Secondo un’inchiesta pubblicata da [Le Monde](https://www.lemonde.fr/en/pixels/article/2026/07/17/the-troubling-russian-connections-of-a-european-password-manager_6755564_13.html), la società spagnola Passwork Europe S.L., che fornisce un gestore di password a enti pubblici, università e aziende di diversi paesi dell’Unione europea, mantiene legami tecnologici, operativi e di personale con la sua omologa russa Passwork LLC. Nonostante le dichiarazioni di indipendenza e la presentazione come sviluppatore europeo, i prodotti hanno una base di codice comune, documentazione identica e aggiornamenti sincronizzati, veicolati attraverso una società opaca con sede negli Emirati Arabi Uniti controllata da un cofondatore russo. La versione russa del software ha ottenuto la certificazione FSTEC, un organismo del ministero della Difesa di Mosca che analizza il codice sorgente alla ricerca di vulnerabilità e funzionalità non dichiarate, offrendo allo Stato russo una conoscenza approfondita dell’architettura. Ciò solleva preoccupazioni per la sicurezza delle reti pubbliche europee.
#### Certificazione FSTEC e base di codice condivisa
Passwork LLC, la società russa, ha superato la certificazione nel sistema FSTEC, che prevede un esame dettagliato del codice da parte di specialisti legati ai servizi di sicurezza. L’audit fornisce alla Russia una comprensione piena delle possibili falle e dei meccanismi interni. Poiché la versione europea condivide la stessa origine, eventuali vulnerabilità individuate – o potenzialmente inserite in fase di sviluppo – restano sfruttabili contro i clienti Ue. La sincronizzazione delle release, come la versione 7.6, conferma un processo di sviluppo unitario.
#### Aggiornamenti via Emirati e il modello SolarWinds
Le nuove versioni di Passwork Europe vengono distribuite attraverso una società con sede negli Emirati Arabi Uniti, gestita da uno dei fondatori russi. La natura non trasparente di questo canale, unita alla possibilità di modificare il codice in fase di aggiornamento, richiama lo schema dell’attacco SolarWinds del 2020, in cui un’infiltrazione nel sistema di distribuzione di un software legittimo compromise migliaia di reti pubbliche e private. Per gli enti governativi europei ciò rappresenta un rischio costante di compromissione delle credenziali di accesso a sistemi critici.
#### Clienti ignari e violazione della fiducia
La maggior parte dei clienti europei, comprese alcune amministrazioni pubbliche irlandesi e altri organismi, non sarebbe stata informata dell’origine russa del prodotto. Tale mancanza di trasparenza mina la fiducia indispensabile per un fornitore di software di sicurezza che custodisce chiavi di accesso a dati sensibili e potrebbe configurare una violazione delle norme di cybersicurezza europee.
#### Contesto di guerra cibernetica e rischi per la sovranità digitale
L’impiego di un gestore di password con radici russe da parte di soggetti che trattano informazioni confidenziali si inserisce in un quadro di sistematiche attività di spionaggio e sabotaggio informatico da parte di gruppi collegati al Cremlino contro infrastrutture critiche e istituzioni dell’Ue. La possibilità di esfiltrare metadati, chiavi di crittografia o di condurre attacchi mirati sulle reti pubbliche costituisce una minaccia diretta alla sovranità digitale europea.
#### Conseguenze per le organizzazioni coinvolte
Le realtà che hanno scelto Passwork Europe confidando nella sua natura europea si trovano ora di fronte alla necessità di audit straordinari, alla ricerca di soluzioni alternative e a possibili danni reputazionali e finanziari, con il rischio di dover giustificare l’affidamento a un software potenzialmente esposto a influenze esterne.
La vicenda ripropone con forza il tema della trasparenza e della verifica delle catene di fornitura nel settore dei software critici per le istituzioni europee.