Negli ultimi mesi il settore agroalimentare, e con esso la filiera ortofrutticola, è sempre più sotto pressione a causa degli attacchi informatici. Secondo l'ACN, nei primi quattro mesi del 2025 si è registrato un incremento del 107% degli attacchi DDoS e del 64% dei ransomware. La dipendenza da logistica, piattaforme di gestione magazzini e sistemi di tracciabilità rende la catena distributiva particolarmente vulnerabile.
A tal proposito l'avvocato Gualtiero Roveda, che si occupa di diritto delle tecnologie, interviene per capire meglio rischi e nuove regole introdotte dalla direttiva NIS2, recepita in Italia con il D.lgs. 138/2024 (in vigore dal 16 ottobre 2024).
© Cristiano Riciputi | FreshPlaza.it
Freshplaza (FP): Quali sono le maggiori minacce informatiche per il settore ortofrutticolo?
Gualtiero Roveda (GR): Le minacce più gravi sono gli attacchi hacker mirati alla logistica e la crescita dei ransomware, che possono bloccare magazzini, catene di distribuzione e sistemi di tracciabilità. Il fermo di pochi giorni può compromettere interi carichi di frutta e verdura, con danni diretti alla produzione. A questo si aggiunge il rischio di responsabilità civile: se una falla di sicurezza in un'impresa provoca danni all'intera supply chain, si possono generare richieste di risarcimento importanti.
FP: Quali imprese della filiera rientrano nella disciplina NIS2?
GR: Il Decreto NIS include, tra i soggetti importanti, le imprese alimentari impegnate nella distribuzione all'ingrosso e nella produzione o trasformazione industriale. Rientrano quindi anche le centrali di acquisto e le piattaforme distributive della GDO, che svolgono funzioni di ingrosso centralizzando gli approvvigionamenti e ridistribuendo le merci lungo la catena.
È bene ricordare che anche le imprese non direttamente regolate sono comunque interessate: i soggetti nel perimetro NIS saranno infatti obbligati ad avere nella supply chain solo fornitori affidabili sotto il profilo della sicurezza IT.
FP: Quali obblighi comporta per le imprese?
GR: Le aziende, a regime, devono dotarsi di un sistema di gestione del rischio, prevedere piani di continuità operativa e disaster recovery, implementare misure tecniche e organizzative di sicurezza (controlli sugli accessi, segmentazione di rete, backup) e predisporre un sistema di logging e monitoraggio. Inoltre, in caso di incidente di rilievo, vige l'obbligo di notifica entro 24 ore all'ACN per la prima segnalazione, con successive integrazioni. Se l'incidente comporta una violazione di dati personali, è obbligatoria – se ne ricorrono i presupposti – anche la notifica al Garante Privacy entro 72 ore.
FP: Quali sono le prossime scadenze?
GR: Il calendario prevede due passaggi fondamentali: da gennaio 2026 scatterà l'obbligo di attivare i meccanismi di notifica, mentre da ottobre 2026 diventerà vincolante l'adozione delle misure minime di sicurezza fissate dall'ACN. Per le imprese della filiera il tempo a disposizione per organizzarsi è limitato: occorre avviare già oggi piani di continuità operativa, sistemi di gestione del rischio e procedure di logging, perché chi arriverà impreparato rischia non solo le sanzioni, ma anche di essere escluso dalla supply chain della grande distribuzione.
FP: Nel settore, tuttavia, si registra scarsa consapevolezza e preparazione
GR: È vero. Molte piccole e medie imprese del settore non hanno ancora dato priorità alla cybersecurity, operano spesso con software obsoleti e non garantiscono un'adeguata formazione dei dipendenti sui rischi, rendendosi bersagli facili per attacchi di phishing e ransomware.
