I giganti del Regno Unito colpiti dagli attacchi informatici: come Co-op, MandS, JLR disruption espongono le vulnerabilità

Nel 2025, un'ondata di attacchi informatici ad alto impatto ha colpito importanti aziende del Regno Unito, tra cui Co-operative Group (Co-op), Marks and Spencer (MandS) e Jaguar Land Rover (JLR), interrompendo le operazioni, esponendo i dati dei clienti e provocando pesanti perdite finanziarie.

Queste violazioni rivelano strategie di attacco emergenti, lacune nelle difese aziendali e come il rischio informatico possa ora ripercuotersi sulle catene di approvvigionamento e sulle economie nazionali.

Gli incidenti non hanno riguardato solo i bilanci. I clienti di Co-op si sono trovati con scaffali vuoti, gli acquirenti di MandS sono stati esclusi dai servizi online per mesi e le linee di fabbrica di JLR si sono bloccate, minacciando migliaia di posti di lavoro dei fornitori.

Gli investigatori hanno successivamente collegato questi casi a gruppi di hacker che utilizzano l'ingegneria sociale e il ransomware, esponendo le debolezze sistemiche nei sistemi di supporto IT e nelle pratiche di outsourcing.

Con perdite stimate in centinaia di milioni di sterline, questi attacchi informatici sono diventati un duro promemoria del fatto che le vulnerabilità digitali possono riversarsi rapidamente nell'economia reale, aggravando le pressioni in tempi globali incerti.

Cosa è andato storto: gli incidenti e il loro impatto

• Co-op (aprile 2025)

Ad aprile, Co-op ha rivelato che un attacco informatico "dannoso" l'ha costretta a chiudere parti della sua rete IT per contenere la violazione.

Questa mossa ha paralizzato i sistemi di ordinazione e stoccaggio, causando disagi diffusi negli oltre 2.000 negozi di alimentari del Regno Unito e nelle 800 pompe funebri.

La società stima una perdita di entrate di 206 milioni di sterline nella prima metà dell'anno e un colpo di 80 milioni di sterline all'utile operativo. Nello stesso periodo è passato da un modesto utile a una perdita ante imposte di 50 milioni di sterline.

Inoltre, Co-op ha successivamente confermato che i dati personali di tutti i 6,5 milioni di membri sono stati rubati (nomi, indirizzi, dettagli di contatto). I dati finanziari, hanno detto, non sono stati consultati.

• Marks and Spencer (aprile-agosto 2025)

Intorno a Pasqua 2025, MandS è stata costretta a disabilitare i suoi servizi di ordinazione online, app mobile e click-and-collect dopo un significativo attacco ransomware.

L'interruzione è durata diverse settimane: alcuni servizi online sono stati ripristinati a giugno, ma il click-and-collect è tornato solo a metà agosto.

MandS ha avvertito che l'attacco potrebbe ridurre il suo utile operativo di circa 300 milioni di sterline per l'anno. Ha riconosciuto che i dati degli utenti (nomi, indirizzi, e-mail) sono stati consultati, ma ha affermato che i dettagli di pagamento non sono stati compromessi.

La polizia britannica ha arrestato quattro persone (adolescenti e poco più che ventenni) in relazione agli attacchi a MandS, Co-op e Harrods. Sono sospettati ai sensi delle leggi che coprono l'uso improprio del computer, il ricatto e il riciclaggio di denaro.

• Jaguar Land Rover (fine agosto/settembre 2025)

JLR ha annunciato che un incidente informatico ha interrotto le sue operazioni globali, interrompendo rapidamente la produzione nei suoi stabilimenti nel Regno Unito e disabilitando i sistemi per la gestione dei ricambi, l'immatricolazione dei veicoli, le vendite e la logistica.

Si prevede che l'arresto della produzione durerà almeno fino al 1° ottobre e si dice che JLR stia perdendo 50 milioni di sterline a settimana di entrate sospese.

Poiché molti fornitori dipendono dalle consegne just-in-time, decine di aziende fornitrici devono far fronte a ordini annullati, lavori sospesi, licenziamenti e stress del flusso di cassa. Alcune stime suggeriscono che migliaia di posti di lavoro nella catena di approvvigionamento automobilistica potrebbero essere a rischio.

Cause: tattiche, gruppi e debolezze del sistema

Le indagini e le analisi di settore suggeriscono un modus operandi condiviso dietro questi attacchi. Un collettivo di hacker, spesso indicato come Scattered Spider, è implicato nelle violazioni di Co-op e MandS.

Il gruppo è noto per essere specializzato in ingegneria sociale, spesso impersonando personale IT o utilizzando exploit dell'helpdesk per ottenere l'accesso interno.

Nel caso MandS, secondo quanto riferito, gli aggressori hanno utilizzato lo scambio di SIM e l'impersonificazione dell'helpdesk, prendendo di mira fornitori di servizi di terze parti per violare i sistemi critici.

In seguito all'attacco a JLR, un canale Telegram che si fa chiamare Scattered Lapsus$ Hunters ha rivendicato la responsabilità.

Il nome suggerisce una collaborazione o una sovrapposizione tra i gruppi Scattered Spider, Lapsus$ e ShinyHunters. Gli screenshot pubblicati su quel canale mostravano sistemi JLR interni.

Un analista ha detto a Computing che l'esternalizzazione della sicurezza informatica a servizi come Tata Consultancy Services (TCS), che è stata appaltata da Co-op, MandS e JLR, potrebbe aver creato un punto di aggregazione del rischio.

Come hanno reagito le aziende

Co-op ha reagito rapidamente chiudendo segmenti della sua rete IT, ripristinando gradualmente i sistemi e collaborando con i fornitori per riavviare le consegne. Il suo amministratore delegato si è scusato pubblicamente, dicendo di essere "incredibilmente dispiaciuta" per l'incidente e il suo impatto sui membri.

Co-op ha dichiarato di non avere una copertura completa da parte dell'assicurazione informatica per le perdite di back-end, il che significa che assorbirà gran parte dei costi da sola.

MandS ha messo offline i suoi sistemi in anticipo per contenere i danni e poi ha reintrodotto i servizi in più fasi: prima la consegna a domicilio, poi il click-and-collect. Ha coinvolto le forze dell'ordine, ha collaborato con le autorità di regolamentazione e ha invocato la sua polizza assicurativa informatica per recuperare parte della perdita.

JLR ha chiuso immediatamente le fabbriche e i sistemi IT, ha coinvolto esperti di sicurezza informatica e ha collaborato con il governo del Regno Unito e il National Cyber Security Centre (NCSC) per consentire un "riavvio controllato e graduale".

JLR ha anche iniziato a ripristinare i pagamenti dei fornitori, i sistemi logistici dei ricambi e la capacità di immatricolazione delle auto per preservare il flusso di cassa.

I ministri sono in trattative su regimi di sostegno per aiutare i fornitori colpiti, comprese le imposte differite o i prestiti, anche se sottolineano che JLR stessa deve assorbire le perdite primarie.

Opinioni di esperti e significato sistemico

Gli esperti di sicurezza informatica avvertono che i recenti attacchi non sono isolati, ma sintomatici di un cambiamento nelle ambizioni degli aggressori. Rafe Pilling, Director of Threat Intelligence di Sophos, ha dichiarato:

Martyn Thomas, professore emerito di informatica, ha offerto un avvertimento che fa riflettere:

Nel contesto di JLR, gli analisti del Guardian hanno concluso che l'hack ha rivelato come "tutto sia connesso" nelle moderne fabbriche intelligenti e che la complessità stessa può diventare una vulnerabilità.

Il fatto che JLR abbia esternalizzato i sistemi IT critici e che i servizi TCS siano stati integrati in più aziende ora sotto attacco, solleva dubbi sul fatto che i punti centrali di dipendenza vengano trascurati.

Il significato più ampio di questi eventi è chiaro: gli attacchi informatici non si limitano più al furto di dati o all'interruzione dei servizi digitali, ma possono bloccare la produzione fisica, minacciare l'occupazione, mettere a dura prova le catene di approvvigionamento e diffondersi nelle economie regionali.

In un periodo di incertezza globale, con inflazione, pressione sulla catena di approvvigionamento e tensioni geopolitiche, tali violazioni amplificano la fragilità dei sistemi interconnessi.

Per le aziende britanniche, questi attacchi sottolineano lezioni urgenti: investire nel rilevamento e nella risposta alle minacce, ridurre l'eccessiva dipendenza da singoli fornitori di servizi, creare ridondanza e garantire che l'assicurazione informatica non sia solo una vetrina.

Man mano che più settori si digitalizzano e si connettono, la "superficie di attacco" non fa che crescere. Se le aziende di alto profilo sono ora a rischio, le aziende più piccole nelle catene di approvvigionamento possono diventare ancora più vulnerabili.

In breve, gli incidenti Co-op, MandS e JLR segnano un punto di svolta: il crimine informatico è maturato oltre il fastidioso hacking fino a diventare una rivoluzione sistemica. La prossima grande violazione potrebbe non annunciarsi con delicatezza, ma coloro che si preparano potrebbero ancora mitigarne le conseguenze peggiori.