Il gruppo LVMH Moët Hennessy Louis Vuitton ha subito tre attacchi in meno di due mesi. Il 7 maggio, l’8 giugno e il 2 luglio del 2025 diverse aziende del conglomerato sono finite nelle mire dei criminal hacker.

Al di là dei fatti di cronaca, emergono degli aspetti interessanti che inducono a una conclusione lapidaria: l’unico modo di annichilire le conseguenze di un incidente è non avere incidenti. E questo vale anche per la supply chain.

Questi aspetti, che approfondiamo con il supporto del Ceo di CyberGuardX e formatore in sicurezza Domenico Campeglia, devono tenere conto del fatto che il mercato del luxury, ossia di beni status symbol, segue logiche un pochino diverse da quelle che animano solitamente i mercati.

Su tutte, i mercati del lusso non soddisfano bisogni primari dei clienti, i quali hanno una percezione diversa del valore dei prodotti e del brand e possono perdonare alcune mancanze alle imprese del comparto pure di rimanere nella nicchia elitaria degli aficionados.

Gli attacchi a Louis Vuitton in breve

Il 2 luglio i dati dei clienti britannici di Louis Vuitton UK sono stati violati. Il gruppo LVMH ha fatto sapere che nessun dato finanziario è stato compromesso.

L’8 giugno Louis Vuitton Korea ha subito una violazione del tutto simile e, il 7 maggio 2025, è stato il turno di Christian Dior Couture e Tiffany & Co. Korea, la cui violazione ha usato come vettore una piattaforma di terze parti, e questo rimanda all’importanza della supervisione della filiera, aspetto sul quale torneremo considerando ciò che impone la direttiva NIS2.

I vettori d’attacco utilizzati sono stati il phishing mirato per ottenere accesso ai sistemi, oltre a falle nei server (Louis Vuitton Korea) e vulnerabilità in piattaforme di terze parti.

La risposta del gruppo LVMH

In assenza (almeno mentre scriviamo) di un comunicato ufficiale e consultando diverse fonti web, è emerso che il gruppo ha informato le autorità e i clienti dell’accaduto, avviando inoltre una revisione delle strategie di cybersecurity passando attraverso audit e l’ingaggio di esperti per la gestione della crisi.

Un pool di professionisti della cybersecurity, di analisti forensi e di consulenti legali. In senso più ampio, qualcosa nelle procedure di incident response sembra non avere funzionato alla perfezione, ma saranno gli inquirenti a fare luce sull’accaduto e sull’adeguatezza delle reazioni del gruppo.

Di fatto, LVMH si è adeguato a quanto imposto dal GDPR e dalla NIS2 ma, in attesa dell’ufficialità dei risvolti, non può ritenersi al riparo da ammende e sanzioni.

Inoltre, le azioni intraprese non sono state sufficienti – né potrebbero esserlo – per evitare anche altri tipi di conseguenze.

Le conseguenze degli attacchi a Luois Vuitton

Sono di diverso ordine, a cominciare dalle azioni LVMH in borsa, le cui quotazioni altalenanti non sono dovute soltanto agli attacchi hacker e rispondono a logiche di diversa natura.

Tuttavia, in prossimità dei giorni in cui il gruppo ha comunicato le avvenute violazioni, le azioni hanno subito dei contraccolpi più o meno pesanti, come si può leggere nelle slide qui sotto che esaminano l’andamento borsistico nel dettaglio.

Le quotazioni del titolo hanno però un retrogusto limitato, si rende necessario osservare sul medio-lungo periodo l’impatto che queste violazioni potranno avere su fatturato e affezione dei clienti.

Oltre alle già citate sanzioni inflitte dai regolatori – il cui conto salato può esprimersi nell’ordine dei miliardi di euro – il prossimo bilancio consolidato sarà gravato dai costi di gestione delle crisi, cifre a più di sei zeri.

Le imprese che riducono la cybersecurity a una questione di budget o di competenze sbagliano, fosse solo perché le ammende e le conseguenze delle violazioni hanno costi ben superiori a qualsiasi sforzo finanziario fatto per aumentare resilienza e resistenza al cyber crimine.

La cosa più deleteria, tuttavia, è altrove: per fare impresa non bastano più la competitività sul mercato e neppure la capacità commerciale. La sopravvivenza di un’organizzazione è legata anche alla sua capacità di non lasciarne le sorti in mano al cyber crimine.

L’importanza della filiera

Nella logica di non lasciare che il destino di un’impresa sia deciso anche dai criminal hacker si inserisce anche la supply chain, un conglomerato di satelliti che ruotano attorno alle organizzazioni in modo vicendevole e secondo traiettorie variabili.

La direttiva NIS2 punta alla mutua supervisione, ogni impresa deve garantire che le entità con cui collabora rispondano alle norme e agli usi della cyber security, così come spiega Domenico Campeglia: “È difficile ignorare la coincidenza temporale: dal 7 maggio al 2 luglio di quest’anno il gruppo LVMH ha dovuto gestire tre violazioni di dati in rapida successione. La prima ha riguardato Christian Dior Couture, scoperta il 7 maggio ma originata da accessi non autorizzati del 26 gennaio; la seconda ha colpito Tiffany & Co. in giugno; la terza, quella di Louis Vuitton resa pubblica l’11 luglio, ha interessato i clienti di Regno Unito, Corea del Sud e Turchia ed è stata individuata il 2 luglio. Quest’ultima è stata subito definita dal gruppo ‘il terzo incidente in tre mesi’, a conferma di un pattern che ha fatto notizia ben oltre il mondo del lusso.

L’elemento che accomuna almeno uno di questi episodi, e che spiega perché oggi parliamo di supply chain security, è la presenza di un fornitore esterno come punto d’ingresso. Nel caso Dior, il gruppo di estorsione ShinyHunters ha violato un database gestito da un vendor di servizi CRM, sottraendo anagrafiche complete di passaporti e numeri di previdenza sociale. Per Louis Vuitton, l’autorità turca per la privacy segnala che gli aggressori hanno compromesso l’account di servizio di un provider terzo, raccogliendo i dati di oltre 140 mila clienti. È dunque la filiera, e non solo la sede centrale, a determinare il grado di esposizione di un brand globale”.

Le imprese non possono occuparsi solo dei propri sistemi di cyber security, le loro responsabilità si propagano lungo tutta la filiera: “Che la responsabilità non possa fermarsi ai cancelli dell’azienda è ormai principio di legge. La direttiva NIS2 dedica l’intero articolo 21 alla gestione del rischio cibernetico, specificando che le ‘entità essenziali e importanti”’ devono valutare e mitigare i rischi ’derivanti dalle relazioni con i propri fornitori e dai servizi di Information and Communication Technology di terze parti’. Non si tratta di una raccomandazione etica, ma di un obbligo giuridico del quale le autorità di vigilanza possono chiedere conto, prevedendo sanzioni fino a 10 milioni di euro o al 2 % del fatturato mondiale annuo”, spiega Domenico Campeglia.

Un cambio di passo rispetto al passato di cui le imprese devono tenere debito conto già sul piano della governance: “Il legislatore europeo ha inoltre introdotto un principio di accountability personale: l’articolo 20 di NIS2 stabilisce che il management deve approvare le misure di sicurezza, sorvegliarne l’implementazione ed è suscettibile di responsabilità in caso di inadempienza. In altre parole, il rischio supply chain non è più delegabile né relegabile all’IT: diventa materia di governance, con impatti su bilancio, reputazione e, come mostra LVMH, sul valore del brand”, continua l’esperto.

La filiera come propaggine

I fornitori lavorano per le aziende clienti ma, per quanto riguarda i flussi di dati e le infrastrutture, il rapporto si fa più paritario: “In pratica, ciò significa che ogni azienda deve prima di tutto conoscere la propria filiera: mappare fornitori, sub-fornitori e servizi digitali impiegati; classificare quelli critici in base al tipo di dati o di processi che toccano; valutare periodicamente i loro controlli di sicurezza. Il contratto rimane l’ancora giuridica, con clausole su standard minimi, audit da remoto o on-site, reporting di incidenti entro poche ore, ma non basta senza un monitoraggio continuo: vulnerability scanning su indirizzi IP dei vendor, rating di sicurezza di terze parti, condivisione di threat intelligence mirata. Strumenti che l’Agenzia dell’Unione ENISA elenca tra le ‘buone pratiche di supply chain cybersecurity’, insieme all’adozione di schemi di certificazione europei per prodotti e servizi ICT”, sottolinea Campeglia.

Coordinamento e trasparenza

“Un altro pilastro è la risposta congiunta agli incidenti” – spiega l’esperto – “la crisi di Louis Vuitton mostra quanto sia vitale coinvolgere il fornitore nelle fasi di contenimento e notifica: i tempi di comunicazione alla clientela, quasi tre settimane in Australia, sono stati criticati proprio perché dipendevano dalla ricostruzione forense sull’infrastruttura del terzo. Coordinare playbook, contatti d’emergenza e protocolli di backup prima che scatti l’allarme riduce la finestra di danno e rafforza la difendibilità dell’azienda davanti alle autorità”.

Le idee stesse di riserbo e di segreti aziendali, quelle ricette interne che fanno parte del valore aggiunto, devono in qualche modo essere riviste: “ Se la supply chain è l’ombra lunga dell’impresa, la trasparenza diventa l’unico antidoto. Le grandi maison, orgogliose custodi dei propri atelier, hanno spesso esteso lo stesso riserbo alle tecnologie che li supportano. Oggi la segretezza non è più sinonimo di sicurezza: certificazioni, audit indipendenti, rendicontazioni ESG che includano indici di cyber-resilienza sono la nuova grammatica del lusso responsabile.

Il caso LVMH dimostra quanto costi affidarsi a relazioni di fornitura opache. La fiducia commerciale, nella stagione di NIS2, deve poggiare su prove documentabili di robustezza digitale. Chi acquista beni da cinque cifre si aspetta che il sigillo di una griffe valga anche come garanzia sulla tutela dei propri dati. È un patto che attraversa l’intera catena del valore: dalla boutique al datacenter di un outsourcer sconosciuto. Se una maglia cede, l’intero tessuto si strappa”, conclude l’esperto.