Nell’aprile 2026, un gruppo di hacker cinesi ha trascorso circa due settimane all’interno dei sistemi di Sistemi Informativi, la sussidiaria di IBM Italia che gestisce l’infrastruttura IT di INPS, INAIL e decine di altre istituzioni pubbliche e private strategiche del Paese. L’attacco, attribuito con riserva al gruppo di spionaggio statale Salt Typhoon, non ha lasciato tracce di ransomware, non ha prodotto richieste di riscatto e non ha causato interruzioni di servizio evidenti. Proprio per questo, è tra le incursioni più preoccupanti registrate in Italia negli ultimi anni: silenzio assoluto, accesso prolungato, obiettivo unico di raccogliere informazioni.
Questo tipo di operazione, definito dai ricercatori di sicurezza “supply chain espionage”, non punta a bloccare i sistemi ma a mapparli dall’interno, osservare le comunicazioni e sottrarre dati sensibili senza attivare gli allarmi. In un Paese dove l’infrastruttura digitale è gestita in larga parte da fornitori privati per conto della pubblica amministrazione, una singola breccia può aprire porte su database di milioni di cittadini.
Il Cuore Digitale dell’Italia nelle Mani di Sistemi Informativi
Per comprendere la portata dell’incidente, è necessario capire chi è Sistemi Informativi. L’azienda, interamente controllata da IBM Italia, fornisce servizi di gestione dell’infrastruttura IT a enti pubblici nazionali e grandi organizzazioni private. Tra i clienti confermati figurano l’INPS (Istituto Nazionale della Previdenza Sociale, che gestisce pensioni e previdenza per oltre 38 milioni di contribuenti italiani) e l’INAIL (Istituto Nazionale Assicurazione Infortuni sul Lavoro), entità che custodiscono dati tra i più sensibili dell’intero ecosistema pubblico italiano.
Oltre alle istituzioni previdenziali, Sistemi Informativi opera trasversalmente nei settori della finanza, telecomunicazioni ed energia, segmenti classificati come infrastruttura critica ai sensi della Direttiva NIS2. La penetrazione di un integratore di sistemi con accesso privilegiato a questi ambienti non comporta solo il rischio di esporre i dati dell’azienda colpita: consente potenzialmente di accedere, attraverso connessioni di rete e credenziali di servizio, ai sistemi dei clienti finali.
Come hanno sottolineato i ricercatori di eBuildSecurity nel loro rapporto sull’incidente, pubblicato il 5 maggio 2026, si tratta di “spionaggio della catena di fornitura su scala nazionale: un solo integratore compromesso può potenzialmente esporre più database governativi attraverso un unico punto di accesso”. È esattamente il modello operativo che le agenzie di intelligence occidentali attribuiscono a Salt Typhoon da almeno tre anni.
La posizione di Sistemi Informativi come nodo critico tra pubblico e privato la rende un obiettivo ideale per operazioni di spionaggio sofisticate. A differenza di un attacco diretto a un’istituzione governativa, che attiverebbe controlli di sicurezza più stringenti, colpire il fornitore tecnologico consente di aggirare molte delle protezioni perimetrali e di stabilire una presenza persistente nei sistemi connessi.
La Timeline dell’Intrusione: Due Settimane di Silenzio
Secondo le ricostruzioni basate su fonti di intelligence citate da La Repubblica e riportate da SecurityAffairs, gli aggressori avrebbero ottenuto accesso ai sistemi di Sistemi Informativi già nelle prime settimane di aprile 2026. Per circa due settimane, la presenza degli intrusi sarebbe rimasta completamente inosservata, permettendo loro di muoversi all’interno della rete aziendale senza attivare alert di sicurezza.
Il rilevamento dell’incidente è avvenuto a fine aprile 2026. IBM ha immediatamente attivato i propri protocolli di risposta agli incidenti, coinvolgendo specialisti interni e consulenti esterni. Durante le fasi di contenimento, il sito web di Sistemi Informativi è rimasto offline per diverse ore, segnale visibile di un’operazione di isolamento dei sistemi affetti. IBM ha confermato pubblicamente l’incidente attraverso una dichiarazione ufficiale, affermando di aver “identificato e contenuto un incidente di cybersecurity” e che “i sistemi sono ora stabili e i servizi ripristinati”.
La dichiarazione, tuttavia, non ha fornito alcun dettaglio sulla portata della violazione, sui dati eventualmente acceduti o esfiltrati, né sull’identità degli aggressori. Al momento in cui scriviamo, la natura esatta dei dati esposti rimane non confermata pubblicamente. Come sottolineano i ricercatori di CentralEyes nella loro analisi del caso, “il fatto confermato è che un importante fornitore di infrastrutture IT è stato violato. Ciò che rimane sconosciuto, vale a dire la portata completa dell’accesso e cosa sia stato acquisito, è altrettanto significativo quanto ciò che si sa”.
Questo approccio alla comunicazione, legittimo da una prospettiva legale ma problematico per le istituzioni clienti, riflette la tensione tra la necessità di non amplificare l’allarme e l’obbligo di trasparenza verso i soggetti potenzialmente esposti. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, prevede obblighi di notifica degli incidenti significativi entro 24 ore per i soggetti essenziali: il caso Sistemi Informativi ne ha messo alla prova l’applicazione pratica.
Salt Typhoon: il Gruppo APT Cinese che Punta sull’Europa
Salt Typhoon, noto anche con gli identificativi GhostEmperor e FamousSparrow nelle tassonomie dei diversi vendor di sicurezza, è un gruppo di minacce persistenti avanzate (APT) attribuito dalla comunità di intelligence occidentale al Ministero della Sicurezza di Stato (MSS) della Repubblica Popolare Cinese. Operativo almeno dal 2020, il gruppo si distingue per la sua capacità di mantenere accessi prolungati e non rilevati in ambienti di alto valore strategico.
A gennaio 2025, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato Sichuan Juxinhe Network Technology, società cinese di tecnologia informatica identificata come uno dei contractor privati che operano a supporto delle attività di Salt Typhoon. Secondo le valutazioni dell’FBI, l’ambito operativo di Salt Typhoon abbraccia oltre 200 organizzazioni a livello globale, collocandolo tra le campagne di spionaggio informatico statale più estese mai documentate. I bersagli selezionati seguono un criterio preciso: operatori di telecomunicazioni con accesso a sistemi di intercettazione legale, reti governative di livello strategico, infrastrutture satellitari e fornitori IT con accessi privilegiati su clienti multipli.
Le caratteristiche operative del gruppo lo distinguono nettamente dagli attori motivati finanziariamente. Salt Typhoon non utilizza ransomware, non estorce le vittime, non pubblica dati sui siti di leak. Il silenzio è la sua tattica principale: una volta ottenuto l’accesso, l’obiettivo è permanere il più a lungo possibile, mappando la rete, raccogliendo credenziali e esfiltando informazioni ad alto valore strategico. Questa metodologia è coerente con la priorità dell’intelligence di Pechino di raccogliere dati su capacità economiche, politiche e militari dei Paesi avversari.
Pierluigi Paganini, esperto di sicurezza e fondatore di Security Affairs, ha descritto la progressione delle operazioni di Salt Typhoon come “un’escalation sistematica verso le infrastrutture europee che segue esattamente il playbook già testato contro i grandi operatori americani, adattato alle specificità del perimetro digitale europeo dove la frammentazione tra fornitore e committente pubblico crea zone grigie di responsabilità”. I servizi di intelligence di Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda hanno emesso avvisi congiunti sulle attività del gruppo nel corso del 2024 e 2025.
Tecniche di Attacco: Citrix, Cisco e Vulnerabilità Zero-Day
Salt Typhoon non si affida a tecniche di ingegneria sociale o campagne phishing di massa. Il gruppo preferisce sfruttare vulnerabilità zero-day e criticità note in prodotti ampiamente distribuiti nelle infrastrutture enterprise e governative. Due piattaforme hanno attirato l’attenzione dei ricercatori come vettori preferenziali: Citrix NetScaler Gateway e i dispositivi di rete Cisco.
I ricercatori di Darktrace hanno documentato, a luglio 2025, come Salt Typhoon abbia sfruttato vulnerabilità in Citrix NetScaler Gateway per violare un operatore di telecomunicazioni europeo, ottenendo accesso alle reti dorsali e ai relay di dati. La stessa tecnica, adattata ai sistemi Cisco, è stata impiegata in campagne parallele contro reti governative nei Paesi Bassi e in Nord America. Nel caso di Sistemi Informativi, le specifiche tecniche dell’intrusione non sono state divulgate pubblicamente da IBM; fonti di intelligence hanno indicato l’uso di vulnerabilità nella catena di approvvigionamento e possibili zero-day.
Il pattern procedurale documentato dalla comunità di sicurezza prevede tipicamente: accesso iniziale tramite exploit di una vulnerabilità nel perimetro esterno, movimento laterale verso sistemi con accesso privilegiato, installazione di backdoor persistenti, raccolta di credenziali di servizio e successiva esfiltrazione di dati verso infrastrutture di comando e controllo (C2) localizzate in giurisdizioni difficili da raggiungere per le autorità occidentali. La fase di esfiltrazione viene spesso condotta con volumi ridotti di traffico, progettati per confondersi con il traffico legittimo e non attivare i sistemi di rilevamento delle anomalie.
I dati del 2026 Unit 42 Global Incident Response Report di Palo Alto Networks, che ha analizzato oltre 750 grandi incidenti cyber nel 2025 in più di 50 Paesi, confermano questa tendenza: l’87% degli incidenti ha interessato attività su due o più superfici di attacco, e il tempo medio di esfiltrazione per il quartile più rapido è sceso a soli 72 minuti nel 2025, rispetto ai 285 minuti del 2024. La quota di incidenti con esfiltrazione in meno di un’ora è salita dal 19% nel 2024 al 22% nel 2025.
Principali Operazioni di Salt Typhoon in Europa e nel Mondo (2024-2026)
| Bersaglio | Paese | Periodo | Vettore | Obiettivo | Stato Attribuzione |
|---|---|---|---|---|---|
| AT&T, Verizon e altri operatori telecom | USA | 2024 | Exploit Cisco | Sistemi intercettazione legale | Confermato (Five Eyes) |
| Operatori telecomunicazioni | Canada | 2024-2025 | Exploit Cisco/Citrix | Dati utenti, intercettazioni | Confermato |
| Reti governative | Paesi Bassi | 2024 | Vulnerabilità supply chain | Comunicazioni diplomatiche | Confermato |
| US Army National Guard | USA | 2024 | Non divulgato | Dati personale militare | Confermato |
| Viasat (infrastruttura satellite) | Europa/USA | 2024 | Zero-day | Comunicazioni satellitari | Confermato |
| Operatore telecom europeo (Darktrace) | Europa (N/D) | Luglio 2025 | Citrix NetScaler Gateway | Reti dorsali, relay dati | Confermato |
| Sistemi Informativi (IBM Italia) | Italia | Aprile 2026 | Supply chain / zero-day (non confermato) | Infrastruttura pubblica italiana | Attribuito (non ufficiale) |
Nessun Riscatto, Solo Spionaggio: Perché è Più Pericoloso di un Ransomware
La distinzione tra un attacco ransomware e un’operazione di cyber espionage come quella attribuita a Salt Typhoon non è solo tecnica: è strategica e, per molti versi, determina la difficoltà di risposta. Un attacco ransomware è immediatamente visibile: i sistemi si bloccano, i file vengono cifrati, arriva la richiesta di pagamento. Il danno è immediato ma delimitato. L’organizzazione sa di essere stata colpita e può avviare il ripristino.
Un’operazione di spionaggio silenzioso funziona diversamente. L’aggressore non vuole che la vittima sappia di essere stata compromessa: ogni giorno di permanenza non rilevata è un giorno di accesso a dati aggiuntivi, conversazioni monitorate, credenziali raccolte. Il danno si accumula nel tempo e si manifesta in modo indiretto, attraverso l’uso delle informazioni sottratte in operazioni di influenza, negoziati diplomatici avvantaggiati o operazioni di controspionaggio che vanno a vantaggio di Pechino.
Nel caso di Sistemi Informativi, due settimane di accesso silenzioso a sistemi che gestiscono i dati previdenziali di decine di milioni di italiani, i dati sugli infortuni sul lavoro di milioni di lavoratori, e le reti di operatori di telecomunicazioni e del settore energetico, rappresentano una finestra di esposizione dalla portata difficilmente quantificabile. Non si sa cosa sia stato esfiltrato, né se siano stati installati meccanismi di accesso persistente che sopravvivono al contenimento dichiarato da IBM.
Il rapporto 2026 di CrowdStrike Global Threat Report documenta come il tempo medio di “breakout” degli attori di eCrime, ovvero il tempo necessario per muoversi dal punto di accesso iniziale al resto della rete, sia sceso a soli 29 minuti nel 2025, con una riduzione del 65% rispetto all’anno precedente. Per gli attori statali come Salt Typhoon, che operano con risorse superiori e pianificazione a lungo termine, la velocità di movimento laterale può essere ancora più elevata, ma è compensata dalla scelta deliberata di muoversi lentamente per non generare anomalie rilevabili.
I Dati a Rischio: INPS, INAIL e Infrastruttura Critica Nazionale
Per valutare cosa potrebbe essere stato esposto nell’incidente, è necessario considerare la natura dei servizi erogati da Sistemi Informativi ai suoi clienti istituzionali. INPS gestisce le posizioni previdenziali di oltre 38 milioni di contribuenti italiani: dati sui redditi, informazioni su NASpI, assegni familiari, pensioni di invalidità e centinaia di altri benefici. Un accesso non autorizzato a questi sistemi consentirebbe di raccogliere un profilo economico e demografico estremamente dettagliato dell’intera popolazione lavorativa italiana, con evidenti implicazioni per operazioni di intelligence straniera.
INAIL custodisce dati sugli infortuni sul lavoro, le malattie professionali, i settori industriali con maggiore rischio operativo e le aziende con storico di incidenti. Dal punto di vista dello spionaggio industriale e strategico, queste informazioni consentono di mappare le vulnerabilità produttive del sistema economico italiano e identificare i settori con le maggiori concentrazioni di personale qualificato. I dati su finanza, telecomunicazioni ed energia, gestiti da Sistemi Informativi per clienti privati, aggiungono un ulteriore livello di esposizione su infrastrutture classificate come critiche dalla normativa europea.
La preoccupazione non riguarda solo i dati dei cittadini singoli. Un aggressore con accesso prolungato a un integratore di sistemi può raccogliere informazioni sulle architetture di rete dei clienti, le credenziali di accesso ai sistemi, i protocolli di comunicazione sicura e i punti di vulnerabilità da sfruttare in operazioni future. In questa prospettiva, l’incidente a Sistemi Informativi potrebbe rappresentare non solo una violazione consumata, ma anche la preparazione del terreno per operazioni più ampie contro la PA italiana.
La Risposta di IBM e le Lacune nella Trasparenza
IBM ha gestito la comunicazione pubblica con estrema parsimonia. La dichiarazione ufficiale ha confermato l’incidente, ha assicurato che i sistemi sono stati stabilizzati e i servizi ripristinati, e ha indicato l’attivazione di protocolli di risposta con specialisti interni ed esterni. Nessun dettaglio sulla portata della violazione, nessuna indicazione sui dati eventualmente acceduti, nessun aggiornamento sull’identità degli aggressori oltre alle voci di intelligence non confermate.
Questo approccio è comprensibile dal punto di vista legale e tattico: divulgare informazioni dettagliate su un’intrusione in corso o recente può compromettere le indagini, avvisare gli aggressori e amplificare il danno reputazionale. Tuttavia, crea un problema significativo per le istituzioni clienti e per i cittadini i cui dati sono potenzialmente esposti. Il CSIRT nazionale italiano, gestito dall’ACN (Agenzia per la Cybersicurezza Nazionale), non ha rilasciato dichiarazioni pubbliche specifiche verificabili sull’incidente nei giorni successivi alla notizia.
La Direttiva NIS2 e il suo recepimento italiano pongono obblighi precisi: i soggetti essenziali devono notificare gli incidenti significativi entro 24 ore per la notifica preliminare e fornire un rapporto finale entro un mese. La qualificazione di Sistemi Informativi come soggetto rientrante nell’ambito NIS2, e quindi soggetto a questi obblighi, dipende dalla classificazione delle sue attività e dal fatto che i suoi clienti rientrino nelle categorie di soggetti essenziali o importanti definite dalla direttiva. Il caso ha messo in luce come la catena di notifica tra fornitore IT e committente pubblico richieda chiarimenti normativi urgenti.
L’Escalation dello Spionaggio Cinese in Europa: un Pattern in Crescita
L’attacco a Sistemi Informativi non è un episodio isolato, ma si inserisce in un pattern documentato e in crescita di operazioni di cyber spionaggio cinese contro infrastrutture europee. I ricercatori di SecurityAffairs hanno ricostruito come Salt Typhoon abbia sistematicamente preso di mira operatori di telecomunicazioni europei nel corso del 2024 e 2025, sfruttando vulnerabilità in dispositivi Citrix e Cisco per stabilire accessi persistenti alle reti dorsali.
La compromissione di operatori telecom è particolarmente rilevante perché consente di accedere ai sistemi di intercettazione legale (Lawful Interception), infrastrutture che le autorità giudiziarie usano per monitorare le comunicazioni nell’ambito di indagini penali. Se gli aggressori accedono a questi sistemi, ottengono la capacità di sorvegliare le stesse sorveglianze, con implicazioni gravi per indagini sensibili e sicurezza nazionale. È esattamente questo il pattern documentato nei confronti degli operatori telecom statunitensi nel 2024.
Il 24 marzo 2026, la stessa Commissione Europea ha dichiarato di essere stata bersaglio di un cyberattacco che ha impattato la propria infrastruttura cloud, compresa la piattaforma Europa. L’incidente, documentato dal CSIS (Center for Strategic and International Studies), ha colpito una delle istituzioni più sensibili dell’Unione, rivelando che nessuna organizzazione, indipendentemente dal livello di protezione dichiarato, è immune da operazioni di aggressori statali determinati. L’attribuzione di quell’attacco non è stata resa pubblica.
Secondo gli analisti di eBuildSecurity, il modus operandi di Salt Typhoon in Europa segue un modello preciso: “Prima un fornitore di tecnologia con accesso privilegiato viene compromesso, poi quella posizione viene usata per mappare le reti, osservare le comunicazioni e raccogliere informazioni sensibili per mesi”. Questo schema, replicato in Nord America contro operatori telecom e satellitari, sta ora trovando applicazione sistematica nel tessuto IT europeo, dove la frammentazione tra committente pubblico e fornitore privato crea opportunità di accesso difficili da presidiare.
NIS2 e la Sicurezza della Catena di Fornitura: il Punto Critico Ignorato
L’incidente a Sistemi Informativi mette in luce quella che gli esperti identificano come la frontiera più difficile della cybersecurity moderna: la sicurezza della catena di fornitura tecnologica. Una pubblica amministrazione può investire milioni di euro nella propria protezione informatica, implementare i controlli più avanzati, formare il personale e adottare le best practice internazionali. Ma se un fornitore tecnologico con accesso privilegiato ai propri sistemi viene compromesso, tutte queste difese rischiano di essere aggirate attraverso connessioni legittime già autorizzate.
La Direttiva NIS2 ha affrontato esplicitamente questo problema. L’Articolo 21 impone ai soggetti essenziali e importanti di adottare misure per la gestione dei rischi di cybersecurity, inclusi quelli relativi alla sicurezza della catena di approvvigionamento. Le organizzazioni devono valutare il livello di sicurezza dei propri fornitori diretti e, ove applicabile, dell’intera catena. In Italia, il D.Lgs. 138/2024 di recepimento della NIS2 ha identificato oltre 12.000 soggetti essenziali e importanti che dovranno conformarsi a questi obblighi.
Il 20 gennaio 2026, la Commissione Europea ha proposto un nuovo pacchetto di cybersecurity che amplia l’ambito della NIS2 includendo esplicitamente gli operatori di infrastrutture sottomarine, i fornitori di portafogli digitali e le infrastrutture a doppio uso. La proposta riflette la consapevolezza che i confini tra infrastrutture critiche e fornitori tecnologici si stanno dissolvendo, rendendo necessario estendere gli obblighi di sicurezza a un perimetro più ampio. Sul fronte pratico, la sicurezza della catena di fornitura richiede l’implementazione di Privileged Access Management (PAM), segmentazione delle reti, audit regolari dei diritti di accesso concessi ai fornitori e procedure di risposta agli incidenti che includano esplicitamente scenari di compromissione di terze parti.
Confronto tra Attacchi APT su Infrastrutture IT Europee: 2025-2026
| Incidente | Paese | Data | Attore APT | Settore | Vettore | Impatto Confermato |
|---|---|---|---|---|---|---|
| Operatore Telecom (Darktrace) | Europa (N/D) | Luglio 2025 | Salt Typhoon (Cina) | Telecomunicazioni | Citrix NetScaler | Accesso rete dorsale |
| Governo Paesi Bassi | Paesi Bassi | 2024 | Salt Typhoon (Cina) | Governo | Supply chain | Comunicazioni diplomatiche |
| Viasat Europa | Europa | 2024 | Salt Typhoon (Cina) | Satellite/Telecom | Zero-day | Interruzione comunicazioni |
| Commissione Europea | UE | Marzo 2026 | Non attribuito | Governo UE | Non divulgato | Cloud infrastruttura, piattaforma Europa |
| Infrastrutture ICS acqua/energia | 6 Paesi UE | 2025-2026 | APT russi (Sandworm, GRU) | Energia/Acque | Exploit ICS/SCADA | +50% attacchi sistemi di controllo industriale |
| Sistemi Informativi (IBM Italia) | Italia | Aprile 2026 | Salt Typhoon (attribuito, non ufficiale) | IT Pubblica Amm. | Supply chain / zero-day | 2 settimane accesso silenzioso, portata sconosciuta |
Analisi di Mercato: Impatto sulle Aziende IT che Servono la PA Italiana
L’incidente ha implicazioni di mercato che vanno ben oltre il caso singolo. Le aziende che forniscono servizi IT alla pubblica amministrazione italiana e europea si trovano ora in un contesto in cui la propria posizione come “fornitore di fiducia” è soggetta a scrutinio più intenso. I committenti pubblici, a partire dalle istituzioni nazionali fino agli enti locali, sono chiamati a rivalutare i requisiti di sicurezza nei contratti con i fornitori tecnologici.
Secondo i dati della Mimecast State of Human Risk 2026, il costo medio stimato per incidente legato a fornitori o insider è di 13,1 milioni di dollari, con le organizzazioni che affrontano in media sei incidenti di questo tipo al mese per un’esposizione annua stimata di 943,2 milioni di dollari. Il costo medio globale di una violazione dei dati nel 2026 ha raggiunto i 4,88 milioni di dollari, con i costi nei mercati europei che tendono a includere le sanzioni GDPR, potenzialmente molto superiori per i soggetti classificati come essenziali ai sensi della NIS2.
Per il settore degli integratori IT che operano con la pubblica amministrazione italiana, l’incidente accelera tendenze già in atto: maggiore attenzione alla certificazione di sicurezza dei fornitori, crescente richiesta di audit indipendenti, e pressione normativa verso l’adozione di standard come ISO/IEC 27001 e i framework specifici per i soggetti che operano con infrastrutture critiche. Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito in Italia con il D.L. 105/2019, prevede già requisiti stringenti per i soggetti che operano con sistemi di interesse nazionale: il caso Sistemi Informativi solleva interrogativi sull’effettiva implementazione di questi controlli nel segmento dei fornitori IT.
L’Attribuzione Controversa: Salt Typhoon o un Altro Attore Statale?
Uno degli elementi più importanti del caso Sistemi Informativi è la natura non definitiva dell’attribuzione. Più fonti di intelligence citate da La Repubblica hanno indicato Salt Typhoon come il probabile responsabile, ma aggiornamenti del 5 maggio 2026 hanno suggerito che la prima attribuzione potrebbe essere errata. L’analisi degli indicatori tecnici disponibili ha mostrato che l’incidente sembra aver coinvolto solo Sistemi Informativi, senza compromissione confermata dei sistemi della pubblica amministrazione clienti, e che l’assenza di attività estorsive rende improbabile il coinvolgimento di attori motivati finanziariamente.
Questo non esclude automaticamente Salt Typhoon come responsabile: esclude però un’attribuzione affrettata basata su elementi circostanziali. Gli esperti di cybersecurity ricordano che attribuzioni errate hanno conseguenze reali: possono influenzare le risposte diplomatiche, distogliere risorse investigative dal vero responsabile e creare tensioni geopolitiche non giustificate dai fatti. Nel contesto di un’operazione che non ha lasciato il proprio “biglietto da visita” sotto forma di ransomware o rivendicazioni pubbliche, l’attribuzione richiede analisi tecnica approfondita degli indicatori di compromissione (IoC), dei pattern di movimento laterale e dell’infrastruttura C2.
Ciò che rimane certo è che, indipendentemente dall’identità specifica dell’aggressore, l’incidente rispecchia i pattern operativi tipici degli attori statali con obiettivi di spionaggio a lungo termine. Il profilo complessivo, accesso attraverso un fornitore IT, permanenza silenziosa di due settimane, assenza di distruzione o estorsione, si allinea con le tattiche documentate non solo di Salt Typhoon ma anche di altri gruppi APT con sponsorship statale attivi in Europa.
5 Previsioni per il 2026-2027
1. Aumento degli attacchi supply chain contro la PA italiana e europea nel secondo semestre 2026. Il caso Sistemi Informativi non sarà l’ultimo del suo genere. Gli attori statali hanno dimostrato che colpire i fornitori tecnologici della pubblica amministrazione è più efficiente di attaccare direttamente le istituzioni. Nei prossimi 18 mesi, ci aspettiamo almeno altri 3-5 incidenti di profilo analogo in Europa, con bersagli selezionati tra gli integratori IT dei settori sanitario, previdenziale ed energetico.
2. La NIS2 italiana porterà alle prime sanzioni significative entro fine 2026. L’ACN intensificherà i controlli sui fornitori di servizi IT alle istituzioni pubbliche, introducendo requisiti di certificazione obbligatori e audit periodici sulla sicurezza della catena di fornitura. La mancata implementazione dei controlli previsti espone i soggetti essenziali a sanzioni fino al 2% del fatturato mondiale annuo, e le prime decisioni sanzionatorie avranno un effetto deterrente importante sul mercato degli integratori IT.
3. La Cina intensificherà le operazioni di spionaggio informatico in Europa nel contesto delle tensioni sui dazi e sulle tecnologie critiche. Con le tensioni commerciali e tecnologiche tra Cina e Occidente in escalation, le operazioni di intelligence informatica cinese in Europa aumenteranno sia in frequenza che in sofisticazione. I settori aerospaziale, della difesa, delle telecomunicazioni 5G/6G e della ricerca avanzata saranno i bersagli prioritari per il biennio 2026-2027.
4. L’Italia implementerà un sistema di monitoraggio continuo obbligatorio per i fornitori IT della PA. Sulla scia dell’incidente, ACN svilupperà o rafforzerà strumenti di monitoraggio della postura di sicurezza dei fornitori classificati come strategici, probabilmente integrandoli con il sistema di allerta precoce del CSIRT nazionale. Questo richiederà investimenti significativi, con il budget destinato alla cybersecurity governativa italiana destinato a crescere di almeno il 20% nel biennio 2026-2027.
5. L’AI diventerà lo strumento chiave sia per gli attacchi alla supply chain che per la loro rilevazione. Gli attori APT integreranno capacità di intelligenza artificiale per automatizzare la ricognizione nei sistemi dei fornitori, identificare credenziali di accesso privilegiate e pianificare movimenti laterali ottimali. Sul versante difensivo, le soluzioni di monitoraggio comportamentale basate su AI diventeranno standard per i fornitori IT che operano con infrastrutture critiche, con il mercato della sicurezza AI che punta a superare i 60 miliardi di dollari entro la fine del 2026.
Copertura Correlata
Per approfondire il contesto degli attacchi statali alle infrastrutture europee e il quadro normativo italiano:
- Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS [2026]
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- EU Cybersecurity Act 2.0: 30.000 Aziende Liberate da NIS2 [2026]
- Fortinet Report 2026: 640 Miliardi di Attacchi, Ransomware +389%
- INTERPOL Synergia III: 45.000 IP Abbattuti, 94 Arrestati in 72 Paesi
Domande Frequenti
Chi è Sistemi Informativi e perché è importante per la cybersecurity italiana?
Sistemi Informativi è una società interamente controllata da IBM Italia che fornisce servizi di gestione dell’infrastruttura IT a enti pubblici nazionali come INPS e INAIL, oltre a grandi organizzazioni private nei settori finanza, telecomunicazioni ed energia. La sua posizione come integratore di sistemi per istituzioni chiave la rende un bersaglio di alto valore per operazioni di cyber spionaggio: una sua compromissione può aprire accessi indiretti a sistemi di clienti che gestiscono dati di decine di milioni di cittadini italiani.
Cosa è stato effettivamente rubato nell’attacco di aprile 2026?
Al momento non è stato confermato pubblicamente cosa sia stato esfiltrato, se qualcosa lo è stato. IBM ha dichiarato che i sistemi sono stati stabilizzati e i servizi ripristinati, ma non ha fornito dettagli sulla portata della violazione. Le indagini forensi erano ancora in corso all’inizio di giugno 2026 senza risultati pubblici definitivi.
L’attacco è stato ufficialmente attribuito a Salt Typhoon?
No. L’attribuzione a Salt Typhoon si basa su fonti di intelligence citate da La Repubblica, ma non è stata confermata ufficialmente né da IBM né dalle autorità italiane. Aggiornamenti del 5 maggio 2026 hanno suggerito che la prima attribuzione potrebbe essere errata. Un attore statale rimane probabile data la natura dell’operazione, ma l’identità specifica non è ancora accertata.
I dati di INPS e INAIL sono stati compromessi?
Non ci sono conferme di compromissione diretta dei sistemi di INPS o INAIL. Gli aggiornamenti del 5 maggio 2026 indicano che l’incidente sembra aver coinvolto solo i sistemi di Sistemi Informativi, senza compromissione confermata dei sistemi della pubblica amministrazione clienti. Tuttavia, la natura delle connessioni tra l’integratore e i suoi clienti rende necessario un approfondimento da parte delle autorità competenti.
Chi è Salt Typhoon?
Salt Typhoon è un gruppo APT attribuito al Ministero della Sicurezza di Stato cinese, attivo almeno dal 2020. Noto anche come GhostEmperor o FamousSparrow, ha preso di mira operatori di telecomunicazioni, reti governative e infrastrutture critiche in Nord America, Europa e Asia. Il Dipartimento del Tesoro USA ha sanzionato Sichuan Juxinhe Network Technology nel gennaio 2025 per il suo coinvolgimento con il gruppo. L’ambito operativo di Salt Typhoon comprende oltre 200 organizzazioni a livello globale secondo le valutazioni dell’FBI.
Come possono le organizzazioni proteggersi da attacchi supply chain di questo tipo?
Le misure chiave includono: Privileged Access Management (PAM) per monitorare gli accessi privilegiati dei fornitori; segmentazione della rete per limitare il blast radius in caso di compromissione di terzi; audit periodici dei diritti di accesso concessi a fornitori e partner; monitoraggio continuo delle anomalie di rete tramite soluzioni SIEM/XDR; procedure di risposta agli incidenti che includano scenari di compromissione della supply chain; e valutazione della postura di sicurezza dei fornitori come requisito contrattuale, in linea con gli obblighi della Direttiva NIS2.
Quali conseguenze normative può avere l’incidente per IBM Italia?
Le conseguenze dipendono dalla classificazione di Sistemi Informativi nell’ambito della NIS2 e del Perimetro di Sicurezza Nazionale Cibernetica. Se classificata come soggetto essenziale o fornitore di servizi per soggetti essenziali, l’azienda è soggetta agli obblighi di notifica del D.Lgs. 138/2024. La mancata o tardiva notifica può comportare sanzioni fino al 2% del fatturato mondiale annuo. L’ACN ha la competenza per avviare ispezioni e imporre misure correttive ai soggetti rientranti nel perimetro normativo italiano.
