Ad aprile 2026, Sistemi Informativi, la principale sussidiaria italiana di IBM, è diventata il primo grande bersaglio europeo riconducibile al gruppo di spionaggio informatico cinese Salt Typhoon. L’incidente, emerso attraverso fonti di intelligence citate da La Repubblica e confermato dall’analisi di Security Affairs, ha riacceso l’allarme sulle infrastrutture digitali del continente: un gruppo statale con oltre 200 vittime certificate in 80 paesi è ora sospettato di aver operato nel cuore dell’ecosistema IT italiano. Le indagini sono ancora in corso. L’attribuzione rimane non definitiva. Ma il segnale è inequivocabile.
Chi è Salt Typhoon: il Gruppo APT Cinese Più Pericoloso al Mondo
Salt Typhoon è un gruppo APT (Advanced Persistent Threat) collegato al Ministero della Sicurezza di Stato della Repubblica Popolare Cinese (MSS). Attivo almeno dal 2019, ha condotto alcune delle campagne di spionaggio informatico più significative nella storia recente. L’FBI, nell’agosto 2025, lo ha definito ufficialmente “una delle violazioni di spionaggio più significative nella storia degli Stati Uniti”, dopo aver accertato che il gruppo aveva compromesso oltre 200 organizzazioni in 80 paesi.
A differenza dei gruppi ransomware a motivazione finanziaria, Salt Typhoon opera con obiettivi precisi: raccogliere intelligence, sottrarre credenziali di accesso e mantenere accessi persistenti a reti di telecomunicazioni, enti governativi e infrastrutture critiche. Secondo Vectra AI, il gruppo è specializzato in operazioni di controspionaggio e furto di proprietà intellettuale aziendale strategica. Le sue operazioni si distinguono per la capacità di restare invisibili dentro le reti bersaglio per mesi consecutivi, spesso oltre un anno.
Il gruppo è conosciuto anche con i nomi FamousSparrow, GhostEmperor e UNC2286. Nel gennaio 2025, il Dipartimento del Tesoro USA ha sanzionato la società Sichuan Juxinhe Network Technology Co., Ltd., accusata di avere un coinvolgimento diretto con Salt Typhoon e di aver facilitato le violazioni di molteplici provider di telecomunicazioni e servizi internet statunitensi.
L’Attacco a Sistemi Informativi IBM Italia: Cosa Sappiamo
L’incidente è emerso pubblicamente il 3 maggio 2026, quando Security Affairs ha pubblicato un’analisi dettagliata citando fonti di intelligence che collegavano il breach a Sistemi Informativi al gruppo Salt Typhoon. L’attacco sarebbe avvenuto ad aprile 2026. Sistemi Informativi è una delle principali aziende italiane nel settore IT, con un ruolo chiave nell’erogazione di servizi cloud, integrazione di sistemi e supporto IT per clienti pubblici e privati in Italia.
Gli elementi certi dell’incidente, secondo le fonti disponibili a giugno 2026, sono i seguenti. L’incidente ha riguardato esclusivamente Sistemi Informativi, senza evidenza di breach diretto a sistemi della pubblica amministrazione italiana. Non è stato confermato alcun furto di dati. Non è stata osservata alcuna richiesta di estorsione, il che rende improbabile un’origine criminale a motivazione finanziaria. La risposta all’incidente è stata descritta come tempestiva ed efficace. L’attribuzione a Salt Typhoon rimane non confermata, con nuovi rapporti che mettono in discussione l’attribuzione iniziale.
La natura supply-chain dell’incidente, tuttavia, è la caratteristica che preoccupa di più gli analisti. Sistemi Informativi opera come fornitore di servizi IT per decine di organizzazioni, il che significa che un accesso anche parziale ai suoi sistemi potrebbe potenzialmente dare visibilità su architetture e reti dei suoi clienti. Proprio questo aspetto, secondo gli esperti, rende probabile l’interesse di un attore state-sponsored con obiettivi di lungo periodo.
La Cronologia degli Attacchi: Dal 2024 al 2026
Per capire la portata dell’operazione italiana, è necessario inquadrarla nella timeline globale delle attività di Salt Typhoon. Il gruppo ha scalato la propria attività in modo sistematico tra il 2024 e il 2026.
Nel settembre 2024, sono emersi i primi rapporti pubblici sulle violazioni ai sistemi di telecomunicazioni statunitensi. Il gruppo aveva compromesso i principali carrier USA, tra cui AT&T, Verizon, T-Mobile, Lumen Technologies e Charter Communications, accedendo ai cosiddetti sistemi di intercettazione legale (lawful intercept), ovvero le infrastrutture che le autorità giudiziarie utilizzano per le intercettazioni autorizzate dai tribunali. In questa campagna, Salt Typhoon ha avuto accesso a dati sensibili delle campagne presidenziali statunitensi 2024, sia repubblicana che democratica.
Tra marzo e dicembre 2024, un memo del Dipartimento della Sicurezza Interna (DHS) pubblicato nel giugno 2025 ha rivelato che Salt Typhoon aveva compromesso la rete della National Guard Army di uno Stato USA per 9 mesi consecutivi. Il breach ha portato all’esfiltrazione di credenziali di amministratore, diagrammi dettagliati di rete, una mappa delle posizioni geografiche dello Stato e dati PII (Personally Identifiable Information) dei militari arruolati.
Nel febbraio 2025, il Centro Canadese per la Cyber Sicurezza ha confermato che tre dispositivi di rete di un’azienda canadese di telecomunicazioni erano stati compromessi da attori riconducibili a Salt Typhoon. Nel giugno 2025, Viasat è stata aggiunta all’elenco delle vittime statunitensi. Nel dicembre 2025, intrusioni nelle reti di commissioni della Camera dei Rappresentanti USA sono state attribuite al gruppo. Nel febbraio 2026, Norvegia e Singapore hanno dichiarato violazioni collegate alle campagne di Salt Typhoon. Ad aprile 2026, è la volta dell’Italia.
Tabella: Principali Vittime di Salt Typhoon nel Mondo (2024-2026)
| Paese | Vittima | Settore | Periodo | Impatto |
|---|---|---|---|---|
| USA | AT&T | Telecomunicazioni | 2024 | Sistemi di intercettazione legale compromessi |
| USA | Verizon | Telecomunicazioni | 2024 | Sistemi di intercettazione legale compromessi |
| USA | T-Mobile | Telecomunicazioni | 2024 | Dati utenti e configurazioni di rete |
| USA | Lumen Technologies | Telecomunicazioni | 2024 | Configurazioni e dati di rete |
| USA | US Army National Guard (anonimo) | Difesa | Mar-Dic 2024 | 1.462 file di configurazione, PII militari, credenziali admin |
| USA | Viasat | Telecomunicazioni | Giu 2025 | In corso di accertamento |
| Canada | Telco anonima | Telecomunicazioni | Feb 2025 | 3 dispositivi di rete compromessi |
| USA | Commissioni Camera dei Rappresentanti | Governo | Dic 2025 | Sistemi email compromessi |
| Norvegia | Non divulgato | Non divulgato | Feb 2026 | In corso di accertamento |
| Singapore | Non divulgato | Non divulgato | Feb 2026 | In corso di accertamento |
| Italia | Sistemi Informativi (IBM Italia) | IT / Servizi Cloud | Apr 2026 | In corso di accertamento, nessun breach PA confermato |
Le Tecniche di Attacco: Come Opera Salt Typhoon
Salt Typhoon si distingue per un approccio tecnico sofisticato che privilegia la furtività sul volume. Invece di distribuire malware massivo o condurre attacchi di forza bruta, il gruppo usa tecniche che sfruttano ciò che è già presente nelle reti bersaglio, con una particolare enfasi sul movimento laterale tramite credenziali legittime.
Il Rootkit Demodex
Uno degli strumenti tecnici caratteristici del gruppo è il rootkit Demodex, un malware di tipo kernel-mode per sistemi Windows che fornisce controllo remoto sui server bersaglio. Demodex, identificato originariamente da Kaspersky Lab, opera a livello del kernel del sistema operativo, rendendolo particolarmente difficile da rilevare con strumenti di sicurezza convenzionali. La sua presenza consente ai threat actor di mantenere un accesso persistente e invisibile anche dopo i riavvii del sistema.
I Sistemi di Intercettazione Legale come Vettore di Attacco
L’elemento più preoccupante delle operazioni di Salt Typhoon nelle telecomunicazioni statunitensi è stato l’accesso ai sistemi di intercettazione legale. Questi sistemi, noti anche come lawful intercept o CALEA (Communications Assistance for Law Enforcement Act) in ambito USA, sono infrastrutture che i provider di telecomunicazioni devono mantenere per consentire alle autorità giudiziarie di condurre intercettazioni autorizzate. In pratica, sono delle backdoor legali. Salt Typhoon ha dimostrato di saper identificare e compromettere questi sistemi, trasformando un obbligo di legge in un punto di ingresso privilegiato.
Bobby Kuzma, esperto di cybersicurezza di ProCircular, ha commentato il tema delle contromisure USA: “Gli Stati Uniti hanno già esercitato pressione sulla Cina attraverso sanzioni e accuse penali individuali contro ufficiali dell’MSS legati agli attacchi. Un’altra opzione sul tavolo, ma che probabilmente non verrà attuata, è consentire alle organizzazioni di telecomunicazioni di disattivare la capacità di intercettazione legale che funge di fatto da backdoor nella loro infrastruttura.”
Dal punto di vista operativo, un analista di minacce citato da Dark Reading ha spiegato il metodo di accesso più diffuso: “Una delle tattiche più comuni del gruppo è usare credenziali legittime e muoversi lateralmente all’interno della rete. Le organizzazioni dovrebbero seguire pratiche di monitoraggio robuste per rilevare e rispondere il più rapidamente possibile agli account compromessi.”
I Dati Rubati: 1.462 File di Configurazione e Molto di Più
Il memo DHS del giugno 2025 ha quantificato per la prima volta l’entità del furto di dati nelle campagne di Salt Typhoon del 2023-2024 negli USA. Il gruppo ha sottratto 1.462 file di configurazione di rete associati ad approssimativamente 70 entità governative statunitensi e di infrastrutture critiche, distribuite su 12 settori tra cui energia, comunicazioni, trasporti e sistemi idrici.
Nella sola violazione della National Guard, il DHS ha documentato il furto di: credenziali di amministratore di rete, diagrammi dettagliati della topologia di rete, una mappa delle posizioni geografiche di installazioni militari nello Stato, e dati PII (dati identificativi personali) dei militari iscritti. Il DOD ha confermato che queste informazioni potrebbero abilitare attacchi di follow-on contro le installazioni compromesse.
La senatrice Maria Cantwell (D-WA), presidente della Commissione Commercio del Senato, ha dichiarato pubblicamente nel febbraio 2026 che Salt Typhoon potrebbe essere ancora presente all’interno delle reti statunitensi. Una valutazione che, se confermata, implicherebbe che le operazioni del gruppo non si sono interrotte nonostante le misure prese a partire dal 2024.
La Risposta USA: Sanzioni, Indagini e Pressioni Diplomatiche
Il governo statunitense ha risposto alle campagne di Salt Typhoon su più fronti. Il 17 gennaio 2025, il Dipartimento del Tesoro USA ha annunciato sanzioni contro Sichuan Juxinhe Network Technology Co., Ltd., accusata di coinvolgimento diretto nelle operazioni del gruppo. Le sanzioni prevedono il blocco degli asset della società negli USA e il divieto per aziende americane di fare affari con essa.
La FCC (Federal Communications Commission) ha proposto nel 2025 nuove normative che richiederebbero ai provider di comunicazioni di certificare annualmente l’implementazione e l’aggiornamento di piani di gestione del rischio di cybersicurezza. L’FBI, in collaborazione con agenzie di sicurezza USA e straniere, ha pubblicato un Joint Cybersecurity Advisory per informare le organizzazioni sui metodi di rilevamento e difesa.
Nel febbraio 2026, l’FBI ha confermato che la minaccia rimane attiva e in corso. Il bureau ha notificato centinaia di vittime statunitensi e ha identificato attività del gruppo in almeno 80 paesi. La risposta diplomatica è stata più cauta, con le pressioni indirizzate principalmente attraverso canali bilaterali e il sistema delle sanzioni.
Josh Shraberg, analista di Flashpoint, ha sintetizzato la posizione del settore privato: “Le aziende devono adottare un approccio alla sicurezza proattivo e a più livelli, attingendo a risorse ed expertise del settore pubblico e privato. Non è più sufficiente reagire: il gruppo è dentro le reti prima che le organizzazioni se ne accorgano.”
L’Impatto sull’Europa: Perché l’Italia Conta
L’incidente italiano rappresenta una svolta qualitativa nelle operazioni di Salt Typhoon. Fino al 2025, le vittime europee confermate erano rimaste in secondo piano rispetto alla portata degli attacchi nordamericani. Con Norvegia e Singapore a febbraio 2026 e Italia ad aprile 2026, il quadro cambia: l’Europa è ora un bersaglio primario, non secondario.
Pierluigi Paganini, fondatore di Security Affairs e membro del gruppo di stakeholder ENISA sul Threat Landscape, ha sottolineato la specificità del caso italiano: “L’incidente di Sistemi Informativi è un campanello d’allarme che l’Europa non può ignorare. La natura supply-chain dell’attacco è particolarmente preoccupante per le implicazioni sui clienti del fornitore, che includono organizzazioni pubbliche e private. Un accesso al fornitore è potenzialmente un accesso a tutti i suoi clienti.”
Il contesto europeo aggiunge complessità. Il Cyber Resilience Act dell’UE, entrato in vigore nel 2024 con scadenze di conformità nel 2027, impone requisiti di sicurezza ai prodotti digitali. Il Cybersecurity Act 2.0 rafforza il mandato ENISA per la gestione delle crisi informatiche. Ma queste normative non bastano a proteggersi da un gruppo state-sponsored che dispone di risorse, tempo e sofisticazione tecnica paragonabili ai servizi di intelligence più avanzati.
L’Italia, in particolare, presenta alcune vulnerabilità strutturali. Il mercato IT italiano è caratterizzato da una forte dipendenza da grandi fornitori integrati, come IBM stessa, che offrono servizi end-to-end a un’ampia base di clienti pubblici e privati. Questa concentrazione crea punti di failure singoli che, se compromessi, amplificano la portata potenziale di un breach.
Tabella: Confronto tra i Principali APT Cinesi Attivi nel 2026
| Caratteristica | Salt Typhoon | Volt Typhoon | APT41 |
|---|---|---|---|
| Affiliazione | MSS cinese | PLA cinese | MSS + criminale |
| Settori bersaglio principali | Telecomunicazioni, PA, difesa | Infrastrutture critiche (energia, acqua, trasporti) | Gaming, difesa, sanità, supply chain |
| Motivazione primaria | Spionaggio, controspionaggio | Pre-positioning per potenziale sabotaggio | Spionaggio + guadagno finanziario |
| Tecnica distintiva | Credenziali legittime, lateral movement, Demodex rootkit | Living-off-the-land (LOTL), no malware custom | Malware personalizzati, supply chain compromise |
| Paesi colpiti confermati | 80+ | 23+ (focus USA) | 40+ |
| Attivo dal | 2019 | 2021 | 2012 |
| Risposta USA | Sanzioni Sichuan Juxinhe (Gen 2025) | Advisory CISA (2023-2024) | Incriminazioni DOJ (2020, 2024) |
Cosa Devono Fare le Aziende Italiane ed Europee
Di fronte a un minacciante come Salt Typhoon, le misure di sicurezza convenzionali non bastano. Il gruppo non sfonda le porte: usa le chiavi che trova già nella serratura. Questo richiede un approccio alla difesa centrato sulla gestione delle identità e degli accessi privilegiati (PAM), sul monitoraggio comportamentale delle reti e sulla segmentazione.
Le priorità operative per le organizzazioni che operano in settori critici includono: l’audit immediato degli account privilegiati e la revoca delle credenziali non utilizzate, l’implementazione di autenticazione multi-fattore (MFA) resistente al phishing su tutti gli accessi amministrativi, il monitoraggio in tempo reale del traffico laterale est-ovest all’interno della rete, l’analisi dei log di configurazione dei dispositivi di rete per rilevare modifiche non autorizzate, e la verifica della catena di approvvigionamento dei fornitori IT terzi.
Per i fornitori di servizi IT come Sistemi Informativi, la sfida è doppia: devono proteggere la propria infrastruttura e, al contempo, garantire ai propri clienti che un breach al fornitore non si trasferisca ai sistemi del cliente. Questo richiede una separazione architettonica rigorosa tra i sistemi di gestione del fornitore e i sistemi dei clienti, un principio che molti contratti IT attuali non impongono esplicitamente.
Il Contesto Geopolitico: Spionaggio Informatico nella Competizione USA-Cina
Salt Typhoon non opera nel vuoto. Le sue campagne si inseriscono in una competizione geopolitica strutturale tra USA e Cina che, nella dimensione informatica, si è intensificata dramatically tra il 2024 e il 2026. Il fatto che il gruppo abbia avuto accesso ai sistemi di intercettazione legale delle telecomunicazioni USA, e che abbia potenzialmente ottenuto dati sulle comunicazioni di candidati presidenziali, indica una priorità di intelligence di alto livello.
L’Europa si trova in una posizione delicata. Da un lato, è strettamente integrata con l’ecosistema tecnologico e d’intelligence statunitense. Dall’altro, mantiene relazioni economiche significative con la Cina. Questa ambiguità crea zone d’ombra nella risposta politica: i governi europei sono stati più cauti degli USA nell’attribuire pubblicamente gli attacchi a Beijing e nell’adottare misure di rappresaglia.
Il WEF, nel suo Global Cybersecurity Outlook 2026, ha identificato le perdite di dati associate all’AI generativa come la principale preoccupazione per il 2026, citate dal 34% degli intervistati, seguite dall’avanzamento delle capacità avversariali al 29%. Questo ribaltamento rispetto al 2025 (quando le capacità avversariali erano al primo posto con il 47%) riflette un’evoluzione rapida del panorama delle minacce, in cui i threat actor state-sponsored integrano sempre più strumenti AI nelle proprie operazioni.
Previsioni: Cosa Aspettarsi da Salt Typhoon nel 2026-2027
Basandosi sulla traiettoria operativa del gruppo e sul contesto geopolitico attuale, cinque tendenze sembrano altamente probabili per i prossimi 12-18 mesi.
1. L’Europa diventerà il teatro principale. Con le telecomunicazioni USA ora sotto osservazione intensificata e le contromisure statunitensi in aumento, Salt Typhoon aumenterà quasi certamente la sua attenzione verso provider europei. Italia, Germania e Francia, con i loro grandi fornitori IT integrati, sono i bersagli più logici.
2. I sistemi 5G saranno il prossimo vettore prioritario. Il rollout del 5G in Europa, con nuove architetture e una superficie d’attacco ampliata, offre a Salt Typhoon nuove opportunità. L’integrazione di componenti di fornitori diversi crea vulnerabilità di interoperabilità difficili da monitorare.
3. La catena di approvvigionamento IT diventerà l’obiettivo preferenziale. L’attacco a Sistemi Informativi conferma una strategia già vista con SolarWinds e Kaseya: colpire il fornitore per accedere contemporaneamente a decine di clienti. Grandi integratori IT europei con contratti pubblici sono candidati naturali per operazioni future.
4. I framework normativi europei saranno messi alla prova. NIS2, Cyber Resilience Act e DORA richiedono obblighi di notifica e piani di risposta agli incidenti. L’incidente italiano testerà la velocità e l’efficacia di questi meccanismi nella realtà operativa, non solo sulla carta.
5. L’attribuzione rimarrà una sfida diplomatica. A differenza degli attacchi ransomware, dove l’attribuzione è meno controversa politicamente, l’attribuzione di attività state-sponsored a Beijing richiede una coesione diplomatica che l’UE ha faticato a mantenere in passato. Senza attribuzione pubblica, le sanzioni rimangono difficili da giustificare politicamente.
Copertura Correlata
Per approfondire il panorama delle minacce informatiche in Italia e in Europa, consulta questi articoli di analisi:
- Sandworm: 30 Impianti UE, 500K Famiglie a Rischio [2026]
- Rapporto TIM 2026: Ransomware +14% in Italia, 166 Attacchi e 48.500 CVE
- Unit 42 2026: Attacchi 4x Veloci, 89% delle Violazioni su Identità [2026]
- Commissione Europea Hackerata Due Volte: 350 GB Rubati [2026]
- Cyber Resilience Act: 15M€ e 3 Scadenze UE [2026]
- Cybersecurity Act 2.0: ENISA e 28.700 Aziende UE [2026]
Fonti primarie e analisi di riferimento per questo articolo: Security Affairs, analisi del breach a Sistemi Informativi IBM Italia; Vectra AI, Salt Typhoon Threat Briefing; Industrial Cyber, memo DHS sul breach alla National Guard; Wikipedia, Salt Typhoon (aggiornato a giugno 2026); Canadian Centre for Cyber Security, advisory PRC/Salt Typhoon.
Domande Frequenti su Salt Typhoon e l’Attacco a IBM Italia
Cos’è Salt Typhoon?
Salt Typhoon è un gruppo APT (Advanced Persistent Threat) ritenuto collegato al Ministero della Sicurezza di Stato della Cina (MSS). Attivo almeno dal 2019, è specializzato in operazioni di spionaggio informatico a lungo termine, con un focus particolare sulle reti di telecomunicazioni, gli enti governativi e le infrastrutture critiche. L’FBI lo ha definito, nell’agosto 2025, come responsabile di “una delle violazioni di spionaggio più significative nella storia degli Stati Uniti”.
Sistemi Informativi (IBM Italia) è stata davvero hackerata da Salt Typhoon?
Un incidente di sicurezza ad aprile 2026 presso Sistemi Informativi, la principale sussidiaria italiana di IBM, è stato riportato da Security Affairs con l’ipotesi di un collegamento a Salt Typhoon basata su fonti di intelligence. A giugno 2026, l’attribuzione non è confermata definitivamente. Non è stato accertato alcun furto di dati. La risposta all’incidente è stata descritta come tempestiva ed efficace, e non sono state compromesse reti della pubblica amministrazione italiana.
Quante organizzazioni ha compromesso Salt Typhoon nel mondo?
Secondo l’FBI (agosto 2025), Salt Typhoon ha compromesso oltre 200 organizzazioni in almeno 80 paesi. Tra le vittime statunitensi confermate figurano AT&T, Verizon, T-Mobile, Lumen Technologies, Charter Communications, Viasat e la rete della National Guard di uno Stato USA (per 9 mesi nel 2024). Nel febbraio 2026, anche Norvegia e Singapore hanno dichiarato breach correlati al gruppo.
Quali tecniche usa Salt Typhoon per entrare nelle reti?
Il gruppo privilegia l’uso di credenziali legittime e il movimento laterale all’interno delle reti compromesse, riducendo al minimo la propria traccia rispetto all’uso di malware. Tra gli strumenti documentati c’è il rootkit kernel-mode Demodex per sistemi Windows, che garantisce persistenza e accesso remoto furtivo. Il gruppo ha anche preso di mira i sistemi di intercettazione legale (CALEA) delle telecomunicazioni, sfruttando backdoor di legge come vettori di compromissione.
Gli Stati Uniti hanno risposto agli attacchi di Salt Typhoon?
Il 17 gennaio 2025, il Dipartimento del Tesoro USA ha sanzionato Sichuan Juxinhe Network Technology Co., Ltd., accusata di coinvolgimento diretto nelle operazioni di Salt Typhoon. L’FBI ha pubblicato un Joint Cybersecurity Advisory con agenzie partner USA e straniere per fornire indicatori di compromissione e raccomandazioni difensive. La FCC ha proposto obblighi annuali di certificazione della cybersicurezza per i provider di telecomunicazioni. Nel febbraio 2026, l’FBI ha confermato che la minaccia rimane attiva.
Come possono proteggersi le aziende italiane da Salt Typhoon?
Le priorità difensive includono: audit degli account privilegiati e revoca delle credenziali non necessarie; implementazione di MFA resistente al phishing su tutti gli accessi amministrativi; monitoraggio comportamentale del traffico laterale di rete; analisi dei log di configurazione dei dispositivi; verifica della sicurezza dei fornitori IT terzi nella catena di approvvigionamento. Il monitoraggio continuativo è la chiave: Salt Typhoon si muove lentamente e con pazienza, sfruttando finestre di visibilità ridotta per operare senza essere rilevato per mesi.
Il gruppo Salt Typhoon è ancora attivo a giugno 2026?
L’FBI ha confermato nel febbraio 2026 che le minacce di Salt Typhoon rimangono attive e in corso. La senatrice Maria Cantwell ha dichiarato nello stesso periodo che il gruppo potrebbe essere ancora presente all’interno di reti statunitensi. L’incidente italiano di aprile 2026 conferma che le operazioni del gruppo si sono espanse geograficamente verso l’Europa, con trend in accelerazione nel corso del 2026.
