L’ombra di Pechino appare dietro la violazione del Viminale, con i dati relativi a 5.000 agenti della Digos compromessi. Ma lo spionaggio sui dissidenti è la punta dell’iceberg.
Indice degli argomenti
Attacco cyber al Viminale: cosa emerge sulla pista cinese
Il principale sospettato di questo attacco informatico è il governo cinese, secondo le informazioni trapelate sui media nazionali si tratterebbe di una operazione di intelligence volta a mappare i dissidenti cinesi rifugiati in Italia. Gli attaccanti, oltre all’identificazione degli agenti della DIGOS, parrebbero aver agito per collezionare informazioni su cittadini cinesi sotto protezione da parte delle nostre autorità.
Il nome Ink Dragon nelle ricostruzioni dei media
Un articolo pubblicato dal quotidiano la Repubblica addirittura indica il gruppo cinese Ink Dragon come responsabile della violazione.
Ink Dragon è un gruppo APT cinese attivo almeno dal 2019. È specializzato in campagne di cyber-spionaggio contro enti governativi, infrastrutture critiche e aziende tecnologiche, soprattutto in Asia ed Europa. Le tecniche di attacco utilizzate in passato spaziano da campagne di phishing mirato (spear-phishing) a codici malevoli sviluppati ad hoc. In diverse occasioni il gruppo ha dimostrato anche capacità di sfruttamento di vulnerabilità zero-day (ovvero non note al tempo dell’attacco) per ottenere accesso persistente alle infrastrutture prese di mira.
Obiettivi dell’operazione: dissidenti, protezione e mappature
Va detto tuttavia che l’attribuzione di un attacco è tutt’altro che semplice, ed in assenza di inconfutabili evidenze tecniche è praticamente impossibili identificare un gruppo nation-state come responsabile certo dell’intrusione. Inoltre, nel caso dell’apparato cyber del governo di Pechino, il livello di sovrapposizione tra i vari gruppi APT è notevole così come la condivisione di codici malevoli e tecniche, tattiche e procedure.
L’attribuzione dell’operazione parrebbe confutata per ora sulla motivazione dell’attaccante, ovvero ricostruire la geografia della rete di protezione italiana a esuli e attivisti cinesi, mappando contatti, testimoni, programmi di protezione.
Violazione del Viminale: perché l’attribuzione è complessa
Diversi gruppi APT cinesi hanno colpito governi europei in passato, tra cui Zirconium (APT31), Stone Panda (APT10), Leviathan (APT40), Winnti/Barium (APT41) e Ke3chang (APT15), con campagne di cyber-spionaggio contro ministeri, parlamenti e infrastrutture critiche. Anche l’Italia è stata nel mirino, specie nei settori difesa, telecomunicazioni ed energia.
Ritornando al caso di cronaca, ci si interroga su come sia potuto accadere? In realtà, quando un attacco è riconducibile ad un attore nation-state molteplici possono essere stati i vettori di attacco che hanno potuto portare ad una compromissione tanto grave. La domanda corretta a mio giudizio è quanto è ampia la compromissione dei sistemi del Viminale e soprattutto da quanto tempo le spie erano all’interno delle reti del nostro governo? Sono stati compromessi solo i dati relativi alle operazioni della Digos inerenti cittadini cinesi?
Qualora sia veritiero il coinvolgimento del gruppo Ink Dragon, o di qualunque altro gruppo APT cinese, avremmo almeno contezza del fatto che le nostre istituzioni abbiano identificato e mitigato il vettore di attacco sfruttato.
Contesto italiano: diplomazia, economia e attività di intelligence
Qualche testata giornalistica ravvede un aspetto preoccupante nel timing dell’attacco. La campagna si sovrappone a negoziati diplomatici tra Roma, Prato e Pechino (novembre 2025), con la presenza dell’assistente del Ministro della Pubblica Sicurezza cinese Zhongyi Liu. Nello stesso periodo sono state registrate numerose denunce a Prato da parte di lavoratori cinesi che hanno segnalato sfruttamento e violenze, rompendo il muro di silenzio della comunità cinese attiva nel nostro paese. Si segnala anche la presenza di funzionari cinesi proprio in Toscana, ma in realtà alla nostra intelligence è nota da tempo l’intensa attività commerciale, economica e di intelligence cinese nel nostro paese.
I nostri 007 monitorano reti finanziarie cinesi capaci di intrecciarsi con il tessuto produttivo nazionale attraverso investimenti mirati, acquisizioni e relazioni con facilitatori locali. Accanto a operazioni lecite, emergono circuiti opachi e trasferimenti di capitali difficili da tracciare, che possono generare dipendenze economiche e potenziali leve di influenza strategica sul sistema industriale italiano.
Viminale violato: superficie d’attacco e rischi operativi
È chiaro quindi che il Viminale rappresenta un obiettivo privilegiato per le campagne di intelligence di attori che operano per governi stranieri.
La complessità dei sistemi e delle applicazioni gestite dal Viminale è notevole in termini di dimensione e soluzioni tecnologiche adottate, ciascuna delle quali potenzialmente violabile per la scoperta di una falla zero-day. Inoltre, la presenza di numerosi fornitori di terze parti per quanto concerne i servizi IT e di sicurezza cibernetica ampliano in maniera drammatica la superficie di attacco e rendono complesse le attività di monitoraggio.
Implicazioni per agenti, protezione e controspionaggio
In sintesi, il furto di dati relativi a 5.000 agenti della Digos offre all’intelligence cinese un punto di vista privilegiato sulle operazioni dei nostri apparati di sicurezza. Nomi, incarichi e ambiti investigativi consentono a Pechino di individuare chi indaga su dossier sensibili, dalle reti criminali a Prato ai casi legati alla diaspora, e di esercitare pressioni indirette su dissidenti tramite familiari in Cina e di anticipare mosse di controspionaggio italiano.
I rischi sono concreti: esposizione fisica degli agenti, compromissione di programmi di protezione e richieste di asilo, monitoraggio dei flussi migratori irregolari, fino alla conoscenza preventiva dei piani per eventi ad alta sensibilità come visite ufficiali.
Nel dialogo con la Cina, così come con altri stati, dobbiamo sempre rammentare che pur essendo l’Italia un alleato o partner economico, è pur sempre un avversario informativo e pertanto oggetto di intensa attività di intelligence.
Precedenti e settori nel mirino delle campagne cinesi
Negli ultimi anni, diverse campagne di matrice cinese hanno interessato direttamente o indirettamente il nostro Paese. Durante l’ondata globale di sfruttamento delle vulnerabilità di Microsoft Exchange nel 2021, attribuita a gruppi collegati all’ecosistema APT cinese come, anche organizzazioni italiane – tra cui enti locali e aziende partecipate risultarono esposte con l’installazione di web shell e attività di esfiltrazione dati.
Analogamente, report internazionali hanno evidenziato attività di APT10 (Stone Panda) contro fornitori di servizi IT europei, con possibili ricadute su clienti istituzionali italiani nell’ambito di operazioni di supply chain compromise. I settori aerospaziale ed energetico italiani, così come università e centri di ricerca su tecnologie dual-use, 5G e IA, sono stati più volte nel mirino di campagne di spionaggio attribuite a gruppi come APT31 e APT41. In questo quadro, il caso Viminale si inserisce in una strategia più ampia di raccolta informativa e influenza, dove cyber, diplomazia ed economia si intrecciano in una competizione strategica.
