Il Dipartimento di Giustizia USA punta il dito contro l’ex responsabile di Trenchant, azienda legata a L3Harris, accusandolo di aver venduto exploit a un broker russo. La parte che fa rumore non è solo il furto in sé: gli exploit, secondo l’accusa, avrebbero potuto aprire la porta a “milioni di computer e dispositivi”.

Questa storia fotografa un problema enorme: il mercato dei zero-day non vive più in una nicchia, ormai somiglia a una filiera, con incentivi economici fortissimi e un rischio geopolitico evidente.

Cosa dice il DOJ sul caso Trenchant

Il DOJ collega il caso a furto di segreti commerciali e a una vendita mirata verso un broker che, pubblicamente, dichiara di rivendere capacità di intrusione anche a clienti governativi russi. Nei documenti citati, l’imputato avrebbe sottratto almeno otto componenti legati a exploit sensibili e protetti; poi li avrebbe monetizzati tramite pagamenti in criptovaluta.

Il punto chiave, per il governo, riguarda la scelta del compratore: i procuratori descrivono il broker come uno dei più pericolosi nel settore, e sottolineano che l’imputato avrebbe cercato chi pagava di più.

Trenchant : perché un broker di exploit è un problema diverso

Un exploit rubato non è un semplice file: è un grimaldello che funziona finché nessuno lo scopre; e quando finisce nelle mani sbagliate, può alimentare campagne su larga scala. Qui entra in gioco la frase più pesante: la potenziale capacità di accesso a milioni di device: è il salto di scala che trasforma un reato economico in un rischio di sicurezza nazionale.

In più, i broker non comprano per collezione: comprano per rivendere, spesso con regole opache e con clienti che non pubblicano certo un listino. Per questo l’ecosistema dei zero-day assomiglia sempre di più a un mercato di armamenti digitali: paghi, ottieni capacità, colpisci.

Il retroscena interno: capro espiatorio e danni collaterali

Dalle ricostruzioni emerge anche un elemento umano e tossico: secondo i procuratori, un altro dipendente avrebbe pagato il prezzo, finendo di fatto additato durante un’indagine interna mentre il responsabile reale restava in ombra. È un passaggio che mostra quanto sia fragile la governance, persino in aziende che lavorano con strumenti delicatissimi.

Cosa cambia per utenti e aziende

Per l’utente comune il messaggio resta pratico: nessun sistema è immune, né Android né iOS. La difesa vera arriva da più strati: aggiornamenti rapidi, app installate con criterio, attenzione ai link, backup e autenticazione forte: se un exploit gira, spesso colpisce prima chi resta indietro con patch e versioni.

Per le aziende, invece, la lezione è ancora più dura: non basta comprare sicurezza. Serve controllo interno, tracciamento degli accessi, audit continui; e serve anche ridurre l’asimmetria di potere tra pochi tecnici e asset critici, perché quando qualcuno porta fuori un exploit, non esce”solo un file: esce un vantaggio operativo che vale milioni.

Nel 2026 la guerra dei zero-day si combatte anche nei corridoi delle aziende; e quando un pezzo della filiera si rompe, il danno non resta confinato a un bilancio.