Netcrook Logo
👤 AGONY
🗓️ 16 Mar 2026   🌍 North America

Scudo informatico o muro di carta? Il lancio del CMMC affronta minacce invisibili mentre hacker stranieri accerchiano i contractor della difesa

Mentre gli hacker sponsorizzati dagli Stati intensificano gli attacchi, un’indagine del GAO rivela lacune critiche nell’ambizioso programma di certificazione della cybersecurity del Pentagono.

In un momento in cui spie digitali di nazioni rivali sondano senza tregua la catena di fornitura della difesa americana, l’iniziativa di punta del Dipartimento della Difesa (DoD) in materia di cybersicurezza - la Cybersecurity Maturity Model Certification (CMMC) - avrebbe dovuto essere il baluardo a protezione dei segreti militari più sensibili. Ma una nuova indagine dell’U.S. Government Accountability Office (GAO) rivela che questo scudo informatico potrebbe essere pieno di crepe, rischiando di lasciare i contractor della difesa pericolosamente esposti.

Il programma CMMC, concepito per imporre una cybersicurezza di base lungo l’ampia base industriale della difesa, viene implementato per fasi. L’idea centrale è semplice: senza certificazione, niente contratto. I fornitori devono dimostrare - spesso tramite audit esterni - di saper proteggere adeguatamente tutto, dai dati logistici ai progetti di armi avanzate. Ma il rapporto del GAO mette in luce una realtà inquietante: il DoD non ha definito con rigore come gestirà la valanga di certificazioni necessarie, né ha pianificato il rischio che il settore privato possa semplicemente non disporre di un numero sufficiente di valutatori formati per reggere il ritmo.

Esistono tre livelli CMMC, ciascuno legato alla sensibilità dei dati trattati. Il Livello 1 consente l’autovalutazione, ma i Livelli 2 e 3 richiedono audit di terze parti o condotti dal governo, che coinvolgono centinaia di controlli. Alla fine del 2025, solo 92 organizzazioni erano state autorizzate a svolgere queste valutazioni - un numero lontanissimo dal soddisfare la domanda imminente di oltre 200.000 aziende. Sebbene il DoD abbia avviato programmi di formazione e stretto partnership con organizzazioni come The Cyber AB per ampliare il bacino di valutatori, il GAO avverte che, senza un piano solido sulla capacità, colli di bottiglia e ritardi sono inevitabili.

La situazione è particolarmente precaria per le piccole e medie imprese, molte delle quali non hanno le risorse per orientarsi tra requisiti complessi. Il DoD ha sviluppato iniziative di mentoring e outreach, come il Mentor-Protégé Program e Project Spectrum, ma anche con questi supporti i contractor segnalano una diffusa impreparazione. Un recente rapporto di settore ha rilevato che solo l’1% dei contractor della difesa si sente pronto per gli audit CMMC - un indicatore netto del divario tra politica e pratica.

A complicare ulteriormente le cose, il framework CMMC si basa su standard che sono già in evoluzione, il che significa che materiali formativi ed esami di certificazione potrebbero restare indietro rispetto alle minacce attuali. Il piano di riserva del DoD - rilasciare deroghe se il sistema si blocca - rischia di compromettere l’intero scopo del CMMC: garantire che solo aziende sicure gestiscano i segreti militari americani.

Con avversari informatici sempre più audaci e sofisticati, la posta in gioco per far funzionare il CMMC non è mai stata così alta. Senza un’azione urgente per affrontare le conclusioni del GAO, la fortezza digitale del Pentagono potrebbe rivelarsi poco più di un muro di carta - lasciando a rischio i segreti più custoditi della nazione.

WIKICROOK

  • CMMC: Il CMMC è un framework del DoD che definisce standard di cybersicurezza per i contractor della difesa, garantendo la protezione delle informazioni governative sensibili nella catena di fornitura.
  • Defense Industrial Base (DIB): La DIB è una rete di aziende private che forniscono prodotti, servizi e ricerca a supporto del Dipartimento della Difesa degli Stati Uniti e della sicurezza nazionale.
  • Controlled Unclassified Information (CUI): La CUI è informazione federale sensibile che non è classificata, ma deve essere protetta e controllata in conformità con leggi e politiche governative.
  • Third: Un “third” indica una parte esterna i cui sistemi si connettono alla tua organizzazione, potenzialmente aumentando i rischi di cybersicurezza attraverso nuovi percorsi di integrazione.
  • Waiver: Una waiver è un’autorizzazione ufficiale a bypassare una regola o una policy di cybersicurezza, in genere concessa dopo una valutazione del rischio e in circostanze specifiche e controllate.
CMMC cybersecurity defense contractors
AGONY AGONY
Elite Offensive Security Commander
← Back to news