Retail sotto attacco cyber: ecco la minaccia che blocca le vendite

Gli attacchi che hanno colpito retailer e fornitori nell'ultimo anno hanno reso evidente un punto critico: nel retail moderno basta una compromissione per innescare disservizi estesi, fermare operazioni essenziali e mettere sotto pressione l’intera catena.

Lo scorso anno, brand globali del lusso come Gucci e Balenciaga hanno subito violazioni dei dati; Victoria’s Secret è stata costretta a sospendere temporaneamente parte delle proprie operazioni digitali. Anche Marks & Spencer, Co-Op e Harrods nel Regno Unito sono stati colpiti da attacchi, con disservizi per M&S lasting per 15 settimane. Cause diverse, stesso risultato: gravi interruzioni operative e perdite economiche.

Ma quando le interruzioni si diffondono così rapidamente e durano così a lungo, il problema non riguarda più singoli attacchi, ma solleva una domanda più scomoda: perché il retail è stato un terreno così fertile per questi eventi?

Un’architettura digitale complessa e interconnessa

Sebbene il numero di retailer colpiti nel 2025 possa sembrare anomalo, il fenomeno è comprensibile se osservato da questa prospettiva: il retail è uno dei settori più efficaci per generare disservizi su larga scala.

L’attacco informatico a United Natural Foods, fornitore chiave per decine di migliaia di negozi di alimentari in Nord America, ha dimostrato come una singola compromissione possa propagarsi a catena, svuotando gli scaffali, interrompendo la quotidianità e generando un impatto economico più ampio.

Questa crescente dipendenza da supply chain complesse e interconnesse è sempre più sfruttata dagli attaccanti della rete. Secondo il Cyberwarfare Report 2026 di Armis, il 74% dei responsabili IT nel retail afferma che le minacce di cyberwarfare colpiscono asset non gestiti o appartenenti alla supply chain, al di fuori della visibilità degli strumenti di sicurezza tradizionali. Questo conferma che gli attaccanti non puntano più alla “porta principale”, ma all’anello più debole e meno visibile dell’ecosistema.

Shadow IT e asset non visibili espongono il settore

Non è stata solo una carenza di investimenti in sicurezza a mettere in difficoltà i retailer lo scorso anno, ma la portata stessa dell’esposizione cyber. Gli incidenti più gravi non sono stati causati da vulnerabilità sofisticate, ma dallo sfruttamento della complessità e dalla mancanza di comprensione contestuale delle interazioni tra sistemi, asset e utenti.

I retailer operano in ecosistemi digitali estesi che combinano piattaforme e-commerce, infrastrutture cloud, tecnologie operative in-store, sistemi di identità e servizi di terze parti. Ogni connessione migliora efficienza e scalabilità, ma introduce anche nuove esposizioni e rischi.

Gli attaccanti sfruttano sempre più queste condizioni, concatenando vulnerabilità minori, muovendosi lateralmente tra ambienti e fornitori e approfittando della frammentazione della visibilità tra IT, cloud e sistemi operativi. Il caso Adidas è emblematico: l’accesso è avvenuto tramite un fornitore terzo, con conseguente furto di dati e amplificazione dell’impatto.

Rapida evoluzione della minaccia e nuove vulnerabilità

Ogni incidente dello scorso anno è stato reso possibile dalle dinamiche del retail moderno: nuovi sistemi implementati rapidamente, integrazioni privilegiate rispetto alla sicurezza e infrastrutture legacy affiancate a servizi cloud. Questo crea punti ciechi che gli attaccanti possono sfruttare molto prima che un incidente diventi visibile.

Il 24% dei responsabili IT nel retail individua proprio nell’incapacità di rilevare e gestire shadow IT o asset temporanei il principale gap di sicurezza, ovvero asset che ampliano la superficie di attacco senza essere adeguatamente monitorati.

Molte organizzazioni devono inoltre affrontare un contesto di minaccia in rapida evoluzione, influenzato da tensioni geopolitiche. Il 70% delle aziende sta rivalutando i propri fornitori e aumentando gli investimenti in cybersecurity, segnale che l’esposizione cyber è ormai una questione strategica, non solo tecnica.

Un modello persistente di vulnerabilità

Dopo un anno turbolento, una cosa è chiara: non si è trattato di un picco temporaneo, ma di un modello persistente di esposizione nel retail. E finché questa esposizione resterà frammentata e poco compresa, le interruzioni continueranno a superare la capacità di risposta.

L’ultimo anno ha dimostrato che la resilienza nel retail non può più basarsi su una reazione più rapida agli incidenti. Con la diffusione dell’AI e di altre tecnologie emergenti, il problema è destinato ad aggravarsi. I retailer devono ripensare il modo in cui comprendono il rischio. Le vulnerabilità più critiche non risiedono in singoli sistemi, ma nelle relazioni tra asset, piattaforme e partner. È qui che entra in gioco il cyber exposure management.

Cyber exposure management: l’approccio strategico

Questo approccio non considera il rischio come una serie di vulnerabilità isolate, ma punta a comprendere come il rischio si origina e si accumula nell’intero ecosistema digitale.

Nel retail, questo ecosistema è particolarmente complesso: le piattaforme e-commerce si collegano ai sistemi di inventario, le tecnologie in-store ai network centrali, i sistemi di identità coinvolgono dipendenti e partner, mentre fornitori e contractor sono integrati nelle operazioni quotidiane.

Senza una visione chiara di queste interazioni, è impossibile prevedere come una debolezza apparentemente minore possa trasformarsi in un’interruzione diffusa.

Il cyber exposure management offre quindi un approccio strategico per identificare, valutare, prioritizzare e ridurre il rischio su tutta la superficie digitale. Significa sviluppare una comprensione dinamica degli asset, del loro ruolo operativo, della loro criticità e delle dipendenze tra sistemi e partner. Questo contesto è ciò che distingue un rischio gestibile da un fallimento sistemico.

Verso una resilienza operativa

Valutando il rischio in termini di impatto reale, le organizzazioni possono dare priorità alle esposizioni che influenzano operatività, fiducia dei clienti e continuità dei ricavi.

Questo cambiamento riguarda la resilienza, non solo la maturità della sicurezza. Un approccio basato sull’esposizione consente di anticipare le interruzioni, migliorando il processo decisionale e allineando la gestione del rischio alla continuità operativa e all’esperienza del cliente.

Il futuro del retail dipende dalla sua capacità di proteggersi

Non c’è più spazio per l’autocompiacimento. I retailer hanno imparato che le interruzioni non nascono in isolamento, ma da ambienti complessi e interconnessi, e che una volta avviate possono propagarsi rapidamente.

Lo scorso anno è stato un campanello d’allarme per l’intero settore. Ora è il momento di porsi domande più profonde: come sono progett