Quando una configurazione errata di Windows Server porta alla condanna di un fornitore di servizi IT a seguito di un attacco ransomware

Un sistema Windows Server configurato in modo errato non perdona. Un fornitore di servizi IT lo ha imparato a sue spese di recente, venendo condannato in seguito a un attacco ransomware. Questo caso evidenzia, ancora una volta, i rischi associati alla mancanza di rigore nella protezione delle infrastrutture IT.

La causa del disastro è stata un’installazione di Windows Server non riuscita.

Nel 2020, MISA, un’azienda specializzata nell’installazione di apparecchiature meccaniche, ha incaricato un fornitore di servizi di rinnovare la propria infrastruttura IT. Optando per la soluzione più economica, ha installato un server Windows Server 2019. Si è però presentato un problema: a questo server appena installato non era stata applicata alcuna configurazione di sicurezza.

Meno di un mese dopo, un ransomware si è infiltrato attraverso una porta spalancata. Il risultato: crittografia totale dei dati, paralisi completa delle operazioni e una richiesta di riscatto di quasi 3.000 euro. Questo ha segnato l’inizio di una vera e propria odissea per MISA.

Quando l’ignoranza tecnica e la parsimonia hanno un prezzo.

L’esperto nominato dal tribunale, imparziale ma deciso, non ha usato mezzi termini. Secondo lui, il server era stato consegnato con le impostazioni di fabbrica. Non era stata implementata nemmeno una singola misura di sicurezza raccomandata dall’Agenzia nazionale francese per la sicurezza informatica (ANSSI). Peggio ancora: uno strumento di sicurezza progettato per bloccare gli accessi indesiderati è inutile senza il firewall di Windows, che semplicemente mancava.

Una differenza di poche centinaia di euro tra due preventivi ha quindi relegato la PMI nella categoria “vittima”. Il fornitore di servizi, dal canto suo, sta prendendo tempo e afferma di aver eseguito esattamente quanto richiesto, sostenendo che vi sia stato un disaccordo sulle specifiche.

Responsabilità condivisa, ma con gravi conseguenze.

La Corte d’Appello di Reims si è pronunciata nell’aprile del 2026, al termine di una lunga battaglia legale. Il verdetto? La responsabilità è stata condivisa, ma il fornitore di servizi è stato condannato a pagare oltre 12.000 euro. Questa cifra rappresenta la metà dei 24.000 euro di risarcimento danni stimati, che includono il mancato guadagno, i costi di riparazione e il riscatto pagato da MISA.

Ciò che è veramente scandaloso è che MISA non avesse formalizzato una serie completa e precisa di specifiche. Di conseguenza, il fornitore di servizi non sapeva esattamente cosa proteggere e come. La colpa è quindi condivisa, con tutti i soggetti coinvolti che hanno fallito nel proprio ruolo in questo fiasco informatico.

Una lezione sull’obbligo di fornire consulenza, ignorato da alcuni fornitori di servizi.

Sarebbe ingenuo credere che una semplice configurazione tecnica sia sufficiente. La giurisprudenza recente è chiara: un fornitore di servizi IT deve assolutamente informare il proprio cliente. Ignorare le norme stabilite dall’ANSSI o da altre autorità comporta ora un rischio legale significativo.

Non si tratta più di “il cliente ha scelto, ora tocca a lui”. Un vero professionista prende precauzioni e garantisce la massima sicurezza possibile. Ignorare questo principio è come consegnare una casa senza serratura, un messaggio che la sentenza del 28 aprile 2026 ribadisce con forza ai fornitori di servizi che stanno giocando con il fuoco.

Un impatto tangibile sul mondo IT e sul tuo, all’interno della tua azienda

Questo caso è sintomatico di ciò che gli amministratori della vecchia scuola spesso riscontrano: repository di sistemi Windows Server configurati frettolosamente, senza backup affidabili o impostazioni di sicurezza. La minima vulnerabilità diventa un’occasione d’oro per gli hacker e, dietro a tutto ciò, si dipana un incubo burocratico e legale.

Installare un server con le impostazioni di fabbrica nel 2026 è una ricetta per il disastro. Non svolgere correttamente il proprio lavoro di consulente rappresenta un rischio enorme, davvero enorme. I professionisti IT che pensano ancora che “tutto andrà bene” farebbero bene a ripensare il loro approccio, perché la legge non perdona più.

Fonte: www.clubic.com