Nei giorni scorsi, le fondamenta dell’infrastruttura digitale italiana sono state scosse da uno degli eventi di spionaggio cibernetico più critici dell’ultimo decennio. Sistemi Informativi, società controllata da IBM e uno dei pilastri per la gestione dell’infrastruttura IT della Pubblica Amministrazione, ha subìto una profonda e complessa intrusione informatica.
Dietro l’operazione, secondo le prime fonti, potrebbe esserci il Gruppo di bad actor cinese chiamato Salt Typhoon (noto anche come Earth Estries o GhostEmperor), specializzato in attacchi APT ed operante “per conto” del Ministero della Sicurezza dello Stato cinese. La società ha smentito si tratti di Salt Typhoon ma ha confermato la finalità di cyberspionaggio.
Secondo altri esperti, nelle stesse ore, si è persino ipotizzata una sovrapposizione con le tracce lasciate da un altro gruppo cinese, APT41, a causa di similitudini con un precedente attacco al Viminale.
Indice degli argomenti
Attacco cinese a Sistemi Informativi, società IBM: le ipotesi e la supply chain
Le analisi sono tuttora in corso e l’attribuzione di un attacco non è solo tecnica, ma le considerazioni che faremo in questa sede sul fenomeno (e sugli effetti), ad avviso di chi scrive, restano neutre e comunque valide.
In questo tipo di attacchi, invece di accedere alle singole entità o utilizzare ransomware per chiedere riscatti, gli aggressori preferiscono orchestrare un chirurgico attacco alla catena di approvvigionamento (supply chain): sfruttando vulnerabilità zero-day su apparati di rete, trasformano il fornitore tecnologico di fiducia in un involontario cavallo di Troia per raggiungere i clienti finali.
Secondo alcuni esperti nella community, gli attaccanti si sarebbero mossi in modo del tutto silenzioso all’interno dei server di Sistemi Informativi, eludendo i sistemi di rilevamento per circa 2 settimane. Da questa posizione privilegiata, gli attaccanti avrebbero avuto il potenziale accesso a numerose Pubbliche amministrazioni italiane.
Se tutto questo sarà confermato, potremmo dire che non si è trattato di un banale incidente tecnico, ma di una vasta operazione di spionaggio politico-sociale mirata a mappare le dinamiche istituzionali e le vulnerabilità della nazione dall’interno. L’incidente, in ogni caso, sta dimostrando (se ve ne fosse bisogno) come la dipendenza digitale da un grande fornitore privato possa trasformarlo in un drammatico Single Point of Failure, sollevando un allarme da non sottovalutare sulla reale tenuta del sistema.
La risposta di IBM
IBM riporta che l’incidente è rimasto confinato all’ambiente di Sistemi Informativi e di non ritenere “che questa attività sia attribuibile a Salt Typhoon. Coerentemente con le migliori pratiche del settore, non attribuiamo l’attività a un gruppo specifico, riconoscendo che l’attribuzione formale richiede standard probatori e fonti di intelligence che vanno oltre la sola analisi forense tecnica”. “Tuttavia, a seguito di consultazioni con esperti e partner di cybersecurity interni ed esterni, valutiamo che l’attività osservata sia coerente con comportamenti sofisticati di spionaggio informatico.”
“Non è stato coinvolto alcun ransomware e non vi è stata estorsione, cifratura o blocco dei sistemi associati a questo incidente”.
No compromissione dati e sistemi pubblici
“È importante sottolineare che l’indagine non ha identificato alcuna compromissione di dati o sistemi dei clienti del settore pubblico. Tutti i clienti di Sistemi Informativi sono stati informati delle misure di contenimento e sono stati tenuti aggiornati sui risultati dell’indagine, inclusa la conclusione che nessun cliente del settore pubblico è stato compromesso”.
“I sistemi di Sistemi Informativi sono stati stabilizzati, i servizi interessati sono stati ripristinati e continuiamo a monitorare il nostro ambiente mentre completiamo l’indagine, rafforziamo ulteriormente le misure di protezione e supportiamo i clienti interessati”.
La reazione del ministro Zangrillo e di ACN
Paolo Zangrillo (ministro per la PA) ha rassicurato: “tutti gli attori istituzionali competenti stanno portando avanti le procedure previste dalla normativa per definire i contorni degli attacchi ai vari sistemi interessati. L’obiettivo è quello di tutelare i dati e garantire i servizi“.
L’Agenzia cyber ACN pure è al lavoro: “ha avviato ogni azione necessaria con tempestività, mettendosi al lavoro per definire l’origine e l’eventuale impatto dell’attacco“, ha aggiunto Zangrillo.
Attacco cinese a IBM: la continuità del rischio digitale
Comunque vada a finire, questo attacco ci fornisce uno spunto di riflessione, che credo sia opportuno condividere e rimarcare.
Questo non è il primo (e non sarà certamente l’ultimo) caso di cyberspionaggio state sponsored. Dagli incidenti bisogna imparare e non va dimenticata “la storia”. Per questo motivo, quindi, vi propongo l’analisi della parabola delle offensive attribuite ad attori legati alla Repubblica Popolare Cinese, dalla metà degli anni 2010 fino alle soglie del 2026, per tracciare una linea di continuità strategica che muove dal furto massivo di proprietà intellettuale verso una più inquietante fase di pre-posizionamento tattico.
Il concetto di Advanced Persistent Threat (APT) si è trasformato da una mera categoria tecnica in una vera e propria dottrina di proiezione del potere statale nel dominio digitale. Mentre gruppi storici come APT10 si focalizzavano sulla sottrazione di segreti commerciali e tecnologici per accelerare lo sviluppo industriale cinese, l’emergere di attori più sofisticati come Salt Typhoon segna un salto di qualità verso la ricerca di un “kill switch” virtuale sulle infrastrutture critiche occidentali. La persistenza non è più finalizzata esclusivamente all’esfiltrazione silenziosa di dati, ma alla creazione di una presenza latente e inamovibile, capace di paralizzare i servizi essenziali di una nazione nel caso di una escalation geopolitica o di un conflitto cinetico.
In questo scenario, la vulnerabilità dei Managed Service Provider (MSP), emersa drammaticamente nel 2018, non rappresenta un retaggio del passato ma il fondamento logico su cui poggiano le moderne infiltrazioni nei nodi di transito dei dati e nei fornitori cloud, rendendo la catena di approvvigionamento tecnologica il fronte più sensibile della sovranità nazionale.
Cloud Hopper e l’attacco cinese agli MSP
L’operazione nota come Cloud Hopper rappresenta il momento di rottura in cui l’intelligence occidentale ha compreso la fragilità intrinseca del modello di esternalizzazione IT. Il gruppo APT10, identificato anche come Stone Panda, ha orchestrato una campagna globale colpendo direttamente gli MSP per ottenere un accesso di tipo “one-to-many” alle reti dei clienti finali.
Attaccando un singolo fornitore di servizi gestiti, gli agenti cinesi sono riusciti a penetrare simultaneamente nei sistemi di decine di aziende governative e industriali operanti in settori vitali per la sicurezza nazionale, inclusa la Defense Industrial Base (DIB). Le indagini del Dipartimento di Giustizia degli Stati Uniti hanno rivelato come Zhu Hua e Zhang Shilong, operando per la società Huaying Haitai di Tianjin sotto l’egida del Ministero della Sicurezza di Stato (MSS), abbiano sfruttato tecniche di spear-phishing per raccogliere credenziali amministrative. Una volta ottenute le chiavi d’accesso privilegiate, l’uso di strumenti legittimi come PowerShell e tecniche di lateral movement ha reso inefficaci le difese perimetrali delle vittime, poiché l’attaccante agiva con le sembianze di un amministratore autorizzato.
IBM e gli altri fornitori colpiti
Nel 2018, tra le principali aziende tecnologiche colpite figuravano IBM e Hewlett Packard Enterprise (HPE). Oltre a questi due colossi, la campagna ha violato le reti di molte altre importanti società internazionali, tra cui Fujitsu, Tata Consultancy Services, NTT Data, Dimension Data, Computer Science Corp., DXE Technology, Ericsson ed altre ancora.
Sfruttando l’infrastruttura condivisa di fornitori come HPE, il Gruppo APT era riuscito inoltre a infiltrarsi nei sistemi dei clienti finali, colpendo anche agenzie governative critiche. Ad esempio, erano riusciti a rubare i dati sensibili di oltre 100.000 membri del personale della Marina degli Stati Uniti (US Navy).
Cloud Hopper ha segnato, ad avviso di chi scrive, il fallimento sistemico della “due diligence”: l’aumento della complessità delle infrastrutture ibride ha creato zone d’ombra dove la responsabilità della sicurezza è rimasta indefinita, permettendo all’avversario di trasformare i partner tecnologici in involontari cavalli di Troia. Il furto di centinaia di gigabyte di dati sensibili relativi all’aviazione, spazio, tecnologia satellitare e farmaceutica ha dimostrato che la compromissione della supply chain non è solo un rischio tecnico, ma un’erosione diretta del vantaggio competitivo e della capacità di difesa di un intero blocco geopolitico.
Salt Typhoon e l’attacco cinese alle infrastrutture sovrane
L’evoluzione della minaccia ha trovato la sua massima espressione nell’attività di Salt Typhoon, attore la cui sofisticazione supera di gran lunga i precedenti storici. Conosciuto anche come GhostEmperor o FamousSparrow, questo gruppo ha dimostrato una capacità di infiltrazione nelle dorsali di comunicazione globale che mette a nudo la fragilità dei sistemi di sorveglianza statale.
Le tecniche (note) utilizzate prevedono l’abuso di risorse native del sistema per eludere il rilevamento, combinando l’uso del rootkit Demodex e della backdoor GhostSpider per mantenere una persistenza profonda a livello di kernel Windows. Per ottenere l’accesso iniziale, Salt Typhoon ha sistematicamente sfruttato vulnerabilità note ma non patchate in endpoint pubblici come Ivanti Connect Secure VPN, Fortinet FortiClient EMS e Microsoft Exchange.
Lawful intercept e telecomunicazioni
Particolarmente devastante è stata la compromissione dei sistemi di “lawful intercept” (CALEA) negli Stati Uniti. Questi sistemi, progettati per consentire intercettazioni legali, sono diventati il punto di ingresso ideale per lo spionaggio nemico, permettendo di monitorare metadati, registrare chiamate di alti funzionari e identificare i target delle indagini federali.
La capacità di Salt Typhoon di operare all’interno dei nodi di scambio delle telecomunicazioni e di sfruttare le interconnessioni tra fornitori cloud rappresenta una minaccia esistenziale per la riservatezza delle comunicazioni sovrane.
Attacco a Sistemi Informativi-IBM e sovranità tecnologica
La sovranità tecnologica come imperativo di sicurezza nazionale
La dipendenza da fornitori ad alto rischio non è più solo una questione di efficienza economica, ma un tema di sicurezza nazionale centrato sul rischio di sabotaggio remoto. I dati del leak “ChinaBob” del 2025 hanno confermato l’esistenza di un vasto ecosistema di “hack-for-hire”, dove società come Sichuan Juxinhe, Beijing Huanyu Tiangiong e Sichuan Zhixin Ruijie operano come front office per il Ministero della Sicurezza di Stato, vendendo servizi di penetrazione persino a imprese statali legate al complesso militare-industriale cinese. Questo prova che la distinzione tra attività commerciale e spionaggio di stato è, nell’ordinamento cinese, inesistente.
In parallelo, il mercato tecnologico affronta una crisi strutturale: il rincaro esponenziale delle materie prime come il silicio ha portato ad aumenti vertiginosi dei costi dei componenti, con le memorie RAM DDR5 che hanno visto rincari superiori al 60% tra il 2025 e il 2026. Tale scenario economico forza molte amministrazioni pubbliche a prolungare la vita di hardware obsoleto, accumulando un “debito di sicurezza” che gli APT sfruttano con estrema efficacia. Il confronto tra la dominanza di mercato dei giganti cloud statunitensi e la minaccia cinese evidenzia una divergenza fondamentale: se con i partner americani il rischio è legato alla concentrazione di mercato, con i fornitori cinesi la minaccia è il sabotaggio di stato imposto dalla legge sulla National Intelligence, che obbliga ogni cittadino e impresa alla collaborazione con i servizi segreti.
Scegliere tecnologie a basso costo oggi significa accettare una vulnerabilità sistemica domani, poiché la scarsità di semiconduttori e la frammentazione dello spazio digitale in blocchi contrapposti rendono l’autonomia tecnologica l’unica difesa contro il rischio di un kill switch orchestrato da potenze autocratiche.
Cyber attacchi nazione: tre lezioni da apprendere
Il filo conduttore che unisce l’operazione Cloud Hopper del 2018 all’attacco a Sistemi Informativi del 2026 rivela una verità scomoda: l’errore fondamentale dei difensori non è di natura tecnica, ma di postura strategica. Nonostante i ripetuti segnali di allarme lanciati dalle agenzie di intelligence e le evidenze di intrusioni persistenti che durano centinaia di giorni prima della scoperta, si continua a privilegiare l’ottimizzazione dei costi immediati rispetto alla resilienza sistemica di lungo periodo.
Le lezioni apprese indicano tre pilastri fondamentali per navigare la “Guerra Invisibile” del prossimo decennio.
- In primo luogo, è necessario implementare una Zero Trust Architecture che superi la fiducia implicita nei partner della supply chain, verificando costantemente ogni identità e accesso, a prescindere dal legame contrattuale o dalla solidità apparente del fornitore primario.
- In secondo luogo, la resilienza deve diventare il parametro prioritario in ogni bando di gara pubblico, accettando costi superiori per garantire una sorta di “immunità” da interferenze politiche estere e per mitigare l’impatto del rincaro dei componenti critici.
- Infine, l’indipendenza tecnologica deve essere considerata un pilastro della democrazia: delegare la gestione dei dati sensibili e delle comunicazioni istituzionali a entità soggette a ordinamenti che considerano l’informazione un’arma significa cedere porzioni irrecuperabili di sovranità nazionale.
La vigilanza contro gli attacchi di tipo APT deve essere persistente quanto la minaccia stessa, perché in un ecosistema iperconnesso, la stabilità di un server non è mai un dato acquisito, ma una condizione da difendere quotidianamente contro un avversario che non smette mai di evolvere.
