TLDR
- TrojPix è una ricerca pubblicata nel 2026: modula pixel impercettibili per far emettere al cavo video un segnale radio ricevibile a distanza.
- Non entra in un computer isolato: presuppone malware già presente. Il punto è l'uscita dei dati, non l'infezione iniziale.
- The Hacker News riporta picchi di 8,1 Mbps e test fino a 208 metri, misurati separatamente e in condizioni di laboratorio.
- La difesa resta noiosa ma concreta: evitare il malware, ridurre rame dove serve, schermare ambienti critici e controllare dispositivi vicini.
Il computer isolato non è muto
Per anni abbiamo raccontato l'air gap come una fortezza: niente rete, niente Wi-Fi, niente Bluetooth, niente cavo Ethernet, quindi niente fuga.
È una buona semplificazione.
Ma è solo una semplificazione.
TrojPix, ricerca raccontata da The Hacker News a luglio 2026, rimette sul tavolo la vecchia idea delle emissioni compromettenti: se un computer lavora, consuma energia, pilota componenti, aggiorna pixel, fa passare corrente in un cavo. E dove passa corrente può nascere un segnale.
La parte affascinante è questa: i dati non escono come file, pacchetti IP o upload.
Escono come variazioni invisibili dei pixel che il cavo video trasforma in emissione radio.
Un monitor che sembra normale.
Un cavo che sembra un cavo.
Un ricevitore abbastanza vicino.
E un computer già infetto.
La trappola concettuale
TrojPix non è una magia per entrare in una macchina blindata.
Non buca l'air gap da fuori.
Non infetta un computer spento.
Non sostituisce il malware.
È più sottile: se il malware è già dentro, allora può usare il sottosistema video come canale di uscita.
Questa distinzione è fondamentale, perché evita sia il panico sia la superficialità. Il problema non è "tutti i cavi HDMI sono spie". Il problema è che in ambienti ad alto valore ogni componente fisico può diventare parte del threat model.
Hacker Journal torna spesso sui side channel perché sono lezioni perfette: ti obbligano a guardare oltre il software. Tastiere, webcam, radio, termocamere, cavi, alimentatori, LED, ventole. Tutto ciò che lascia una traccia può diventare segnale.

Perché TrojPix colpisce l'immaginazione
Secondo il resoconto di The Hacker News, i ricercatori parlano di picchi fino a 8,1 Mbps e test fino a 208 metri, misurati separatamente. Numeri da leggere con attenzione, perché laboratorio non significa ufficio reale, e ufficio reale non significa seminterrato schermato con pareti, rumore, cavi diversi e ricevitori improvvisati.
Però il salto mentale resta enorme.
Molti canali covert da air gap sono lenti, quasi simbolici: pochi bit al secondo, giusto per dimostrare che si può fare. TrojPix sposta l'immaginario verso una fuga più rapida, capace in teoria di spostare non solo password ma porzioni di file.
È qui che il racconto diventa utile anche fuori dai laboratori militari.
Non perché tu debba schermare casa.
Ma perché capisci che "non è connesso a Internet" non è una categoria assoluta.
È solo uno strato.
Il vecchio fantasma TEMPEST
TEMPEST non è una parola nuova. È la famiglia storica degli studi sulle emissioni elettromagnetiche che possono rivelare informazioni elaborate da dispositivi elettronici.
TrojPix è contemporaneo, ma il fantasma è vecchio.
Il principio è lo stesso: ciò che vedi come operazione digitale produce effetti analogici. Una linea video, un cavo di rete, un monitor, un alimentatore o una tastiera non sono concetti astratti. Sono oggetti fisici.
E gli oggetti fisici perdono qualcosa.
Un segnale.
Un rumore.
Un calore.
Una vibrazione.
Un pattern.
La sicurezza moderna è spesso ossessionata da API, token, cloud e agenti AI. Tutto giusto. Ma TrojPix ricorda che sotto l'API c'è ancora corrente.
Difendersi senza cosplay
Per la maggior parte delle organizzazioni, comprare cavi speciali e schermare stanze sarebbe teatro costoso.
Le priorità sane sono altre.
Prima: impedire il malware.
Se TrojPix ha bisogno di codice già in esecuzione sulla macchina, allora hardening, controllo USB, application allowlisting, EDR, patching, gestione account e supply chain contano più della pellicola di alluminio mentale.
Seconda: controllare cosa entra in un ambiente isolato.
Molti incidenti air-gapped storici sono partiti da supporti rimovibili, manutenzione, update manuali, laptop temporanei e procedure fatte di fretta. L'air gap non fallisce perché ha un buco invisibile. Fallisce perché qualcuno deve comunque spostare dati.
Terza: ridurre il rame dove ha senso.
In ambienti molto sensibili, passare a collegamenti ottici, usare cavi schermati, limitare periferiche e controllare fisicamente la distanza da ricevitori sospetti può avere senso. Ma è una misura da threat model serio, non da ufficio normale.
Quarta: ricordarsi del vicino.
Un canale radio ha bisogno di ricezione. Sale riunioni, laboratori, reparti R&D e ambienti con dati industriali dovrebbero ragionare anche su cosa può stare fisicamente vicino alle macchine critiche.
Esperimento mentale per il lettore
Guarda il tuo computer e chiediti:
- da dove possono entrare dati?
- da dove possono uscire dati?
- quali porte non usi mai?
- quali cavi consideri "innocui"?
- quali dispositivi hanno microfoni, radio, sensori o storage?
- quali aggiornamenti fai a mano?
- quali persone possono avvicinarsi fisicamente?
Questa lista vale più di mille paranoie.
TrojPix è estremo, ma la disciplina che suggerisce è quotidiana: non fidarti solo del confine logico, guarda anche il confine fisico.
La frase da ricordare
Un computer air-gapped non è fuori dal mondo.
È solo fuori dalla rete.
E se contiene dati importanti, tutto ciò che lo collega al mondo fisico va trattato come una possibile superficie: tastiere, monitor, cavi, USB, alimentazione, manutenzione e persone.
Il resto è laboratorio.
Bellissimo, inquietante, utile.
FAQ
TrojPix è un rischio per il PC di casa?
No, non in modo realistico. È un attacco di ricerca pensato per sistemi ad alto valore e già compromessi. Però è utilissimo per capire che isolamento fisico non significa assenza di canali laterali.
Serve un monitor acceso?
La ricerca descrive modalità che possono nascondere la trasmissione anche quando il display sembra spento o quando mostra contenuti normali. Il punto tecnico è la modulazione dei pixel, non quello che vede l'occhio.
Si può bloccare con un antivirus?
L'antivirus può aiutare solo nella parte iniziale: impedire o rilevare il malware che genera il segnale. Il canale elettromagnetico in sé non si patcha con un update.
Perché si parla di TEMPEST?
Perché TEMPEST è la famiglia storica di studi sulle emissioni compromettenti. TrojPix è moderno, ma la domanda è antica: un dispositivo che elabora dati può tradirli attraverso segnali fisici?
Cosa dovrebbe fare un'azienda normale?
Prima asset inventory, patching, EDR, controllo USB e separazione di rete. Fibra, schermature e policy TEMPEST hanno senso solo per ambienti con minacce e dati davvero speciali.