Un cyber attacco forse di matrice cinese ha colpito Sistemi Informativi, la società di IBM Italia che gestisce parte dell’infrastruttura tecnologica di enti pubblici, amministrazioni e grandi gruppi italiani nei settori dell’energia, delle telecomunicazioni e della finanza.
L’ha riportato Repubblica il 3 maggio e IBM ha confermato l’incidente, dichiarando di aver “identificato e contenuto un episodio di sicurezza informatica”, di monitorare costantemente i propri ambienti digitali e di aver già attivato tutti i protocolli di risposta.
La società non ha fornito dettagli sull’attribuzione dell’attacco, escludendo però l’attribuzione a Salt Typhoon (che erano stati indicati in un primo momento da Repubblica). Ha confermato però che si tratta di una finalità di cyberspionaggio e che “l’incidente è rimasto confinato all’ambiente di Sistemi Informativi“.
Il sito web di Sistemi Informativi è rimasto irraggiungibile per ore, mentre gli esperti interni ed esterni sono stati mobilitati per valutare le conseguenze dell’attacco, dove “nessun cliente del settore pubblico è stato compromesso“.
Un team dell’Acn (Agenzia per la cybersicurezza nazionale) sta verificando l’accaduto, oltre a bonificare e a ripristinare la funzionalità dei sistemi. Ecco cosa sappiamo.
L’Antiterrorismo di Roma ha aperto un’indagine il 5 maggio.
Indice degli argomenti
L’attacco a Sistemi Informativi e la vulnerabilità della PA
Al momento non sono stati resi noti dettagli tecnici dell’attacco. Il gruppo cinese Salt Typhon era stato accusato di aver sfruttato falle zero-day o utilizzato malware sviluppati ad hoc per attaccare l’azienda.
Ibm ha riportato: “Coerentemente con le migliori pratiche del settore, non attribuiamo l’attività a un gruppo specifico, riconoscendo che l’attribuzione formale richiede standard probatori e fonti di intelligence che vanno oltre la sola analisi forense tecnica. “Tuttavia, a seguito di consultazioni con esperti e partner di cyber security interni ed esterni, valutiamo che l’attività osservata sia coerente con comportamenti sofisticati di spionaggio informatico“. Comunque “l’incidente è rimasto confinato all’ambiente di Sistemi Informativi“.
L’attacco evidenzia però, ancora una volta. la crucialità della sicurezza delle catene di fornitura, soprattutto in settori come quelli in cui operano infrastrutture critiche.
Attacco all’Italia: un disegno coerente di spionaggio industriale
L’incidente di Sistemi Informativi si inserisce in un contesto più ampio: la pressione costante esercitata da attori statali cinesi contro infrastrutture e asset tecnologici europei.
La complessità della minaccia suggerisce un’operazione pianificata, finalizzata non solo al furto di informazioni, ma anche alla mappatura delle catene di fornitura digitali, in particolare quelle legate alla gestione dei dati pubblici e alla logistica nazionale.
Negli ultimi anni l’Europa è diventata un teatro centrale del cyberconfronto globale. Gli APT filo-cinesi non mirano più solo a infrastrutture militari o scientifiche, ma sempre più a sistemi “ibridi pubblico-privati”, dove la cooperazione con lo Stato rende le informazioni strategiche: accessi alla PA digitale, flussi telematici di enti previdenziali come INPS e INAIL, sistemi energetici e infrastrutture critiche.
Ma “l’indagine non ha identificato alcuna compromissione di dati o sistemi dei clienti del settore pubblico“, precisa IBM.
Chi ha sferrato l’attacco a Sistemi Informativi
Dietro l’attacco potrebbe non esserci il gruppo di cinese Salt Typhoon, collegato da analisi di diverse fonti ad operazioni di spionaggio strategico condotte per conto di apparati governativi di Pechino.
Salt Typhoon rappresenta però uno dei gruppi APT (Advanced Persistent Threat) più sofisticati dell’apparato militare cibernetico della Repubblica Popolare Cinese. Le sue campagne si distinguono per un’elevata capacità tecnica, impiego di malware personalizzati e un orientamento strategico su obiettivi di tipo infrastrutturale e governativo.
Tra il 2025 e l’inizio del 2026 il gruppo ha compromesso reti di telecomunicazioni europee attraverso lo sfruttamento di vulnerabilità Citrix, strumenti comunemente usati per l’accesso remoto aziendale. In altri attacchi documentati, Salt Typhoon ha colpito:
- un’importante azienda satellitare statunitense (Viasat), esfiltrando dati tecnici sensibili;
- società canadesi delle telecomunicazioni, con finalità di sorveglianza delle infrastrutture critiche;
- reti dell’U.S. Army National Guard, segno di interesse anche verso obiettivi militari;
- enti governativi olandesi e infrastrutture legate alla distribuzione dell’energia.
L’APT ha nel suo arsenale piattaforma modulari di malware, come JumbledPath, in grado di condurre attività di spionaggio anche in ambienti isolati e di eludere i principali strumenti di rilevazione antivirus. Le catene d’attacco prevedono spesso lo sfruttamento di dispositivi di rete vulnerabili, come router Cisco o sistemi Citrix.
Xu Zewei e la filiera MSS
Il cyberspionaggio di matrice cinese è comune in Occidente. Anche in Italia.
Il 3 luglio 2025, all’aeroporto di Malpensa, la Polizia di Stato arrestò Xu Zewei, un ingegnere cinese di 33 anni accusato dall’FBI di operare come contractor del Ministero per la Sicurezza dello Stato (MSS) cinese. Xu avrebbe partecipato alla campagna Hafnium (2020–2021), che sfruttò vulnerabilità di Microsoft Exchange Server per compromettere oltre 12.700 organizzazioni, incluse università impegnate nella ricerca sui vaccini anti-Covid.
Xu è stato estradato negli Stati Uniti nell’aprile 2026, primo caso di consegna da parte di uno Stato europeo di un contractor MSS a un tribunale americano.
Secondo l’indictment, la sua società Powerock Network agiva come Enabling Company, cioè una copertura aziendale per operazioni dirette dal Shanghai State Security Bureau. L’episodio ha mostrato come la rete di cyber spionaggio di Pechino si regga su un modello di privatizzazione controllata, dove ex militari o tecnici civili operano per conto del governo con un elevato grado di negabilità e scalabilità.
L’uso del cyberspionaggio come leva di influenza geopolitica e industriale vede come obiettivi frequenti la raccolta di know-how tecnologico, la sorveglianza sulle infrastrutture comunicative e la ricerca di punti di pressione su organismi statali o aziende di difesa.
La simbiosi pubblico-privato del cyberspionaggio cinese, evidenziata dal modello MSS–contractor, garantisce a Pechino due vantaggi fondamentali:
- Negabilità plausibile, utile per deviare le responsabilità diplomatiche;
- Scalabilità e specializzazione, con team che operano in parallelo su fronti differenti (telecomunicazioni, biotecnologie, software di gestione).
Sicurezza europea
La Cina ha negato ogni legame diretto con Xu e con i gruppi APT indicati nei report internazionali, parlando di accuse “fabbricate” e di mosse politiche contro la sua sovranità tecnologica.
La coincidenza temporale tra l’arresto di Xu e le recenti operazioni di Salt Typhoon in Europa rafforzano ipotesi di un ecosistema di hacking coordinato, diversificato e con obiettivi sia economici che strategici.
Cosa è successo a Sistemi Informativi
Per l’Italia, il bersaglio, una società che sostiene il funzionamento digitale della Pubblica Amministrazione, rappresenta uno dei livelli più sensibili dell’infrastruttura nazionale.
Una compromissione stabile dei suoi sistemi avrebbe potuto esporre dati di cittadini, credenziali, contratti pubblici e procedure interne di enti cardine come INPS e INAIL.
Si esclude il coinvolgimento di alcun ransomware e l’estorsione, cifratura o blocco dei sistemi associati a questo incidente.
“È importante sottolineare che l’indagine non ha identificato alcuna compromissione di dati o sistemi dei clienti del settore pubblico”, mette in evidenza IBM.
Sovranità digitale italiana dopo l’attacco a Sistemi Informativi
L’attacco a Sistemi Informativi non è un episodio isolato, ma un segnale della vulnerabilità delle infrastrutture digitali strategiche italiane nel nuovo scenario di cyberconflitto globale.
Al di là di quanto accaduto, la crescente pressione da parte di attori statali, in primis cinesi, rende necessario un rafforzamento delle capacità difensive nazionali, dall’intelligence digitale alla protezione delle filiere di fornitura ICT.
Il futuro della sicurezza cibernetica italiana passerà dalla cooperazione tra pubblico e privato, dalla tempestiva condivisione di intelligence e dalla consapevolezza che ogni attacco informatico non mira solo al furto di dati, ma alla stabilità stessa delle istituzioni e dell’economia nazionale.
L’Europa e in particolare l’Italia stanno pagando una sottovalutazione storica della minaccia cibernetica come elemento di politica estera e di sicurezza nazionale. La struttura attuale di difesa digitale, pur in sensibile miglioramento, resta frammentata e sbilanciata sul piano reattivo più che su quello preventivo. La mancanza di una catena di intelligence cibernetica integrata tra pubblico, aziende strategiche e settore della ricerca rende più difficile anticipare campagne che colpiscono le maglie deboli della filiera IT nazionale.
Per i cittadini, il rischio non è solo tecnico ma sociale. La manipolazione dei dati, l’interruzione dei servizi o la perdita di informazioni personali può tradursi in danni reali all’economia e alla privacy, ma anche in un’erosione progressiva della fiducia nelle istituzioni e nei processi digitali dello Stato.
È un fronte silenzioso, ma di enorme rilevanza strategica. La sovranità digitale italiana, in un’epoca in cui la connettività è sinonimo di potere, dipende dalla capacità di prevenire e contrastare le incursioni di questi attori statali.
Il caso Sistemi Informativi dimostra che serve una strategia nazionale che unisca innovazione tecnologica, intelligence e diplomazia.
L’Italia oggi rischia di diventare un terreno vulnerabile nella nuova cyberguerra globale, dove le armi sono exploit, malware e attacchi guidati dall’intelligenza artificiale. Invece gli obiettivi sono i dati, le reti e le infrastrutture industriali che sostengono il Paese.
L’eco dell’incidente conferma che la nuova geopolitica si gioca, sempre di più, nell’invisibile campo di battaglia del cyberspazio.
