Sistemi Informativi, società romana del gruppo IBM attiva dalla fine degli anni Settanta nella gestione delle infrastrutture tecnologiche della pubblica amministrazione italiana, di banche, assicurazioni e grandi aziende private, sono stati colpiti da un’operazione di cyberspionaggio attribuita con ragionevole probabilità al gruppo cinese Salt Typhoon. La notizia, rivelata in esclusiva da La Repubblica, ha trovato conferma nella nota ufficiale diffusa da IBM, che ha riconosciuto l’incidente dichiarando di aver attivato i protocolli di risposta e coinvolto esperti di sicurezza informatica sia interni sia esterni.
Secondo le fonti citate dall’inchiesta, gli hacker sarebbero rimasti all’interno dei sistemi aziendali per circa due settimane prima di essere individuati, muovendosi in modo silenzioso e raccogliendo informazioni senza produrre danni immediatamente visibili. Si tratta di una modalità operativa precisa e ricorrente nelle campagne condotte da Salt Typhoon a livello globale che sembrano avere sempre lo stesso piano di azione che consiste in un accesso prolungato, nell’esfiltrazione graduale dei dati e nella mappatura delle infrastrutture colpite. Il sito web di Sistemi Informativi è rimasto offline per diverse ore durante le operazioni di contenimento, mentre i tecnici lavoravano alla cosiddetta “bonifica” con l’individuazione del punto di ingresso e la messa in sicurezza dei server. IBM ha dichiarato che al termine di queste operazioni i servizi sono stati ripristinati e i sistemi stabilizzati, pur precisando che le indagini e il monitoraggio proseguono in collaborazione con le autorità.
Chi è Salt Typhoon e perché l’Italia è nel mirino
Salt Typhoon è un gruppo di cyberspionaggio che gli analisti occidentali collegano agli apparati statali cinesi, una circostanza che Pechino ha sempre respinto. L’FBI ha stimato che il gruppo abbia compromesso almeno 200 organizzazioni distribuite in 80 paesi.
Il suo metodo operativo lo distingue dagli attori motivati da riscatti economici o dal sabotaggio diretto: l’obiettivo è l’intelligence, la raccolta silenziosa di informazioni su soggetti ad alto valore strategico. Tra il 2024 e il 2025 il gruppo ha violato le reti di AT&T, Verizon e T-Mobile negli Stati Uniti, riuscendo secondo le ricostruzioni a intercettare comunicazioni sensibili e a mantenere accessi prolungati. Ha colpito una società di telecomunicazioni canadese, reti governative olandesi e il satellite Viasat. In Italia, pochi mesi prima di questo episodio, un attacco analogo aveva esposto i dati di circa 5.000 agenti della Digos in un’intrusione ai sistemi del Viminale, anch’essa ricondotta alla cyber-intelligence di Pechino. Sistemi Informativi rappresenta per questo tipo di operazione un bersaglio particolarmente appetibile: chi compromette un fornitore integrato nella filiera ICT della pubblica amministrazione ottiene potenzialmente l’accesso a dati e connessioni di decine di enti pubblici in un colpo solo, senza dover violare ciascuno di essi singolarmente.
Sul piano delle modalità di attacco, gli esperti non escludono lo sfruttamento di una vulnerabilità zero-day in un software di gestione remota utilizzato per la manutenzione dei server della PA, il che spiegherebbe come gli hacker abbiano aggirato i perimetri difensivi di un operatore delle dimensioni di IBM. Rimane comunque aperta l’ipotesi dell’ingegneria sociale, con un dipendente convinto a fornire credenziali di accesso o a installare strumenti di controllo remoto.
Le domande aperte su notifiche, dati e responsabilità istituzionale. Le dichiarazioni del ministro Zangrillo
Il ministro per la Pubblica amministrazione Paolo Zangrillo ha dichiarato che tutti gli attori istituzionali competenti stanno seguendo le procedure previste dalla normativa per definire i contorni degli attacchi e garantire i servizi. L’Agenzia per la Cybersicurezza Nazionale, la cui delega risiede nella Presidenza del Consiglio, ha avviato le verifiche sull’origine e sull’impatto dell’incidente con quella che lo stesso ministro ha definito tempestività. “Tutti gli attori istituzionali competenti stanno portando avanti le procedure previste dalla normativa per definire i contorni degli attacchi ai vari sistemi interessati con l’obiettivo di tutelare i dati e garantire i servizi” ha spiegato Zangrillo. L’Acn, “l’agenzia per la cybersicurezza, la cui delega risiede nella Presidenza del Consiglio, ha avviato ogni azione necessaria con tempestività, mettendosi al lavoro per definire l’origine e l’eventuale impatto dell’attacco e comprendere quali elementi dei sistemi coinvolti possano essere stati eventualmente violati”, sottolinea ancora il ministro.
Restano però due interrogativi concreti a cui le dichiarazioni istituzionali non hanno ancora risposto. Se e quando sia stata effettuata la notifica al Garante per la protezione dei dati personali, passaggio obbligatorio entro 72 ore dalla scoperta di una violazione ai sensi del Regolamento europeo sulla privacy , e quale sia l’effettiva quantità di dati eventualmente sottratti durante le due settimane di accesso non autorizzato. Sistemi Informativi gestisce archivi che riguardano enti pubblici, istituti di credito e società assicurative. La risposta a queste domande determinerà anche la portata degli obblighi di comunicazione verso gli interessati e verso le autorità di controllo.
