Un cyberattacco non ruba soltanto dati. Può fermare fabbriche, interrompere pagamenti, bloccare aeroporti, rallentare ospedali, mettere in crisi fornitori, cancellare turni, sospendere salari, rinviare cure, impoverire territori interi.
È questo il salto di scala che gli ultimi grandi attacchi informatici stanno rendendo evidente: il danno non resta più confinato nei server di un’azienda o nei bilanci di una multinazionale. Si scarica sull’economia reale.
Il caso Jaguar Land Rover è diventato il simbolo di questa nuova fragilità. Nell’agosto 2025 un attacco informatico ha costretto il gruppo automobilistico britannico a fermare la produzione per settimane. Secondo il Cyber Monitoring Centre, il danno per l’economia del Regno Unito è stato stimato in 1,9 miliardi di sterline, circa 2,5 miliardi di dollari, con effetti su migliaia di organizzazioni nella filiera. Reuters lo ha descritto come potenzialmente il cyberincidente economicamente più costoso mai registrato nel Paese.
Il punto non è solo che una grande azienda è stata colpita. Il punto è che, quando si ferma un produttore di quelle dimensioni, non si ferma soltanto una linea industriale. Si bloccano fornitori, logistica, ordini, consegne, officine, imprese dell’indotto. Le grandi aziende hanno spesso riserve, assicurazioni, accesso al credito, capacità negoziale.
Le piccole imprese della filiera no. Per loro alcune settimane di blocco possono significare cassa integrazione, licenziamenti, ritardi nei pagamenti, debiti, chiusure.
Il cyberattacco è ormai diventato una questione sociale. Non è più soltanto un problema di sicurezza informatica, né soltanto un capitolo di geopolitica. È un meccanismo che può produrre povertà. Quando una fabbrica si ferma, il danno non è astratto: riguarda salari non pagati, ore perse, contratti sospesi, fornitori strangolati dalla mancanza di liquidità. La vulnerabilità digitale si trasforma in vulnerabilità materiale.
Per questo il caso Jaguar va letto oltre Jaguar. Non siamo davanti a un’infrastruttura pubblica in senso stretto, ma a una filiera industriale strategica. E le filiere industriali strategiche, nell’economia contemporanea, funzionano spesso come infrastrutture: tengono insieme occupazione, territorio, esportazioni, gettito fiscale, credito, trasporti, servizi. Quando vengono colpite, il danno esce dal perimetro privato e diventa nazionale.
Lo stesso schema si vede nei trasporti. Nel settembre 2025 un attacco ransomware a Collins Aerospace, fornitore dei sistemi automatici di check-in e imbarco, ha causato disagi in diversi grandi aeroporti europei, tra cui Heathrow, Bruxelles e Berlino. L’agenzia europea per la cybersicurezza ENISA ha confermato la natura ransomware dell’incidente.
Anche qui il bersaglio non era necessariamente “l’aeroporto” come istituzione, ma un fornitore. Eppure l’effetto è stato pubblico: code, ritardi, voli cancellati, viaggiatori bloccati, compagnie costrette a riorganizzare operazioni, personale sotto pressione.
È la logica della supply chain digitale: per creare caos in un servizio essenziale non serve colpire direttamente il servizio. Basta colpire il nodo tecnologico da cui quel servizio dipende.
La stessa dinamica ha già colpito la sanità. Nel giugno 2024 Synnovis, fornitore di servizi di laboratorio per grandi ospedali londinesi, è stato vittima di un attacco ransomware che ha avuto un impatto significativo sui servizi del NHS.
Sono stati colpiti ospedali come Guy’s and St Thomas’ e King’s College Hospital, con ricadute su esami, procedure e assistenza primaria nel sud-est di Londra.
In sanità il costo del cyberattacco non si misura solo in denaro. Si misura in appuntamenti saltati, diagnosi ritardate, interventi rinviati, reparti rallentati, personale costretto a lavorare con procedure d’emergenza.
Un server bloccato può diventare una lista d’attesa più lunga. Un laboratorio fermo può diventare una cura rinviata. Un fornitore vulnerabile può diventare un rischio per migliaia di pazienti.
Il fatto che molte di queste infrastrutture siano private o esternalizzate non riduce il problema, lo aggrava. Le economie avanzate hanno spostato funzioni essenziali su reti di fornitori, piattaforme, software, cloud, appalti, società terze. Questa architettura può essere efficiente, ma rende meno visibile la catena delle responsabilità.
Quando tutto funziona, il servizio sembra pubblico, continuo, naturale. Quando qualcosa si rompe, si scopre che un pezzo decisivo era altrove: in un contratto, in un software, in un data center, in un fornitore quasi sconosciuto al cittadino.
Gli attacchi al sistema bancario rendono ancora più chiaro il passaggio dalla tecnica alla vita quotidiana. A giugno 2026 in Iran cyberattacchi hanno colpito i servizi bancari basati su carte di tre grandi istituti, Bank Melli, Bank Saderat e Bank Tejarat. Bancomat, app mobili e pagamenti POS sono stati temporaneamente sospesi per contenere il danno.
Quando non si riesce a prelevare, pagare, usare una carta o un’app bancaria, il cyberattacco smette immediatamente di essere una notizia per specialisti. Diventa panico ordinario. Colpisce commercianti, famiglie, lavoratori, anziani, piccole imprese. Mette in discussione la fiducia nel denaro elettronico e nelle istituzioni che lo garantiscono.
In un’economia sempre meno basata sul contante, interrompere i pagamenti significa toccare una funzione primaria della vita civile.
C’è poi il livello istituzionale. Nel marzo 2026 la Commissione europea ha confermato un cyberattacco alla cloud infrastructure che supporta la piattaforma web Europa. Le prime evidenze indicavano un’esfiltrazione di dati dai siti colpiti, mentre la Commissione ha precisato che i propri sistemi interni non risultavano compromessi.
Anche questo caso va formulato con precisione: non ha paralizzato l’Unione europea, né ha compromesso l’intera macchina interna della Commissione. Ma mostra che anche le infrastrutture digitali istituzionali sono bersagli, e che la superficie d’attacco degli Stati non coincide più soltanto con ministeri, caserme, centrali elettriche o reti ferroviarie. Comprende piattaforme cloud, siti, archivi, interfacce pubbliche, fornitori tecnologici.
Il quadro britannico conferma che la minaccia non è più marginale. Il capo del National Cyber Security Centre del Regno Unito ha dichiarato che circa tre quarti degli attacchi contro sistemi critici britannici sono collegati ad attori statali ostili. Il NCSC ha indicato oltre 200 incidenti in un anno, fino a maggio 2026, che hanno coinvolto infrastrutture critiche o sistemi di supporto.
Questo non significa che ogni ransomware sia un’operazione di Stato. Sarebbe una forzatura. Molti attacchi restano criminalità organizzata, estorsione, furto di dati, ricatto economico. Ma il confine tra criminalità informatica, tolleranza statale, guerra ibrida e sabotaggio economico è sempre meno netto. Gruppi criminali possono operare da territori protetti, essere ignorati, incoraggiati, usati, imitati o coperti da Stati ostili. L’attribuzione resta difficile; l’effetto, invece, è spesso chiarissimo.
E l’effetto è redistributivo, ma al contrario. I costi scendono lungo la catena. L’azienda grande tratta con assicuratori, governi, banche e consulenti. Le piccole imprese perdono commesse. I lavoratori perdono ore. I cittadini perdono servizi. I pazienti aspettano. I viaggiatori restano bloccati. I commercianti non incassano. I contribuenti possono essere chiamati a sostenere interventi pubblici di emergenza. Il cyberattacco produce una povertà indiretta, diffusa, spesso invisibile nelle prime ore della crisi.
È per questo che la sicurezza informatica non può più essere trattata come un tema tecnico affidato soltanto agli specialisti. È politica industriale, politica sanitaria, politica dei trasporti, politica bancaria, politica del lavoro. Proteggere un sistema digitale significa proteggere salari, cure, mobilità, pagamenti, filiere, continuità produttiva. E significa chiedersi chi paga quando la protezione fallisce.
Le imprese private che gestiscono nodi essenziali devono essere considerate parte della sicurezza collettiva. Non perché tutto debba diventare pubblico, ma perché l’impatto di un loro collasso può essere pubblico. Un fornitore di check-in aeroportuale, un laboratorio sanitario, un produttore industriale strategico, una piattaforma cloud istituzionale o un operatore di pagamenti non sono semplici soggetti commerciali come gli altri. Sono snodi da cui dipende la vita economica e sociale.
La nuova guerra ibrida non passa soltanto da missili, gasdotti e disinformazione. Passa dai server dei fornitori, dai sistemi di pagamento, dai software ospedalieri, dai terminali aeroportuali, dalle catene di produzione. E spesso non ha bisogno di distruggere fisicamente nulla: basta rendere inservibile ciò che tiene insieme il lavoro quotidiano.
Il caso Jaguar Land Rover mostra quanto possa costare fermare una fabbrica. Gli aeroporti europei mostrano quanto basti poco per inceppare la mobilità. Synnovis mostra che un fornitore sanitario può diventare il punto debole di un sistema pubblico. Le banche iraniane mostrano che colpire i pagamenti significa colpire la vita quotidiana. L’attacco alla piattaforma web della Commissione europea mostra che anche le istituzioni vivono dentro infrastrutture digitali esposte.
La domanda non è più se un cyberattacco possa produrre danni reali. Li produce già. La domanda è se governi, aziende e società abbiano capito che quei danni non sono solo tecnologici. Sono economici, sociali, sanitari, lavorativi. E che, alla fine, il conto non resta nei computer violati: arriva nelle fabbriche ferme, negli ospedali rallentati, nei voli cancellati, nei pagamenti bloccati, nei salari persi.
Il ransomware non chiede sempre solo un riscatto. A volte impoverisce un Paese.
