C’è una domanda che chiunque lavori in cyber security prima o poi si trova a porre e alla quale non riesce mai a dare una risposta davvero soddisfacente: quanto vale un firewall di ultima generazione quando qualcuno dall’altra parte del telefono riesce a convincere un dipendente ad aprire la porta?

Il 14 aprile 2026, Carnival Corporation, la più grande compagnia di crociere al mondo, un colosso con undici brand e oltre 100 navi in flotta, ha risposto involontariamente a quella domanda.

Un hacker ha utilizzato tecniche di social engineering per manipolare un singolo dipendente e ottenere accesso a una porzione dei sistemi IT aziendali. In meno di due settimane, entro il 22 aprile, l’intruso aveva già copiato dati personali di quasi 6 milioni di persone prima di essere individuato e bloccato.

L’anatomia di un attacco elementare

Non c’era zero-day. Non c’era exploit sofisticato. C’era, quasi certamente, una voce convincente, o un’email ben costruita, e un dipendente che ha fatto esattamente quello che un essere umano farebbe: ha dato fiducia.

L’attaccante ha usato l’account compromesso per muoversi lateralmente e raggiungere una «parte limitata» dei sistemi, da cui ha estratto file contenenti nomi completi, indirizzi, e-mail, numeri di telefono, date di nascita e documenti d’identità governativi come patenti e passaporti.

Il gruppo rivendicante è ShinyHunters, tra i collettivi cyber criminali più attivi degli ultimi anni nel campo delle grandi esfiltrazione di dati.

Quello che rende questo incidente paradigmatico non è la sua complessità tecnica, anzi, è precisamente il contrario. È la sua banalità disarmante a renderlo degno di analisi.

Un recidivo seriale

Carnival non è nuova a questo tipo di notizie, e questo è forse l’aspetto più inquietante dell’intera vicenda. Dal 2019 ad oggi, l’azienda ha accumulato una sequenza quasi ritmica di incidenti:

• 2019–2021: quattro distinti episodi di sicurezza segnalati al Dipartimento dei Servizi Finanziari di New York, tra cui due attacchi ransomware e un caso di phishing che ha permesso l’accesso ai sistemi interni.
• Marzo 2021: accesso non autorizzato agli account email con impatto su clienti e dipendenti di Carnival Cruise Line, Holland America e Princess Cruises.
• 2022: multa da 5 milioni di dollari dal NYDFS per mancata implementazione dell’autenticazione multifattore, formazione inadeguata del personale e ritardo di 10 mesi nel notificare il primo incidente alle autorità.
• 2022: settlement separato da 1,25 milioni di dollari con 45 procure statali americane per la mancata protezione dei dati di 180.000 clienti e dipendenti.
• Aprile 2026: social engineering su singolo dipendente, quasi 6 milioni di vittime.

Non si tratta di malasorte ma di un pattern, come sempre accade in questo genere di eventi che a prima vista possono sembrare “sfortunati”, ma che hanno troppa matematica dentro per essere classificati così.

Il paradosso della modernità digitale

Qui risiede il vero cuore del problema, il paradosso che nessuna dashboard di threat intelligence riesce a risolvere. Le aziende investono in EDR, SIEM, SOAR, Zero Trust architecture. Il mercato globale della cybersecurity supera i 200 miliardi di dollari. Eppure, secondo il Verizon Data Breach Investigations Report, oltre il 68% delle violazioni coinvolge ancora l’elemento umano, phishing, pretexting, furto di credenziali.

Il motivo è strutturale: la tecnologia si aggiorna, l’ingegneria sociale si adatta. Un attaccante sufficientemente paziente non ha bisogno di bucare un sistema; deve solo trovare il dipendente giusto nel momento sbagliato.

Carnival, nel 2022, aveva concordato con le autorità di implementare proprio la MFA e la formazione sulla sicurezza e-mail.

Quattro anni dopo, un hacker ha comunque trovato il modo di aggirare ogni controllo tecnico attraverso la persuasione diretta.

La superficie d’attacco che non si può disegnare su mappa

C’è una differenza fondamentale tra una vulnerabilità software e una vulnerabilità umana. La prima ha un CVE, una patch, una finestra di remediation. La seconda ha un nome, una storia personale, un momento di distrazione o di pressione.

L’ingegneria sociale non sfrutta un bug nel codice, sfrutta la fiducia, l’autorità percepita, l’urgenza artificiale. Sono le stesse leve cognitive che rendono gli esseri umani capaci di collaborazione e empatia, trasformate in vettore d’attacco.

In questo senso, ogni organizzazione, per quanto blindata sul piano tecnico, ha una superficie d’attacco che non compare in nessun asset inventory: le persone che ogni mattina aprono il laptop e rispondono alle chiamate.

Cosa rimane

Carnival offrirà alle vittime americane due anni di credit monitoring gratuito tramite TransUnion. È la risposta standard del settore, il kit di pronto soccorso reputazionale che segue ogni data breach di questa portata. Utile, forse. Ma non abbastanza per rispondere a una domanda più profonda: dopo anni di sanzioni, settlement, formazioni obbligatorie e promesse di miglioramento, perché un singolo punto di contatto umano ha ancora il potere di mettere a rischio quasi 6 milioni di persone?

La risposta scomoda è che nessuna tecnologia può sostituire una cultura della sicurezza realmente interiorizzata, non subita come compliance, ma vissuta come responsabilità.

E costruire quella cultura, nelle grandi organizzazioni, è infinitamente più difficile che installare un firewall.