La notte del 10 marzo 2026, alle ore 01:40, qualcuno ha aperto una porta digitale che non avrebbe dovuto trovare. L’obiettivo era il Sistema di Riduzione Rischio Allagamento di Piazza San Marco, un’infrastruttura idraulica da circa 4 milioni di euro gestita dal Ministero delle Infrastrutture e dei Trasporti, composta da valvole pneumatiche nei canali sotterranei, pompe di rilancio e sensori di livello di marea. L’interfaccia che permette di governare l’intero impianto si trova fisicamente al primo piano del Campanile di San Marco e, secondo quanto emerso dalle indagini della startup veneziana AptGetDefence, è rimasta accessibile per quasi un mese prima che l’intrusione diventasse di dominio pubblico.
Chi ha colpito e come ha agito
Il gruppo che ha rivendicato l’attacco si chiama Infrastructure Destruction Squad, conosciuto nei circuiti di threat intelligence anche come Dark Engine. Il profilo ideologico risulta orientato verso posizioni pro-cinesi, con una concentrazione documentata su paesi percepiti come ostili a Pechino, e l’Italia figura stabilmente come il paese europeo più colpito da questa tipologia di hacktivisti che prendono di mira sistemi di controllo industriale. Nel solo secondo trimestre del 2025, il gruppo aveva già rivendicato 26 attacchi su infrastrutture di questo tipo, con operazioni distribuite tra Europa, Asia e America Latina. Il 7 aprile 2026, a distanza di quasi un mese dall’intrusione, la rivendicazione è comparsa su canali Telegram e nel dark web con un messaggio scritto in due lingue – inglese e cinese – a dimostrazione di un’audience doppia: acquirenti internazionali da un lato, interlocutori asiatici dall’altro. A corredo, il gruppo ha pubblicato screenshot del pannello di controllo, la planimetria della Basilica di San Marco e lo stato delle valvole idrauliche come prove dell’accesso. L’intervallo di quasi trenta giorni tra l’intrusione e la divulgazione pubblica corrisponde a quella che nel gergo dell’intelligence viene definita fase di monitoraggio: gli attaccanti entrano, documentano, aspettano e poi decidono quando e come rendere visibile ciò che hanno ottenuto.
Il prezzo richiesto per l’accesso root al sistema era di 600 dollari, una cifra insolitamente bassa per un’infrastruttura critica governativa. Gli analisti di Red Hot Cyber hanno proposto due letture possibili: o l’accesso effettivo era più limitato di quanto dichiarato, limitato cioè all’interfaccia web senza raggiungere lo strato OT profondo, oppure il gruppo puntava alla visibilità mediatica e geopolitica più che al profitto economico. Il messaggio pubblicato dichiarava esplicitamente la capacità di disattivare le pompe idrauliche, allagare aree costiere e usare questo controllo come strumento di pressione diretta sul governo italiano.
Perché questo attacco riguarda chiunque gestisca sistemi connessi
Tra i primi a rilevare l’intrusione sono stati Andrea Frizzarin e Pietro Boccaletto, fondatori di AptGetDefence, che hanno segnalato immediatamente le autorità. La notizia ha raggiunto Roma in poco tempo, innescando le verifiche del caso. Il timore iniziale era che l’intrusione avesse raggiunto anche i sistemi informatici della Basilica, al cui interno si trovava uno dei computer delegati alla sicurezza idraulica dell’edificio. Le verifiche hanno escluso questo scenario: San Marco dispone di un sistema idraulico e informatico autonomo, del tutto sganciato da quello della piazza, e la rete è risultata integra. Le difese informatiche della chiesa sono state comunque potenziate come misura precauzionale. Va chiarito anche un altro equivoco circolato nelle prime ore: il sistema colpito non ha alcun rapporto con il MOSE. La sua funzione è circoscritta alla gestione locale del rischio allagamento nella zona della piazza e della Basilica, non alla protezione della laguna dalle grandi maree.
Gli esperti di sicurezza hanno indicato due possibili vettori dell’attacco: un’esposizione non adeguata dell’interfaccia di controllo su Internet oppure credenziali compromesse. Entrambe le ipotesi rimandano a un problema strutturale che riguarda larga parte delle infrastrutture OT italiane ed europee. A differenza dei sistemi IT, i sistemi di controllo industriale governano processi fisici – pompaggio, apertura di valvole, regolazione di flussi – e presentano vulnerabilità spesso legate all’uso di tecnologie legacy o a una storica minore attenzione alla sicurezza informatica. La loro compromissione produce effetti nel mondo reale, misurabili in metri d’acqua su una piazza.
