Tecnologia / Cybersecurity

Commissione europea, attacco a Europa.eu: dati esfiltrati

Abbiamo ricostruito il perimetro tecnico del cyberattacco che ha colpito il cloud della Commissione europea usato per Europa.eu, separando i fatti confermati dai passaggi che restano ancora da chiarire al 28/03/2026.

Rilevato il 24 marzo Conferma pubblica del 27 marzo Cloud che ospita Europa.eu Siti rimasti disponibili Sistemi interni non colpiti Indagine ancora aperta

I fatti, allineati ai documenti disponibili fino a oggi, sono questi. La Commissione europea ha scoperto il 24 marzo un attacco contro l’infrastruttura cloud che ospita la propria presenza web su Europa.eu. Il 27 marzo ha confermato che dai siti colpiti sono stati presi dati, che la disponibilità dei siti Europa non è stata interrotta e che i sistemi interni della Commissione non risultano colpiti. Il perimetro pieno resta sotto indagine e sono in corso notifiche agli enti dell’Unione che potrebbero essere stati coinvolti. Qui la domanda giusta non è se ci sia stato un incidente, perché questo è già accertato. La domanda giusta è quali dati siano usciti, dove finisca davvero il perimetro del danno e che cosa questa vicenda ci stia dicendo sulla tenuta della segmentazione tra web pubblico, risorse protette e sistemi amministrativi.

Commissione europea, attacco a Europa.eu: dati esfiltrati e indagine aperta
Cybersecurity UE

Il punto non è solo il furto di dati. Il punto è capire dove finisce davvero il perimetro del cloud pubblico che regge Europa.eu.

La nostra ricostruzione

Nota editoriale: questo approfondimento è aggiornato ai fatti disponibili al 28/03/2026 ore 16:26 come richiesto in pubblicazione, con update log successivo entro le due ore seguenti. Dove il dato pubblico non arriva, lo segnaliamo apertamente e non lo riempiamo con ipotesi.

Sommario dei contenuti

I fatti già verificati

Partiamo dai punti che possiamo fissare senza forzature. Il 24 marzo 2026 la Commissione europea rileva un attacco contro l’infrastruttura cloud che ospita la propria presenza web su Europa.eu. Il 27 marzo rende pubblica la vicenda e mette nero su bianco quattro dati che restano centrali anche oggi. Primo, dai siti colpiti sono stati presi dati. Secondo, la disponibilità dei siti Europa non è stata interrotta. Terzo, i sistemi interni della Commissione non risultano colpiti. Quarto, il perimetro completo è ancora sotto indagine e gli enti dell’Unione potenzialmente toccati stanno venendo informati.

Questo blocco iniziale è già sufficiente per correggere due semplificazioni che stanno circolando. La prima è quella che riduce tutto a un “sito hackerato”. Qui il bersaglio è il cloud che regge una superficie istituzionale molto più ampia. La seconda è quella che spinge verso la formula opposta e parla di cedimento della macchina amministrativa europea. Oggi non abbiamo un dato pubblico che autorizzi quella lettura.

Perché Europa.eu conta più di quanto sembri

Qui conviene fermarsi un momento. Europa.eu non è una vetrina secondaria. La documentazione ufficiale sul dominio e sul portale interistituzionale lo colloca al centro della presenza web europea verso cittadini, imprese, media e amministrazioni. Quando la Commissione dice che l’attacco ha colpito il cloud che ospita quella presenza, sta parlando della facciata digitale con cui l’istituzione informa, pubblica, orienta e in molti casi instrada verso servizi più specifici. Questo spiega perché la permanenza online dei siti abbia un peso tecnico e politico superiore a quello di un semplice indicatore di uptime.

Aggiungiamo un dettaglio che spesso sfugge. Sul dominio Europa convivono pagine informative, contenuti redazionali, componenti di navigazione, riferimenti a servizi e aree che possono appoggiarsi a catene tecnologiche diverse. Per questo il punto vero non è solo “quale sito” ma quale strato applicativo del cloud sia stato toccato e con quali conseguenze sui dati serviti o gestiti in quel perimetro.

Che cosa ci dice il passaggio sui sistemi interni

Per noi questo è il dato più utile dell’intero comunicato. La Commissione separa in modo esplicito il cloud che pubblica il web dal resto dei propri sistemi interni. In parallelo l’architettura istituzionale europea distingue chiaramente la superficie pubblica aperta dalle risorse protette da EU Login. La deduzione più solida è che la segmentazione abbia limitato la corsa laterale dell’attacco. Questo non alleggerisce la gravità dell’episodio. Ci dice però che, allo stato, non siamo davanti a una compromissione dichiarata del cuore amministrativo della Commissione.

È un passaggio che pesa anche sul piano della fiducia. Se i sistemi interni fossero stati coinvolti, il problema si sposterebbe immediatamente verso posta, documenti di lavoro, credenziali, flussi amministrativi e attività operative. La frase di Bruxelles mette un argine pubblico preciso a questa lettura. Finché quel punto resta valido, la diagnosi corretta è quella di un incidente serio sul perimetro web pubblico con esfiltrazione di dati ancora da qualificare.

Che cosa sappiamo davvero sui dati esfiltrati

La formula usata da Bruxelles è abbastanza larga da richiedere disciplina. Sappiamo che dai siti colpiti sono stati presi dati. Questo basta per parlare di esfiltrazione. Non basta per scrivere con serietà che siano usciti interi archivi, dati personali su larga scala, credenziali oppure materiale puramente pubblico duplicato fuori dal contesto originario. Finché la Commissione non pubblica categorie e dimensioni, il solo punto fermo è che qualcosa ospitato o servito da quel perimetro web è uscito dall’ambiente colpito.

Qui il valore aggiunto sta nel non confondere il titolo con la sostanza. Il racconto pubblico si è fermato molto in fretta alla parola “dati”. Noi facciamo un passo in più e teniamo aperte le possibilità giuste. Quel termine può coprire contenuti redazionali, metadati di esercizio, componenti di back office collegati ai siti o informazioni più sensibili. Senza la tassonomia del dataset ogni cifra e ogni etichetta più precisa sarebbero un salto oltre i fatti.

Il nodo delle notifiche agli enti UE

C’è una frase del comunicato che, a nostro avviso, merita più attenzione di quanta ne stia ricevendo. La Commissione dice di stare informando gli enti dell’Unione che potrebbero essere stati coinvolti. Questo significa che l’indagine non guarda soltanto al sito più esposto mediaticamente. Sta verificando dipendenze, relazioni tecniche, possibili spazi condivisi o catene di servizio che possono allargare il raggio dell’impatto. È una frase breve ma sul piano operativo vale molto più di tante speculazioni sul gruppo responsabile.

Anche qui bisogna tenere la barra dritta. Il fatto che vengano avvisati enti potenzialmente coinvolti non equivale ancora alla prova che altri organismi UE siano stati effettivamente compromessi. Vuol dire però che il perimetro del danno non è considerato definitivamente chiuso. E questo, per un incidente sul web istituzionale europeo, è già un elemento sostanziale.

Il punto AWS letto senza scorciatoie

La nostra ricostruzione colloca l’incidente nell’ambiente Amazon Web Services usato dalla Commissione per quel livello di pubblicazione. È un dettaglio che trova riscontro, separatamente, in Bloomberg Law, BleepingComputer e CSO. C’è poi l’altro pezzo del quadro: AWS ha dichiarato di non avere registrato un proprio incidente di piattaforma e che i suoi servizi hanno operato come previsto. Messo insieme, tutto questo orienta verso una compromissione dell’ambiente cliente e non verso un cedimento dichiarato del provider cloud.

Qui passa una distinzione decisiva. Se confondiamo l’account o il tenant del cliente con la piattaforma dell’hyperscaler, leggiamo male sia il rischio sia la responsabilità tecnica. Allo stato dei fatti pubblici, il caso racconta un ambiente della Commissione colpito dentro un’infrastruttura cloud esterna che continua a dichiararsi integra sul lato del provider.

Il confronto con l’incidente di gennaio

Quello di marzo è il secondo incidente cyber reso pubblico dalla Commissione nel 2026. A fine gennaio l’istituzione aveva comunicato un attacco contro l’infrastruttura centrale che gestisce i dispositivi mobili del personale. In quel caso Bruxelles aveva parlato di possibile accesso a nomi e numeri di telefono di una parte del personale e aveva detto di avere ripulito il sistema entro nove ore senza compromissione dei dispositivi. Qui il bersaglio dichiarato è diverso, perché riguarda la presenza web pubblica. Mettere i due episodi uno accanto all’altro serve per capire una cosa precisa: la pressione cyber sta testando superfici molto diverse della stessa architettura istituzionale.

Questo confronto è utile anche per un altro motivo. A gennaio la tipologia del dato era stata circoscritta subito. Nel caso di marzo, invece, resta aperto il nodo sulle categorie effettivamente esfiltrate. Proprio questa differenza spiega perché oggi la parte più importante non sia la scoperta dell’incidente ma la qualità del prossimo aggiornamento pubblico.

Che cosa cambia da oggi

Per chi usa, integra o monitora i portali UE cambia soprattutto il modo in cui va gestita la prudenza operativa. Al 28 marzo 2026 non esiste una comunicazione pubblica che delimiti categorie e platea dei dati usciti dal perimetro. Questo ci obbliga a tenere insieme due verità. La prima è che non possiamo dire che ogni utente dei portali europei sia stato coinvolto. La seconda è che qualunque comunicazione inattesa che si presenti come follow-up dell’incidente merita verifica rigorosa di mittente, canale e richiesta prima di cliccare, scaricare o inviare informazioni.

Per Bruxelles, invece, cambia il livello dell’asticella. Nel comunicato del 27 marzo la Commissione colloca il caso dentro una stagione di attacchi cyber e ibridi che colpiscono istituzioni democratiche e servizi essenziali. Lo stesso esecutivo europeo sta spingendo la propria agenda normativa in materia di resilienza digitale. Da qui in avanti la tenuta reputazionale si misurerà su quattro punti molto concreti: categorie di dati, raggio reale dell’impatto, punto d’ingresso e misure di hardening decise dopo il contenimento.

Mappa rapida: il caso letto per livelli

Nucleo Fatto certo Lettura utile Questione aperta
Perimetro Colpita l'infrastruttura cloud che ospita la presenza web della Commissione su Europa.eu. Il bersaglio dichiarato è la superficie pubblica di pubblicazione e non il nucleo amministrativo interno. Serve per leggere bene il caso: data breach sul web pubblico non equivale automaticamente a compromissione generalizzata.
Continuità di servizio La disponibilità dei siti Europa non è stata interrotta durante il contenimento. La risposta ha isolato e mitigato senza spegnere l'intera vetrina istituzionale. È un indicatore architetturale utile: l'operatività ha tenuto mentre si circoscriveva il danno.
Dati La Commissione dice che dai siti colpiti sono stati presi dati. Abbiamo un fatto di esfiltrazione ma ancora nessuna tassonomia pubblica su categorie e volume. Il vuoto informativo più pesante riguarda esattamente quali informazioni siano uscite dal perimetro.
Raggio d'impatto Sono in corso notifiche agli enti dell'Unione che potrebbero essere stati coinvolti. L'indagine non si ferma al sito più visibile ma guarda a servizi collegati e dipendenze. Conta per capire se il caso resta confinato o se tocca nodi condivisi dell'ecosistema UE.
Sistemi interni Bruxelles afferma che i sistemi interni non sono stati colpiti. La separazione tra livello web pubblico e sistemi interni ha retto almeno nella fotografia iniziale. È il dato che per ora impedisce di parlare di cedimento del cuore operativo della Commissione.
Attribuzione Al 28 marzo non esiste un'attribuzione ufficiale pubblica. Mancano il vettore dichiarato e il nome del responsabile. Ogni ricostruzione su gruppo, motivazione o tecnica resta fuori dal campo dei fatti confermati.

Tip: la tabella è scorrevole. Su mobile scorri con il dito a destra e a sinistra per vedere tutte le colonne.

In sintesi

Il dato centrale
L’attacco al livello cloud che ospita Europa.eu è confermato e l’esfiltrazione di dati è ammessa dalla Commissione.
La barriera che ha tenuto
I sistemi interni dichiarati intatti spostano la diagnosi verso un incidente serio sul web pubblico e non verso una compromissione totalizzante.
La parte che manca
Categorie di dati, raggio effettivo dell’impatto e vettore iniziale sono ancora il vero terreno aperto del caso.

Perché Europa.eu pesa più di quanto sembri

La presenza web su Europa.eu è il punto in cui l’Unione e la Commissione si rendono visibili e consultabili. È il livello che indirizza il pubblico, pubblica informazioni ufficiali e tiene insieme una parte rilevante della comunicazione istituzionale. Quando questo strato subisce un incidente con esfiltrazione di dati, il problema non tocca solo la riservatezza. Tocca anche la credibilità della superficie digitale che media il rapporto con il pubblico.

La nostra lettura tecnica parte da qui: un attacco al web pubblico europeo ha un effetto reputazionale immediato anche quando l’operatività resta in piedi. È proprio la combinazione fra servizi online e dati sottratti a rendere questo caso più interessante di un blackout totale. Il servizio regge ma il perimetro di fiducia si restringe finché le categorie di dati non vengono chiarite.

Che cosa resta fuori dai fatti confermati

  • Volume dei dati: non esiste ancora una quantificazione pubblica dell’esfiltrazione.
  • Categorie del dataset: non sappiamo ancora se il materiale uscito riguardi contenuti pubblici, metadati, dati personali o altro.
  • Responsabile: al 28 marzo manca un’attribuzione ufficiale pubblica.
  • Vettore iniziale: nessuna spiegazione pubblica sul punto d’ingresso dell’attacco.
  • Platea degli interessati: non c’è ancora un avviso pubblico che delimiti chi, fra utenti o organizzazioni, debba considerarsi impattato.

Confronto con l’incidente di gennaio 2026

Elemento 24 marzo 2026 30 gennaio 2026 Perché conta
Scoperta 24 marzo 2026 30 gennaio 2026 La Commissione ha reso pubblici entrambi gli episodi in tempi ravvicinati rispetto al rilevamento.
Perimetro colpito Cloud che ospita la presenza web su Europa.eu Infrastruttura centrale che gestisce i dispositivi mobili Le due superfici tecniche sono diverse e vanno tenute separate per non confondere esposizione pubblica e gestione interna degli endpoint.
Dato esposto o sottratto Dati presi dai siti colpiti senza categorie pubbliche ancora definite Possibile accesso a nomi e numeri di telefono di parte del personale Nel caso di marzo il problema è la qualità del dataset ancora ignota. Nel caso di gennaio il tipo di dato era stato circoscritto fin dall'inizio.
Tenuta operativa Siti rimasti disponibili Sistema ripulito entro 9 ore In entrambi gli episodi Bruxelles ha puntato sulla continuità. Cambiano però il lato esposto al pubblico e il peso reputazionale immediato.
Elemento rimasto salvo Sistemi interni dichiarati intatti Nessun dispositivo mobile compromesso Il filo comune è la segmentazione. Cambia il punto in cui la barriera ha dovuto reggere.
Messaggio che lascia Stress test sulla superficie web istituzionale europea Stress test sulla catena di gestione degli endpoint Messi insieme, i due casi raccontano una pressione distribuita su livelli diversi della stessa architettura istituzionale.

Tip: anche questa tabella è scorrevole in orizzontale sui dispositivi mobili.

Che cosa monitorare nelle prossime ore

Qui si decide se la storia resta una disclosure iniziale ben gestita oppure diventa una ricostruzione completa. Per ogni punto della watchlist cambia davvero il significato operativo del caso.

  • Categorie di dati: La distinzione fra contenuti pubblici, dati di back office legati ai siti e informazioni personali cambierà completamente la lettura del caso.
  • Enti UE coinvolti: Il passaggio dalle notifiche preventive ai soggetti effettivamente impattati dirà quanto sia esteso il raggio dell'incidente.
  • Vettore iniziale: Senza il punto d'ingresso non si può misurare bene il rischio residuo né capire se servono azioni correttive urgenti per altri ambienti simili.
  • Misure rivolte agli utenti: Eventuali avvisi a categorie specifiche di interessati o a organizzazioni che usano portali UE sarebbero il segnale di un perimetro ormai chiarito.
  • Hardening post-incidente: Rotation di credenziali, revisione dei privilegi, controllo delle integrazioni e nuove barriere di segmentazione saranno i veri indicatori della lezione imparata.

Lettura tecnica: dove la segmentazione sembra avere retto

Noi leggiamo insieme tre elementi che da soli direbbero meno. Il primo è il riferimento al cloud che ospita la presenza web su Europa.eu. Il secondo è il fatto che i siti siano rimasti disponibili. Il terzo è la formula netta con cui Bruxelles esclude, allo stato, l’impatto sui sistemi interni. Presi in blocco, questi dati puntano verso una segmentazione che ha limitato il movimento dell’attacco oltre il livello pubblico colpito.

La differenza tra web pubblico, risorse con autenticazione e sistemi amministrativi non è un dettaglio teorico. È il punto che stabilisce se un incidente resta confinato a una facciata esposta oppure si trasforma in un problema di operatività profonda. Finché quel confine regge nei fatti e nei log, la fotografia resta quella di un attacco serio ma contenuto in un livello preciso dell’architettura.

Anche la continuità di servizio va letta in questo senso. Un sito che resta online durante il contenimento non segnala automaticamente un danno lieve. Piuttosto indica che l’isolamento e la mitigazione sono stati impostati in modo da evitare il blackout generale. Sul lato della riservatezza, però, il prezzo è già stato pagato e infatti la partita adesso si sposta tutta sul tipo di dati usciti.

Questa è una lettura tecnica basata su fatti confermati e sulla documentazione pubblica dell’ecosistema Europa. Non attribuisce cause o vettori che la Commissione non abbia ancora comunicato.

A cura di Junior Cristarella.

Glossario operativo

  • Europa.eu: È il dominio che regge la presenza web della Commissione e il portale interistituzionale dell'Unione. Quando quel livello viene colpito, il problema riguarda la facciata digitale con cui Bruxelles informa e serve il pubblico.
  • Esfiltrazione: Vuol dire che dati sono usciti dall'ambiente colpito senza autorizzazione. Nel caso attuale il fatto è confermato, mentre categorie e volume non sono ancora pubblici.
  • Segmentazione: È la separazione tecnica tra ambienti. Qui la parola chiave serve a capire perché la Commissione dichiara colpito il cloud pubblico ma non i sistemi interni.
  • EU Login: È il servizio centrale di autenticazione delle istituzioni europee. La sua esistenza aiuta a leggere la differenza tra risorse protette e superficie web aperta.

Domande frequenti

Quando è stato scoperto il cyberattacco?

La Commissione europea dice di averlo scoperto il 24 marzo 2026. La conferma pubblica è arrivata il 27 marzo.

Quale perimetro è stato colpito?

Il perimetro dichiarato è l'infrastruttura cloud che ospita la presenza web della Commissione su Europa.eu. Non c'è una conferma pubblica di impatto sui sistemi interni.

I siti Europa sono andati offline?

No. Bruxelles afferma che la disponibilità dei siti Europa non è stata interrotta durante il contenimento.

Sappiamo già quali dati siano usciti?

No. La Commissione conferma che dai siti colpiti sono stati presi dati ma al 28 marzo non ha ancora pubblicato categorie, volume o sensibilità del dataset.

Esiste già un responsabile ufficialmente indicato?

No. Al 28 marzo non c'è un'attribuzione ufficiale pubblica né un vettore tecnico dichiarato dalla Commissione.

AWS è stata bucata?

Le ricostruzioni convergenti parlano dell'ambiente AWS usato dalla Commissione per quel livello di servizio. AWS ha detto di non avere registrato un proprio incidente di piattaforma.

Questo episodio è legato al caso di gennaio sui dispositivi mobili?

Possiamo dire solo che è il secondo incidente cyber reso pubblico dalla Commissione nel 2026. I due perimetri tecnici sono diversi e oggi non esiste un collegamento pubblico confermato tra i due casi.

Che cosa deve fare chi usa i portali UE?

Al momento non esiste un avviso pubblico che delimiti categorie e platea degli interessati. La misura prudente è verificare con attenzione qualunque comunicazione inattesa che si presenti come follow-up dell'incidente.

Timeline dell’incidente: apri le fasi in ordine

Ogni fase aggiunge un livello diverso: rilevazione, disclosure, scoping, lettura tecnica e punti ancora sospesi.

  1. 24 marzo Rilevazione dell'attacco e contenimento iniziale
    • La Commissione individua un attacco contro il cloud che ospita la sua presenza web su Europa.eu.
    • Scattano subito misure di contenimento e mitigazione per proteggere servizi e dati.
    • I siti Europa restano raggiungibili durante la gestione dell'incidente.

    Perché conta: Questo passaggio ci dice che l'allarme è partito da dentro la macchina istituzionale e che la priorità è stata fermare la propagazione senza bloccare il servizio pubblico.

  2. 27 marzo Conferma pubblica del perimetro e dell'esfiltrazione
    • Bruxelles conferma che il bersaglio è l'infrastruttura cloud che pubblica la presenza web della Commissione.
    • Ammette che dai siti colpiti sono stati presi dati.
    • Precisa che i sistemi interni non risultano colpiti.

    Perché conta: È il momento in cui l'incidente smette di essere solo tecnico e diventa un fatto istituzionale con effetti di fiducia e trasparenza.

  3. 27-28 marzo Scoping forense e catena delle notifiche
    • La Commissione continua a misurare l'impatto pieno dell'episodio.
    • Vengono avvisati gli enti dell'Unione che potrebbero rientrare nel perimetro dell'incidente.
    • Resta aperto il nodo sulle categorie di dati effettivamente esfiltrate.

    Perché conta: Qui si gioca la parte più importante: il passaggio dalla dichiarazione iniziale a un perimetro informativo preciso.

  4. 28 marzo Lettura tecnica del livello cloud
    • Le ricostruzioni tecniche convergono su un ambiente AWS usato dalla Commissione per quel livello di pubblicazione.
    • AWS dichiara di non avere registrato un proprio incidente di piattaforma.
    • La fotografia che ne esce è quella di una compromissione confinata all'ambiente cliente.

    Perché conta: Questo dettaglio evita una lettura fuorviante del caso e separa il problema del tenant colpito da quello del provider cloud.

  5. Prossimo passaggio Le risposte che devono ancora arrivare
    • Categorie di dati effettivamente usciti dal perimetro.
    • Enti UE davvero coinvolti dopo la fase di notifica preventiva.
    • Punto d'ingresso iniziale e misure di hardening decise dopo il contenimento.

    Perché conta: Da queste risposte dipenderà la differenza fra un incidente gestito in fretta e un incidente compreso fino in fondo.

Chiusura

La differenza fra un incidente gestito e un incidente compreso fino in fondo si vedrà adesso. Il primo comunicato ha fissato i confini minimi del caso. Il prossimo aggiornamento dovrà dirci quali dati sono usciti, quali soggetti entrano davvero nel perimetro e quale controllo ha ceduto. Da lì capiremo se Bruxelles ha soltanto assorbito il colpo oppure se ha già trasformato l’incidente in correzione strutturale.

Firma digitale di Junior Cristarella
Firma digitale del direttore responsabile

Approfondimenti correlati

Tecnologia: notizie, analisi e approfondimenti

Il nostro hub dedicato alla tecnologia: cybersecurity, policy digitali, aziende e infrastrutture spiegate con contesto e verifica dei fatti.

Apri la pagina hub

Trasparenza: fonti e metodo

Questo speciale è costruito a partire dai documenti ufficiali della Commissione europea sul cyberattacco pubblicati il 27 marzo 2026, dalla documentazione istituzionale su Europa.eu e EU Login e da un confronto redazionale con reporting primario e tecnico. Per la cronologia pubblica e la convalida del quadro generale abbiamo incrociato il comunicato con Reuters, TechCrunch e Belga. Dove i resoconti esterni non coincidevano con ciò che Bruxelles ha formalmente messo nero su bianco, non li abbiamo trattati come fatto.

Metodo: prima le fonti primarie, poi il confronto tecnico, infine la deduzione logica solo dove il ragionamento è sostenuto da elementi verificati e da una distinzione chiara tra fatto e lettura.

Dati di pubblicazione e policy editoriali

Pubblicato il: Sabato 28 marzo 2026 alle ore 16:26. L’articolo riflette le informazioni disponibili alla data di pubblicazione e potrebbe non includere sviluppi successivi che possono incidere sull’inquadramento dei fatti. Eventuali aggiornamenti saranno riportati nell’Update log. In mancanza di registrazioni nell’Update log, il contenuto deve considerarsi invariato rispetto alla versione pubblicata.

Ultimo aggiornamento: Sabato 28 marzo 2026 alle ore 18:12. L’aggiornamento può includere interventi non sostanziali, revisione formale, correzioni, impaginazione o ottimizzazioni e non implica necessariamente modifiche ai fatti riportati. Eventuali aggiornamenti di contenuto relativi agli sviluppi della notizia sono indicati nell’Update log.

Contenuto verificato Verificato secondo i nostri standard di fact-checking con confronto tra documentazione ufficiale e reporting primario. Policy correzioni

Per la realizzazione di questo speciale abbiamo ricostruito il caso su fonti primarie e fonti di convalida indipendenti. Al 28 marzo 2026 restano aperti il dettaglio delle categorie di dati esfiltrate, il raggio effettivo dell’impatto e il vettore iniziale dell’attacco.

Update log

Registro degli aggiornamenti sostanziali: trasparenza su modifiche, correzioni e integrazioni informative.

  • Sabato 28 marzo 2026 alle ore 16:26: Pubblicazione: ricostruzione completa del cyberattacco al cloud che ospita Europa.eu con distinzione tra perimetro pubblico colpito e sistemi interni rimasti intatti.
  • Sabato 28 marzo 2026 alle ore 17:04: Aggiunto il confronto con l'incidente di gennaio sulla gestione mobile per chiarire che i due episodi hanno superfici tecniche diverse e implicazioni operative differenti.
  • Sabato 28 marzo 2026 alle ore 17:49: Rafforzata la sezione sul perimetro AWS e sulla lettura della segmentazione tra web pubblico, risorse protette da EU Login e sistemi amministrativi.
  • Sabato 28 marzo 2026 alle ore 18:12: Aggiornate FAQ, glossario operativo e watchlist con i punti che dovranno essere chiariti nei prossimi aggiornamenti pubblici.
Foto di Junior Cristarella
Autore Junior Cristarella Junior Cristarella segue quotidianamente tecnologia, sicurezza informatica e politiche digitali europee con un metodo di verifica che parte da documenti ufficiali, fonti primarie e confronto tecnico dei dettagli pubblici.
Pubblicato Sabato 28 marzo 2026 alle ore 16:26 Aggiornato Sabato 28 marzo 2026 alle ore 18:12