WI-FI da incubo in Hotel a 4 Stelle! Ecco cosa abbiamo scoperto in un weekend da paura

RedWave Team : 3 Giugno 2025 10:25

Durante un recente soggiorno in un bellissimo Hotel**** nella splendida Toscana, uno dei membri del nostro team ha vissuto un’esperienza IT a dir poco “agghiacciante”. Nonostante l’ambiente elegante e l’accoglienza impeccabile, il servizio Wi-Fi dell’hotel era vergognoso: il captive portal funzionante a singhiozzi, connessioni instabili e nessuna policy di sicurezza applicata.

Come mostrato nello screen il captive, richiede diversi dati ed in fondo fa notare che la connessione avviene tramite “un’equa distribuzione della banda internet disponibile..”

Parte un messaggio nella chat di gruppo che fa scoppiare lo sfogo generale: il collega toscano che sottolinea quanto sia difficile sensibilizzare le aziende nella sua zona, dove persino le associazioni di categoria spesso “fanno orecchie da mercante”; Gli altri che quasi all’unisono confermano di trovarsi nella stessa situazione nei loro territori; fino ad ammettere che forse il vero problema siamo noi tecnici, incapaci di far comprendere il rischio.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questo confronto ci ha portato a voler indagare sul fornitore IT di questo “servizio”. Si tratta di un’azienda della zona che nel nome porta orgogliosamente la parola “Cyber”, lasciando intendere competenze avanzate in sicurezza informatica. Ancora più incuriositi abbiamo guardato il loro sito web:

Riscontrando che non veniva aggiornato dal 2016, con un backend ancora in PHP 5.4.16 (https://www.cvedetails.com/version/479254/PHP-PHP-5.4.16.html, 219 vulnerabilità note di cui 35 di code execution) e servizio SSH esposto in rete con OpenSSH 7.4 (https://www.cvedetails.com/version/573324/Openbsd-Openssh-7.4.html, qui le cve sono meno 17, ma questa CVE-2023-38408 con punteggio 9.8 dovrebbe essere sufficiente per far comprendere il rischio).

Questi due elementi dovrebbero fare saltare dalla sedia qualsiasi persona che ha un minimo di esperienza IT quindi di base tutti i nostri lettori. Ma ci rendiamo conto che non tutti possono capire e avere idea di cosa stiamo parlando. In questo articolo vogliamo proprio trattare questa parte e evidenziare l’importanza di scegliere un buon fornitore, ma soprattutto come questa scelta e valutazione dovrebbe essere più alla portata di tutti.

Di solito ogni volta quando si acquista qualcosa tendiamo ad analizzare il fornitore più adeguato per quelle che sono le esigenze ma basandosi principalmente su due parametri qualità/prezzo. Mentre il prezzo è facilmente individuabile e identificabile, la qualità diventa qualcosa di difficile se non si è del mestiere. Per questo motivo si è iniziato ad utilizzare sempre di più due elementi come la reputazione e la qualifica. Per esempio quando compriamo qualcosa andiamo sempre a verificare due cose oltre al prezzo:

1. I commenti e reputazioni di quel prodotto
2. Eventuali qualità/qualifiche del prodotto, per esempio in ottica di green o di performance. Per essere comprensibili queste devono essere il più chiare possibile, come per esempio lo sono le etichette della classe energetica degli elettrodomestici (tutti noi sappiamo che un dispositivo in classe A++ è migliore di uno in classe C).

La qualità e i commenti in ambito IT

Come anticipato, quando parliamo di acquisti “tradizionali”, è ormai automatico consultare recensioni online, forum di discussione e comparatori di prezzo per capire se un prodotto vale il costo richiesto. In ambito IT, questo approccio diventa però più complesso, perché dietro al termine “qualità” si celano aspetti tecnici non sempre immediatamente comprensibili a chi non è del mestiere. 

Così come esistono etichette energetiche che aiutano i consumatori a valutare l’efficienza degli elettrodomestici, sarebbe auspicabile introdurre un sistema simile per i servizi e prodotti IT. Un’etichetta di sicurezza informatica fornirebbe una valutazione immediata del livello di protezione offerto, facilitando scelte consapevoli anche per chi non ha competenze tecniche.

L’Unione Europea ha avviato iniziative per affrontare questa problematica. Il Cyber Resilience Act (CRA), adottato nel dicembre 2024, stabilisce requisiti obbligatori di sicurezza per i prodotti con elementi digitali, imponendo ai produttori di garantire la protezione dei loro prodotti durante tutto il ciclo di vita. A partire dall’11 dicembre 2027, solo i prodotti conformi a questi standard potranno essere commercializzati nell’UE, identificati dal marchio CE che attesterà anche la conformità ai requisiti di sicurezza informatica.

Parallelamente, l’European Cyber Security Organisation (ECSO) ha introdotto il Cybersecurity Made in Europe Label, un’etichetta che promuove le aziende europee che offrono soluzioni di cybersecurity affidabili e conformi alle normative europee. Sebbene questa etichetta sia un passo avanti, è ancora volontaria e non universalmente adottata.

L’esperienza  che viviamo tutti i giorni però evidenzia la necessità urgente di strumenti che permettano anche ai non esperti di valutare facilmente la sicurezza dei servizi digitali. Un sistema di etichettatura chiaro e standardizzato, supportato da normative nazionali o europee, faciliterebbe scelte consapevoli, proteggendo sia i fornitori che i clienti finali da rischi informatici. È fondamentale che le istituzioni europee e nazionali accelerino l’implementazione di tali strumenti, promuovendo una cultura della sicurezza accessibile a tutti. 

Sarebbe utile che  l’ACN mettesse a disposizione uno strumento basato che tramite un audit che le aziende possono fare in modo volontario e di autocertificazione/dimostrazione, desse a loro come output un livello del loro prodotto/soluzione, stile classe A,B,C degli elettrodomestici.

Ma in attesa cosa possiamo fare?

In mancanza di uno strumento che semplifichi e renda renda accessibile la valutazione di un fornitore IT alla portata di tutti. Vediamo come fare anche se non si si è esperti di IT, sfruttando al meglio la reputazione, i feedback e alcuni criteri oggettivi:

Recensioni e testimonianze (social proof)

• Piattaforme di recensioni: Anche chi non è tecnico può trarre vantaggio da siti come Trustpilot o da forum specializzati (ad esempio Spiceworks o Reddit/r/sysadmin). Qui i professionisti raccontano esperienze reali su modelli di router, firewall, access point o su vendor di servizi gestiti. Con una breve lettura si riesce a capire se un prodotto è soggetto a malfunzionamenti o se un fornitore di servizi ha frequenti interruzioni.
• Case study e referenze: Molte aziende IT pubblicano sul proprio sito casi di studio (case study) che descrivono progetti già realizzati, con numeri concreti e testimonial dei clienti. Valutare se il fornitore ha esperienze simili al proprio settore permette di capire se è davvero in grado di gestire le stesse criticità. L’assenza di case study recenti, o la mancanza di referenze, è un segnale che vale la pena considerare come campanello d’allarme.

Indicatori di qualità misurabili

• Uptime e SLA (Service Level Agreement): Un preventivo serio indica sempre un livello minimo di servizio, ad esempio “uptime garantito al 99,5%” o “tempo massimo di intervento in caso di guasto: 4 ore”. Se il fornitore non menziona l’SLA o non specifica i tempi di intervento, vuol dire che in caso di problema il cliente potrebbe rimanere senza supporto per giorni.
• Aggiornamenti e patch management: Un buon fornitore IT indica con chiarezza la frequenza degli aggiornamenti software e firmware, magari specificando “aggiornamenti mensili” o “patch di sicurezza rilasciate entro 48 ore dalla scoperta”. Se non è indicato nulla, significa che gli aggiornamenti vengono fatti in modo sporadico (o non vengono fatti affatto), lasciando sistemi esposti a vulnerabilità note.
  

Certificazioni e qualifiche come proxy di affidabilità

• Certificazioni ISO/IEC 27001, 20000, 9001: non tutti sapranno dettagliare ogni punto di questi standard, ma riconosceranno immediatamente che un’azienda certificata ISO/IEC 27001 “ha un sistema organizzato per gestire la sicurezza delle informazioni”. Se un fornitore non è neppure in grado di mostrare un logo di certificazione, è difficile che abbia procedure di gestione del rischio minimamente strutturate.
• Certificazioni di prodotto (Wi-Fi Alliance, UL, CE): Nel caso di dispositivi di rete, un access point “Wi-Fi CERTIFIED 6” ha superato test di interoperabilità, performance e sicurezza. Un router con questo logo è molto più affidabile di uno che dichiara genericamente “compatibile con gli standard più diffusi”.

Forum, community e gruppo di pari: il “passaparola digitale”

• Presenza online e reputazione sui social: Basta una rapida ricerca per capire quanto un’azienda sia attiva e apprezzata. Se trovi post recenti in cui i clienti lodano tempestività e competenza, vuol dire che c’è un riscontro positivo. Al contrario, pagine abbandonate o commenti negativi frequenti senza risposte, indicano scarsa attenzione al cliente.
  
• Gruppi di settore e community locali: Un albergatore per esempio può entrare in gruppi Facebook, LinkedIn o forum dedicati all’ospitalità (ad esempio “Alberghi e Turismo Italia”) e chiedere direttamente: “Qualcuno ha già lavorato con questo fornitore IT? Esperienze positive o negative?” In poche ore si ottengono feedback reali da chi ha già provato quei servizi.

Confronto tra più offerte e non fermarsi alla prima

• Richiedere almeno tre preventivi diversi: Anche se la prima proposta sembra completa ed economica, è importante chiedere almeno altre due offerte per avere un quadro più ampio. Confronta non solo i costi, ma soprattutto i dettagli: quali servizi sono inclusi, come viene gestito il supporto, quali sono i tempi di intervento e le modalità di aggiornamento.
• Valutare la coerenza delle proposte: Controlla che tutti i preventivi abbiano informazioni simili (SLA, aggiornamenti, certificazioni). Se un fornitore non specifica chiare garanzie o manca di dettagliare il piano di manutenzione, significa che potrebbe esserci un costo nascosto in caso di guasti o vulnerabilità. Scegliere la proposta migliore significa trovare il giusto equilibrio tra prezzo, qualità e affidabilità.

In questo modo, anche chi non è esperto di IT può farsi un’idea solida e prendere decisioni più informate, riducendo al minimo il rischio di affidarsi a un fornitore che alla fine costerà molto di più, tra interruzioni, malfunzionamenti e mancate protezioni.

Perché dovrei dedicare tanto tempo a un aspetto non “core” della mia attività?

Innanzitutto perché, come detto in precedenza, l’assenza di strumenti chiari e accessibili a tutti, per valutare la sicurezza dei servizi digitali rende difficile distinguere un fornitore affidabile da uno che – pur millantando competenze avanzate – non rispetta neanche i requisiti di base. Confidiamo che questa possibilità arrivi al più presto e che enti come l’ACN nazionale possano farsi carico di sviluppare un sistema concreto e alla portata di tutti.

Nel frattempo, però, non possiamo rimanere con le mani in mano: scegliere il partner sbagliato può costarci molto caro, e un servizio apparentemente secondario (come la connessione Wi-Fi da cui siamo partiti) potrebbe generare conseguenze gravissime. Basti pensare a un data breach di una certa entità: il danno reputazionale ed economico per un hotel potrebbe essere tale da compromettere irrimediabilmente la sua attività, fino addirittura alla chiusura.

I dati a conferma del rischio legato a fornitori IT inaffidabili non lasciano dubbi

• 70 attacchi alla supply chain solo nella prima metà del 2024 attestano che le catene di fornitura digitali sono ormai un bersaglio privilegiato per i cybercriminali. enisa.europa.eu.
• Il 23 % delle organizzazioni ha subito almeno un data breach via software supply chain nel 2023, con un’impennata del 241 % rispetto all’anno precedente. Snyk.
  
• L’81 % delle aziende dichiara di aver subito ripercussioni negative a causa di violazioni nella propria supply chain nell’ultimo anno, seppure si tratti di una lieve diminuzione rispetto al 94 % del 2023. Corporate Compliance Insights.
  
• Gli attacchi alla supply chain sono aumentati del 431 % fra il 2021 e il 2023 e tutto lascia pensare che questo trend continuerà a salire anche nel 2025 insurancebusinessmag.com.
• Nel nostro REPORT SULLA MINACCIA RANSOMWARE ITALIA DARK MIRROR Q1 – 2025  – nell’analisi riferita i settori economici più colpiti da attacchi ransomware nel Q1-2025, si evidenziano ben 366 attacchi sui Services (categoria che include, tra gli altri, alberghi e ristorazione) ha avuto un aumento del 36 % confermandosi tra i target principali anche nel 2025.

Questi numeri dimostrano in modo lampante che non è più possibile rimandare: imprenditori e albergatori devono avere a disposizione strumenti chiari, immediati e comprensibili per capire in un colpo d’occhio il livello di sicurezza offerto da un fornitore IT.

Conclusioni

Oggi giorno, la qualità dei servizi IT non può essere considerata un elemento secondario in nessun settore. Nell’articolo abbiamo spiegato come un partner IT inadeguato possa intaccare la reputazione, la sicurezza e, in ultima analisi, il successo di un’attività. Non basta più affidarsi al nome o a promesse generiche: ogni persona deve poter capire, in modo semplice e immediato, quanto sia solido e affidabile il fornitore a cui si rivolge.

I dati e le statistiche raccolte confermano che i rischi legati a fornitori IT non all’altezza sono concreti e in crescita. Un solo data breach può tradursi in danni economici e reputazionali tali da compromettere irrimediabilmente l’attività.

La mancanza di consapevolezza e di interesse si evidenzia anche in una delle nostre ultime interviste:

RHC effettua una BlackView con NOVA ransomware: “Aspettatevi attacchi pericolosi”

I cybercriminali sono i primi a sfruttare queste nostre mancanze.

Per questo motivo, è urgente disporre di strumenti che consentano di valutare facilmente e in modo trasparente il livello di protezione offerto da un vendor IT. Il Cyber Resilience Act e il Cybersecurity Made in Europe Label rappresentano passi nella giusta direzione, ma ad oggi non bastano: serve che enti come l’ACN nazionale intervengano rapidamente per sviluppare un sistema di etichettatura basato su audit volontari e autocertificazione, capace di restituire un “voto” chiaro (A, B, C eccetera) alle soluzioni IT. Solo così, imprenditori e albergatori potranno fare scelte consapevoli senza dover diventare esperti di sicurezza.

In un mondo in cui la tecnologia è ormai parte integrante di tutti i servizi, trascurare la sicurezza IT non è più un’opzione: è tempo di fare della protezione digitale una priorità, al pari di un servizio di qualità o di una struttura confortevole.

RedWave Team
RedWave Team è un gruppo di esperti in cybersecurity e reti WiFi della community di Red Hot Cyber, con competenze sia offensive che defensive. Offre una visione completa e multidisciplinare del panorama della sicurezza informatica. Coordinato da Roland Kapidani, Il gruppo è composto da Cristiano Giannini, Francesco Demarcus, Manuel Roccon, Marco Mazzola, Matteo Brandi, Mattia Morini, Vincenzo Miccoli, Pietro Melillo.

Lista degli articoli