust applicato alla supply chain.

Il mantra è semplice: "non fidarsi mai, verificare sempre". È l'approccio Zero Trust. Significa partire dall'assunto che i tuoi fornitori *siano già* compromessi e agire di conseguenza. I nostri ragazzi a Kampala lo usano per necessità: in ambienti dove le risorse sono contate, la resilienza si ottiene massimizzando il controllo, non la fiducia. In un'architettura Zero Trust, ogni accesso, ogni API call, ogni pacchetto viene ispezionato. Sempre. I privilegi sono ridotti all'osso e a tempo. Estendiamo questo concetto a ogni dipendenza: la fiducia implicita è morta.

Blindare la fabbrica, non solo il magazzino: DevSecOps e intelligence che non dorme mai.

Sviluppare velocemente è inutile se poi devi fermare tutto per un incidente. La sicurezza deve essere parte del processo, non un controllo di qualità alla fine. Questo è DevSecOps. Non è una metodologia, è smettere di pensare che la sicurezza sia un problema di qualcun altro. Significa scrivere codice pensando a come potrebbe essere rotto, scegliere dipendenze con la stessa cura con cui si sceglie un socio in affari, e avere un piano per quando le cose, inevitabilmente, andranno male. L'automazione qui non è un lusso, è l'unica via. Le piattaforme di threat intelligence ci devono dire in tempo reale se un pacchetto è diventato tossico, prima che finisca nel nostro codice. Il report di Group-IB per il 2026 è un monito: gli attacchi si sposteranno sempre di più su piattaforme multi-tenant come CRM ed ERP. Un colpo solo per fare centinaia di vittime.

Dalla provincia al mondo: la lezione di Rosignano Solvay.

La PMI italiana media pensa che questa roba sia per le multinazionali. Errore fatale. La rete non fa distinzioni. Un attacco a un componente open source sviluppato a San Francisco ha effetti devastanti sulla piccola azienda meccanica di provincia. La sicurezza oggi si è democratizzata, nel bene e nel male. Il nostro approccio, da Rosignano a Kampala, è lo stesso: pragmatismo.

• Analisi sul campo: Non usiamo checklist. Analizziamo le tue dipendenze reali, quelle che il tuo team usa davvero, non quelle che stanno sulla carta.
• Sicurezza fin dalla prima riga: Trasformiamo gli sviluppatori da gente che scrive codice a gente che costruisce fortezze. La sicurezza è un requisito, non un fix.
• Automazione, non burocrazia: Implementiamo sistemi automatici di scansione, generazione di SBOM e monitoraggio. Il lavoro manuale è lento e fallibile.
• Formazione da trincea: Insegniamo ai team a pensare come un attaccante, a prevedere le mosse, a non fidarsi di niente.

La vera sfida non è evitare l'attacco. È essere ancora in piedi il giorno dopo. La tua azienda, non importa quanto piccola, è un nodo di questa rete globale. Non lasciare che i costi nascosti di un software fatto da altri distruggano il tuo lavoro.

Nel 2026, stare fermi è il vero rischio. Il caso Daemon Tools è l'ultima sveglia. La domanda non è *se* succederà, ma se la tua organizzazione sarà pronta a rispondere o diventerà solo un'altra riga in una statistica. Non aspettare di diventare la prossima notizia. Contattaci e vediamo di blindare quella catena di montaggio, un anello alla volta.