Nelle testate di settore cyber security si parla da decenni degli stessi brand, degli stessi paradigmi, delle stesse soluzioni che continuano a fallire. Non è incompetenza: è un sistema che funziona perfettamente per chi lo alimenta. Gli inserzionisti vendono i prodotti che gli articoli non mettono in discussione, le testate incassano, i decisori hanno il loro alibi istituzionale. Gli unici a non essere comodi sono quelli i cui dati finiscono sul dark web. Questa è l’analisi punto per punto di un articolo esemplare del genere, con le parole dell’autore stesso: copia-incolla, così non ci sbagliamo.

2,3 terabyte di dati strategici sul dark web, piani industriali di Ferrovie dello Stato, contratti con la Difesa: Almaviva è stata penetrata in profondità. Un anno prima, un’azienda che chiameremo “Mandolino srl”, aveva presentato una tecnologia innovativa in tecnica non nota ai suoi vertici: reazione nettamente positiva dei tecnici incaricati, poi silenzio totale. E poi il breach. La domanda non è se la tecnologia avrebbe aiutato: la domanda è perché nessuno abbia voluto verificarlo. La risposta è scomoda.

Il modello OSI non è un modello di sicurezza, ma negli anni è diventato lo schema didattico per raccontare i rischi della rete: sniffing, spoofing, man-in-the-middle, session hijacking, exploit. Da decenni la risposta è sempre la stessa: aggiungere barriere, rinforzare mura. ZeroSurface® cambia prospettiva: non costruisce l’ennesimo castello con le mura più alte, fa sparire il castello. Questo articolo analizza livello per livello, dal Physical all’Application, perché ZeroSurface® non risponde agli attacchi: li rende privi di oggetto.

Il 28 aprile 2025 la Penisola Iberica si è fermata in pochi secondi: semafori, treni, data center, ospedali. Una lezione limpida sull’iperconnessione come vulnerabilità sistemica. Pochi giorni prima, alla Cecchignola, lo Stato Maggiore della Difesa aveva già mostrato la risposta: il primo Smart Military Camp autonomo, con ZeroSurface® come scudo cyber. Niente IP pubblici, niente porte esposte, niente islanding difensivo forzato. Lo stesso paradigma può trasformare la prossima città connessa da bersaglio perfetto a rete irraggiungibile e invisibile.

Un atto d’accusa sull’innovazione invisibile e la retorica dominante nella cyber security. Nel 2022 Lateralcode vince entrambi i premi ai Digital360 Awards con ZeroSurface® , giudicati da 210 CIO di grandi aziende, eppure nessuna testata di settore ha mai ritenuto di approfondire la tecnologia, se non a pagamento. Questa lettera aperta si rivolge a tutta l’informazione specializzata: perché si parla ancora e sempre degli stessi trend e brand, mentre l’innovazione che rompe gli schemi rimane invisibile?

Tu pensi in bianco o in nero? Non è una domanda retorica: sono due paradigmi opposti di sicurezza informatica. Il nero, la blacklist, osserva, analizza, insegue le minacce. Il bianco, la whitelist, nella sua forma più evoluta ZeroSurface®, non giudica, non filtra, non dialoga con nessuno. Nel dominio del white non c’è nulla da cui difendersi. Perciò la domanda, alla fine, è necessaria: tu pensi in bianco o in nero?

La Commissione Europea propone un centro paneuropeo di cybersecurity per gli ospedali: un passo interessante, ma poco incisivo senza un ripensamento radicale delle tecnologie di protezione. Ransomware, DDoS, esfiltrazioni, phishing: ZeroSurface® elimina queste minacce alla radice, rendendo i sistemi sanitari irraggiungibili, indisponibili e invisibili a chi non deve. Pienamente conforme a NIS2 e GDPR, con continuità operativa garantita anche in caso di attacco zero-day.

Perché nonostante gli ingenti investimenti in soluzioni sempre più sofisticate (o sapientemente riciclate) gli attacchi informatici continuano ad aumentare? La risposta è scomoda: state utilizzando un criterio sbagliato, state affrontando un problema sistemico con soluzioni lineari. Ogni nuovo layer di sicurezza aumenta la complessità e con essa le vulnerabilità. ZeroSurface® non costruisce un castello più alto: lo rende irraggiungibile, indisponibile, invisibile, inattaccabile. Con tutte le funzionalità invariate. Come disse (forse) Einstein: non si risolvono i problemi allo stesso livello di pensiero che li ha creati.

Quante volte hai chiesto “come funziona?” di quell’auto a cui affidi letteralmente la vita? Quasi mai. Perché ti basta sapere cosa può fare per te. Vale lo stesso per ZeroSurface®: otto anni di sviluppo non si raccontano in un articolo o in una demo, e non è questo che ti serve sapere. Mettiti al volante, testa la tua futura auto sulla tua pista, ingaggia i piloti più spericolati. Scopri cosa fa per te, non come lo fa. Poi vediamo.

Il National Cyber Security Centre olandese ha pubblicato dati devastanti: 20.000 sistemi FortiGate compromessi, 14.000 infettati durante lo zero-day. E la frase che dice tutto: “Anche se una vittima installa aggiornamenti di sicurezza da FortiGate, l’attore statale continua a mantenere questo accesso.” Quindi: cambierete modo di pensare alla sicurezza, o continuerete sulla solita strada? Esiste una tecnologia, ZeroSurface®, che questi problemi non li considera nemmeno, perché… non sono un problema.

Integrabilità e resistenza sono in proporzione inversa: più un sistema è complesso, più opporrà resistenza a qualunque nuovo componente. Con ZeroSurface® questi problemi sono azzerati: non tocca né interagisce con nessuno dei sistemi già presenti, non richiede analisi di compatibilità, aggiornamenti o adeguamenti. Le resistenze sono eliminate. Troppo facile, vero? O forse siamo solo abituati a un paradigma di sicurezza ormai vecchio e non più sostenibile?

In un sistema dinamico complesso esistono soluzioni sintomatiche (la pillola che fa passare il mal di testa senza eliminare la causa) e soluzioni fondamentali, quelle che affrontano ed eliminano le catene causa-effetto-causa alla radice dei problemi. iceGate e lo standard ZeroSurface® appartengono alla seconda categoria: una soluzione strutturale, ecologica, generativa, evolutiva. Sottraggono ad attaccanti e difensori il terreno su cui scontrarsi: fine dei giochi, andate a giocare da un’altra parte.

Siamo arrivati alla fine, che poi dovrebbe essere un nuovo inizio. La Cultura della Sicurezza è l’elemento esogeno che il sistema da solo non genera: aziende, scuole, istituzioni devono farsi carico della formazione. Servono soluzioni più semplici, più innovative, capaci di non alimentare lo sviluppo delle tecniche di hacking… e qui la tendenza al muscle hardening non aiuta. La rivoluzione vera arriva quando non c’è più un portone da sfondare: è su questi criteri che LATERALCODE ha concepito iceGate e la tecnologia ZeroSurface®.

Ripartiamo dal sistema dove ci eravamo lasciati. Come si interviene sulle grandezze più perniciose? Provo un circolo di bilanciamento, il B3, per capire se “l’evoluzione dell’hacking segue l’evoluzione della protezione”. Poi il secondo obiettivo, limitare i costi della sicurezza: aumentare la concorrenza, semplificare le soluzioni, dare alle aziende il tempo di fare vera ricerca anziché “accessoriare” le solite tecniche note. Tante grandezze, tanti circoli, e alla fine “tutto a sistema”. E poi un po’ di fumo da diradare.

Dalla prima puntata eravamo rimasti con una conclusione sinistra: tanto più le cose vanno male, tanto più sembrano peggiorare. Nella seconda puntata il quadro si arricchisce di nuovi circoli — R9, R6, R6bis — e di un archetipo potente: l’Escalation, la rincorsa continua tra sviluppo dei sistemi di sicurezza e sviluppo delle tecniche di hacking. Si aggiunge il tassello delle pressioni normative tipo GDPR. La Legge di Sistema è chiara: causa ed effetto sono lontani nello spazio e nel tempo.

Cosa otterremmo se osservassimo il problema della sicurezza informatica in chiave sistemica? Un bacino enorme di alfabetizzazione digitale spontanea, utenti inconsapevoli dei rischi, costi della sicurezza in crescita e una domanda crescente di servizi non sicuri: circoli di rinforzo che si alimentano a vicenda. Tanto più le cose vanno male, tanto più sembrano peggiorare. E il bello deve ancora venire.

I progressi nella tecnologia difensiva alimentano quella offensiva? La risposta è nascosta nel FtF — Fixes that Fail, uno degli archetipi sistemici più diffusi e ignorati: le soluzioni che adottiamo generano, con un ritardo più o meno lungo, esattamente le conseguenze da cui ci proteggono. Uscire da questo circolo vizioso è possibile. Con ZeroSurface® si risponde in pieno alle raccomandazioni di Senge: eliminare la causa, non il sintomo.

Non stiamo vincendo semplicemente perché non possiamo vincere: non possiamo annullare la minaccia, non possiamo ritirarci, possiamo forse pareggiare. In guerra, questo tipo di condizione ha un nome solo: assedio. E l’unico modo di vincere un assedio è… non essere assediati. Con la tecnologia ZeroSurface® il vostro villaggio cesserà di essere raggiungibile, disponibile, visibile a chi non deve: zero intrusioni, zero DDoS, zero minacce 0-day, zero phishing.

I lemming della nostra storia siamo tutti noi: IT manager, tecnici, decisori, consulenti che anziché fidarsi delle proprie competenze (o crearsele) “comprano” o “vendono” l’idea più diffusa. Il “così fan tutti” ci illude che delegando le decisioni ad altri deleghiamo anche le responsabilità: purtroppo questo è un inganno e tutto, alla fine, torna indietro sotto forma di problemi. Possiamo fare meglio di così.

Il contrario di “complesso” non è “facile”, semmai è “semplice” — solo che realizzare la semplicità è opera assai faticosa. Fintanto che avremo superfici da difendere avremo bisogno di lucchetti, blindature e sovrastrutture sempre più complesse, in una escalation che sarebbe comica se non fosse spaventosa. In questa puntata, i canoni progettuali che hanno dato origine a iceGate e alla tecnologia ZeroSurface®.

Curare la complessità con la complessità è, paradossalmente, la risposta più analitica, semplicistica e meno efficiente che si possa proporre. Prima di parlare di “sistemi di sicurezza informatica” dovremmo cambiare modo di pensare: la parte più importante e insidiosa della locuzione non è in “sicurezza informatica” ma in “sistemi“. Fino ad allora sarà più corretto chiamarli “sistemi di speranza informatica”.

L’intelligenza è un’emergenza di sistema, eppure continuiamo a parlare di “intelligenza artificiale controllabile”, ciechi di fronte a un tale ossimoro: o è “intelligenza” o è “controllabile”. Nel frattempo i sistemi informatici si complicano, si stratificano e producono fragilità che nessuno ha previsto. Prima puntata di una serie in quattro parti che presenta il problema da un’angolazione diversa.

Authentication, Authorization, Accounting: la terna AAA governa ogni sistema di accesso esistente. Il problema strutturale è che le tre A sono sempre collegate tra loro e seguire il filo, in un modo o nell’altro, porta inevitabilmente al target. In una condizione ZeroSurface® la prima A è completamente disarticolata dalle altre, fisicamente e logicamente. È questa asimmetria funzionale la chiave di tutto.

In termini di pura sicurezza preferireste un sistema fragile che NON PARLA CON NESSUNO, o un sistema forte che parla con tutti? La risposta è ovvia, ma allora perché continuiamo a progettare la sicurezza informatica come se l’esposizione fosse un dato ineluttabile? Una sola domanda per rimettere in discussione trent’anni di approcci consolidati e ormai inefficaci.

Zero Trust è diventato il mantra della cyber security, specie post-pandemia. Peccato che nessuno sembri voler affrontare il problema alla radice: le superfici esposte, fatalmente “necessarie”. Finché esistono, però, qualsiasi soluzione per quanto sofisticata, curerà il sintomo e non la causa: liquidare la questione come irrisolvibile è, a tutti gli effetti, una dichiarazione di resa. ZeroSurface® parte da un presupposto radicalmente diverso, e risolve il problema.

Nella sicurezza informatica l’anello più debole della catena è sempre l’uomo e il phishing è lì a dimostrarlo. Ma cosa succede quando il punto di autenticazione non è mai a bordo rete, non è riconducibile al sito target e l’URL stesso diventa un fattore di autenticazione? Possono “pescare” tutte le vostre chiavi ma non sapranno mai quale e dove sia la serratura. Se non è chiaro continuate a leggere…

La falsificazione dei dati nei processi formativi è un fenomeno in crescita in tutta Europa. Il progetto DAC, presentato in ambito Erasmus all’INDIRE, risponde con la tecnologia blockchain per notarizzare i documenti formativi, rendendone certa l’autenticità e impossibile l’alterazione. Tra i partner associati del progetto ci siamo anche noi di LATERALCODE.