Il Louvre è stato “bucato”. L’analisi su sicurezza e cybersicurezza

29 Ottobre 2025

Mentre il mondo si è svegliato con la notizia della violazione del Louvre ero qui seduto alla scrivania con un caffè freddo e l’unico pensiero martellante di aver già visto questo film. Troppo volte. Non parlo del furto in sé. Parlo della lezione che nessuno imparerà. Ancora.

Analizziamo i fatti del Louvre con lucidità chirurgica, senza farci distrarre dal sensazionalismo dei media che urlano “il colpo del secolo” come se fosse Ocean’s Fourteen.

Il Louvre non è il negozietto sotto casa tua. È una fortezza militare mascherata da museo. Sensori biometrici ovunque, vetri che resisterebbero a un’esplosione. E ancora, allarmi sismici così sensibili che rilevano il tuo respiro pesante dopo tre rampe di scale, nonché una squadra di sicurezza che farebbe impallidire la NSA. Eppure qualcuno è entrato. Ha rubato. Ed è uscito.

E sapete qual è la parte più bella? Non l’hanno fatto con un tunnel scavato in sei mesi o con un elicottero rubato. L’hanno fatto con metodologia. Con pazienza. Con intelligenza. Come un perfetto penetration test. Solo che stavolta l’obiettivo non era dimostrare una vulnerabilità al cliente, ma portare a casa milioni di euro in gioielli storici.

OSINT: L’Arte Dimenticata della Caccia

Vogliamo parlare del vero lavoro dietro questo colpo? Perché qui dentro c’è mesi di OSINT. Forse anni. Questi non si sono svegliati una mattina pensando “Ehi, e se rubassimo al Louvre?“. No. Hanno studiato. Hanno osservato. Hanno mappato ogni singolo dettaglio come farebbe un Red Team prima di un assessment. Nel dettaglio:

  • i turni delle guardie (quando cambiano? chi è più attento? chi è più stanco?).
  • Le ronde di sicurezza (ogni quanto? quali percorsi? ci sono pattern ripetitivi?).
  • Le consegne (chi entra? a che ora? quali porte usano?).
  • I punti ciechi delle telecamere (perché sì, esistono sempre).
  • I tempi di risposta delle forze dell’ordine.
  • Le procedure di emergenza.

È la stessa identica metodologia che usiamo noi quando facciamo reconnaissance su un’infrastruttura cloud. Solo che invece di shodan e censys, hanno usato binocoli e cronometri.

E sapete qual è la cosa che mi fa arrabbiare di più? Che questa fase – la più importante, la più lunga, la più cruciale – è quella che tutti sottovalutano. Tutti pensano che la sicurezza sia “avere il firewall acceso“. Nessuno pensa che il vero attacco inizia sei mesi prima, quando qualcuno inizia a guardarti in silenzio.

Il Mito del perimetro inespugnabile

Abbiamo le migliori difese perimetrali del mondo!” Sì, certo. E infatti sono entrati lo stesso. Non hanno sfondato il muro con la dinamite. Non hanno tagliato le sbarre come nei film. Hanno trovato il modo di aggirare tutto. Motion sensors? Aggirati. Laser? Evitati. Allarmi a pressione? Neutralizzati.

È l’equivalente fisico di un WAF Bypass o di un HTTP Request Smuggling. Non attacchi frontalmente la difesa più forte. Cerchi l’eccezione. Il protocollo ambiguo. L’implementazione difettosa. Quella piccola casistica che gli sviluppatori (o gli architetti di sicurezza) non hanno considerato perché “tanto nessuno ci penserebbe mai“.

Sorpresa: ci hanno pensato. E qui arriviamo al punto che predico da quindici anni: il perimetro è morto. È morto da tempo. Ma continuate a spendere milioni per fortificarlo come se fosse il 1453 e steste difendendo Costantinopoli.

La verità? Il perimetro è una bugia consolatoria. Ti fa sentire al sicuro. Ti permette di dormire la notte. Ma quando arriva qualcuno con la giusta competenza e la giusta pazienza, quel perimetro vale quanto la carta igienica bagnata.

L’anello debole: indovinate chi?

Le prime ricostruzioni parlano di possibile complicità interna. O di social engineering. O di un guard distratto al momento sbagliato. E certo. Sempre lui. L’umano.

Puoi spendere 50 milioni in tecnologia, mettere l’AI a controllare ogni frame delle telecamere. Puoi avere sensori che percepiscono una mosca che atterra sul pavimento. Ma poi basta un umano – uno solo – che sbaglia, che si fida, che si distrae, che viene ingannato, e tutto il castello di carte crolla.

È il nostro phishing di sempre. Il pretexting. Il tailgating. È quella telefonata dell’IT che “deve fare un controllo urgente e ha bisogno della tua password”.

È sempre la stessa storia. E sapete perché continua a funzionare? Perché continuiamo a pensare che la sicurezza sia un problema tecnologico. “Compriamo l’ultimo tool fichissimo e siamo a posto!

No. Non siete a posto. Finché avrete umani nella catena – e li avrete sempre, perché non siamo robot – avrete il punto di rottura. Ma investire in formazione, in awareness, in cultura della sicurezza? No, costa troppo. Meglio comprare un altro firewall.

Movimento laterale: uscire è più difficile che entrare

La parte più incredibile di questo colpo? L’exfiltration. Non basta entrare al Louvre. Devi arrivare alla sala giusta, superare ulteriori livelli di sicurezza, prendere gli oggetti, e poi – piccolo dettaglio – uscire.

Con addosso gioielli per milioni. Senza farti beccare. Come hanno evitato le telecamere interne? In che modo si sono mossi nei corridoi? Come hanno aggirato i controlli? E soprattutto: come sono usciti? Vederli scendere con i gilet da quella scala mentre le telecamere erano “momentaneamente disattivate per manutenzione” è stata la ciliegina sulla torta.

È movimento laterale puro. È quello che fa un attaccante quando è dentro la tua rete: si muove piano, evita i sensori, sfrutta i blind spot, si mimetizza nel traffico legittimo. E quando ha quello che vuole? Esfiltrazione lenta e costante, magari spacchettando i dati per non triggerare i threshold del DLP.

Il Louvre ha fallito nel proteggere i suoi Crown Jewels. Esattamente come voi fallite nel proteggere i vostri database. Stessa identica dinamica. Diverso medium.

La lezione che non impareremo mai

Ecco quello che mi fa veramente arrabbiare. Non il furto in sé. Ma il fatto che tra una settimana tutti avranno dimenticato. Faranno un paio di riunioni di crisi. Aggiungeranno qualche telecamera. Cambieranno qualche procedura. E penseranno di aver risolto.

Non avranno risolto nulla. Perché il problema non è tecnico. Il problema è culturale. Il problema è pensare che la sicurezza sia qualcosa che “compri” e “installi“. Tipo un antivirus. Tipo un sistema di allarme. Lo metti lì e sei a posto.

La sicurezza non è un prodotto. È un processo. Un processo paranoico. Continuo. Un processo che non finisce mai. Un processo che ti tiene sveglio la notte chiedendoti “e se entrassero da qui? e se aggirassero così? e se quella persona fosse corrotta?” La vera sicurezza è assumere che tutto può essere violato.

È testare costantemente, fare red teaming. È avere umiltà e accettare che non puoi sapere tutto e che devi sempre migliorare. Ma no. È più facile dire “tanto abbiamo i sensori” e sentirsi al sicuro.

Quindici anni dopo, siamo ancora qui

Ho iniziato a lavorare nella security quindici anni fa. Quindici. E sapete quante volte ho scritto articoli come questo? Quante volte ho spiegato gli stessi concetti? Quante volte ho predicato nel deserto dicendo “l’anello debole è l’umano“, “il perimetro non basta“, “la security by obscurity è morta“? Troppo.

Troppo volte. E sapete quante cose sono cambiate in questi quindici anni? Praticamente nessuna. Cambiano le tecnologie. Cambiano gli attacchi. Ma i principi fondamentali? Gli errori umani? La mentalità? Tutto uguale.

Continuiamo a costruire fortezze bellissime con porte di cartone, a fidarci della tecnologia come se fosse magia, a sottovalutare l’elemento umano e a non fare formazione. Andiamo avanti nel non testare davvero le nostre difese.

E poi – sorpresa! – qualcuno ci buca. Tutti si scandalizzano. “Ma come è possibile?!” È possibilissimo. Perché fate sempre gli stessi errori.

La verità che nessuno vuole sentire

Nessuna difesa è inespugnabile. Leggetela di nuovo. Fatevela tatuare sul braccio se serve. Non importa quanto spendete, né importa quanta tecnologia comprate. Non importa quanto pensate di essere sicuri. Se qualcuno ha abbastanza tempo, abbastanza competenza, e abbastanza motivazione, entrerà.

L’unica cosa che potete fare è rendere il lavoro talmente difficile, lungo e rischioso che l’attaccante decida che non ne vale la pena. Ma un obiettivo ad altissimo valore come il Louvre? Lì la motivazione è massima.

E quando la motivazione è massima, le difese prima o poi cedono. La differenza la fa come rispondi quando vieni bucato. Non se vieni bucato. Quando. Il Louvre risponderà? Imparerà? Cambierà davvero qualcosa di strutturale?

Dubito. Faranno due cambi procedurali e penseranno di aver sistemato. Proprio come avete fatto voi dopo l’ultimo incidente di sicurezza. E quando succederà di nuovo – perché succederà – ci faremo tutti le solite domande. Magari tra altri quindici anni qualcuno imparerà. Ma vi dico la verità? Non ci conto.

PrecedenteSuccessivo

Related Posts

AI McKinsey

Due ore per hackerare la piattaforma AI di McKinsey con un agente autonomo. L’esperimento

12 Marzo 2026
Stryker

Attacco cyber Stryker, c’è la rivendicazione del gruppo filo-iraniano Handala. Quando colpire la sanità diventa “un’operazione geopolitica”

12 Marzo 2026
Salt Telco

Salt Typhoon, rischi per le Telco globali e competizione geo-economica per la cybersicurezza

12 Marzo 2026

Coruna, toolkit che sta colpendo gli iPhone a livello globale

12 Marzo 2026

Ultime news

AI McKinsey
Stryker
Salt Telco
Europol Iran
Rudd Cyber