La mattina dell'11 marzo 2026, Stryker Corporation ha attivato un protocollo che nessuna multinazionale vorrebbe mai testare in diretta. Un attacco informatico ha causato un'interruzione globale nel suo ambiente tecnologico, lasciando migliaia di dipendenti senza accesso a strumenti interni, computer aziendali e applicazioni di comunicazione legate al suo ecosistema Microsoft. In Irlanda, 5.500 dipendenti sono stati colpiti; nel polo produttivo di Cork, quasi 4.000 lavoratori sono rimasti senza sistemi. L'incidente si è propagato negli Stati Uniti, in Australia, in India e in altre sedi.
Dopo poche ore, il linguaggio operativo è diventato letterale: non connettersi. Non entrare. Non aprire. Non tentare di "forzare" il ritorno alla normalità. In un'azienda che supera i 25 miliardi di dollari di fatturato globale (2025), questo tipo di istruzione non è un semplice dettaglio tecnico; è una pausa strategica con un costo immediato.
Il gruppo Handala, descritto da ricercatori come allineato a interessi pro-iraniani e con una storia di attacchi a obiettivi israeliani e infrastrutture regionali, ha rivendicato l'attacco, sostenendo di aver colpito 200.000 sistemi e di aver estratto 50 terabyte di dati. Stryker, d'altra parte, ha comunicato che non ci sono indicatori di ransomware né malware e che la disruzione è stata contenuta nel proprio ambiente interno Microsoft, affermando anche che prodotti come Mako, Vocera e LIFEPAK35 erano al sicuro e non colpiti.
Ciò che per molti apparirà come un episodio di "cybersecurity", per un C-Level significa qualcos'altro: una dura verifica di dipendenza, governance e coraggio organizzativo.
Il wiper non cerca denaro e questa intenzione cambia il quadro
La notizia segnala un meccanismo particolarmente distruttivo: malware di tipo wiper. A differenza del ransomware, il cui obiettivo è solitamente l'estorsione in cambio di chiavi di decrittazione, un wiper distrugge. Sovrascrive dati, elimina sistemi operativi e corrompe strutture critiche come il boot o le tabelle del file system. Il suo valore non risiede nell'acquisire reddito; sta nell'interrompere operazioni e degradare la fiducia.
Questa differenza altera la lettura esecutiva. Con il ransomware, il quadro è negoziazione, recupero, assicurazioni, regolazione e reputazione, con l'ombra di un pagamento che molte aziende evitano di riconoscere. Con il wiper, il quadro si sposta verso la continuità: ricostruzione degli endpoint, ripristino delle identità, restauro degli ambienti, verifica dell'integrità e controllo del “ritorno” mentre l'organizzazione cerca di continuare a produrre, servire i clienti e rispettare i requisiti normativi.
Quando un'azienda dichiara che "non ci sono indicatori di ransomware" e che il raggio d'azione è nel "ambiente Microsoft", non sta necessariamente minimizzando. Sta delimitando il perimetro comunicabile con le informazioni disponibili, sotto pressione e con l'assistenza forense esterna. Tuttavia, tale inquadramento ha delle conseguenze. Se il pubblico interpreta l'assenza di ransomware come assenza di danno, l'organizzazione si trova intrappolata in una narrazione fragile: nel giorno in cui si materializza una perdita di dati o un impatto operativo più ampio, la credibilità aziendale paga il prezzo.
