Il 3 novembre 2025 il gruppo di cybercriminali Akira ha pubblicato sul Dark Web uno dei suoi classici annunci di ricatto. A finire nel mirino non è stata però un'azienda qualsiasi, bensì Mecanex, una controllata americana di RUAG, l'azienda di armamenti di proprietà della Confederazione. Nel messaggio gli hacker minacciavano di diffondere 24 gigabyte di documenti aziendali, informazioni dettagliate sui dipendenti, dati personali, contratti militari e documentazione relativa agli esplosivi. Come rivelato dalla SRF, l'azienda ha deciso di pagare il riscatto richiesto dai criminali informatici, una scelta avvenuta senza che il Dipartimento federale della difesa fosse informato e in contrasto con le linee guida delle autorità svizzere.

L'esperto di sicurezza informatica Alessandro Trivilini ci spiega che Akira è un gruppo specializzato negli attacchi ransomware, una forma di criminalità che punta a bloccare l'accesso ai dati delle aziende per poi chiedere un riscatto. «Akira, oltre a essere il nome del virus informatico che ha colpito l'azienda, è anche il nome del gruppo criminale. Sono specializzati nel ransomware: cercano di colpire e ingannare i collaboratori delle aziende attraverso email, telefonate o sfruttando vulnerabilità, ad esempio applicazioni non aggiornate. In questo modo riescono a inserire un virus nell'infrastruttura informatica affinché, al verificarsi di un determinato evento, tutti i dati disponibili vengano resi inaccessibili attraverso sistemi di crittografia».

Una volta compromessi i sistemi, il meccanismo è sempre lo stesso: per riottenere l'accesso ai dati o evitare la pubblicazione delle informazioni rubate viene richiesto un pagamento. Ma per Trivilini, la decisione di versare il riscatto non è corretta. «Tecnicamente non è una scelta giusta perché in Svizzera abbiamo l'approccio di non pagare. Farlo significa entrare nella lista dei bersagli preferiti delle organizzazioni criminali, che sanno di avere a che fare con aziende o istituzioni potenzialmente disposte a versare un riscatto. Paghi una volta, paghi per sempre e comunque resti sempre ricattabile».

Secondo l'esperto, l'aspetto più problematico della vicenda riguarda però la gestione della comunicazione successiva all'attacco. La notizia del pagamento è stata infatti resa pubblica dal presidente del Consiglio di amministrazione dell'azienda ai microfoni della SRF. «Quello che è stato fallimentare dal punto di vista tecnico è stata la comunicazione a posteriori». E aggiunge: «Una comunicazione di questo tipo non è semplice, ma non deve essere frettolosa e soprattutto non deve trasformarsi in un messaggio rassicurante del tipo: "Abbiamo pagato, state tranquilli e abbiamo pagato poco". Ecco, questo è un autogol, dal punto di vista tecnico, davvero incredibile».

Per Trivilini, le conseguenze potrebbero andare ben oltre il rischio di nuovi attacchi informatici. «RUAG non produce sedie o tavoli da giardino: produce materiale e software per il settore della difesa. Per questo bisogna considerare il danno reputazionale, la sicurezza intrinseca dei dati che tratta e anche tutte le implicazioni economiche legate ai contratti», conclude l'esperto.