{"id":306,"date":"2026-06-21T08:00:00","date_gmt":"2026-06-21T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/21\/salt-typhoon-ibm-italia-sistemi-informativi-2026\/"},"modified":"2026-06-21T08:00:00","modified_gmt":"2026-06-21T08:00:00","slug":"salt-typhoon-ibm-italia-sistemi-informativi-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/21\/salt-typhoon-ibm-italia-sistemi-informativi-2026\/","title":{"rendered":"Salt Typhoon Colpisce IBM Italia: 2 Settimane di Spionaggio su INPS e INAIL [2026]"},"content":{"rendered":"\n

Nell’aprile 2026, un gruppo di hacker cinesi ha trascorso circa due settimane all’interno dei sistemi di Sistemi Informativi<\/strong>, la sussidiaria di IBM Italia che gestisce l’infrastruttura IT di INPS, INAIL e decine di altre istituzioni pubbliche e private strategiche del Paese. L’attacco, attribuito con riserva al gruppo di spionaggio statale Salt Typhoon<\/strong>, non ha lasciato tracce di ransomware, non ha prodotto richieste di riscatto e non ha causato interruzioni di servizio evidenti. Proprio per questo, \u00e8 tra le incursioni pi\u00f9 preoccupanti registrate in Italia negli ultimi anni: silenzio assoluto, accesso prolungato, obiettivo unico di raccogliere informazioni.<\/p>\n\n\n\n

Questo tipo di operazione, definito dai ricercatori di sicurezza “supply chain espionage”, non punta a bloccare i sistemi ma a mapparli dall’interno, osservare le comunicazioni e sottrarre dati sensibili senza attivare gli allarmi. In un Paese dove l’infrastruttura digitale \u00e8 gestita in larga parte da fornitori privati per conto della pubblica amministrazione, una singola breccia pu\u00f2 aprire porte su database di milioni di cittadini.<\/p>\n\n\n\n

Il Cuore Digitale dell’Italia nelle Mani di Sistemi Informativi<\/h2>\n\n\n\n

Per comprendere la portata dell’incidente, \u00e8 necessario capire chi \u00e8 Sistemi Informativi. L’azienda, interamente controllata da IBM Italia, fornisce servizi di gestione dell’infrastruttura IT a enti pubblici nazionali e grandi organizzazioni private. Tra i clienti confermati figurano l’INPS<\/strong> (Istituto Nazionale della Previdenza Sociale, che gestisce pensioni e previdenza per oltre 38 milioni di contribuenti italiani) e l’INAIL<\/strong> (Istituto Nazionale Assicurazione Infortuni sul Lavoro), entit\u00e0 che custodiscono dati tra i pi\u00f9 sensibili dell’intero ecosistema pubblico italiano.<\/p>\n\n\n\n

Oltre alle istituzioni previdenziali, Sistemi Informativi opera trasversalmente nei settori della finanza, telecomunicazioni ed energia<\/strong>, segmenti classificati come infrastruttura critica ai sensi della Direttiva NIS2. La penetrazione di un integratore di sistemi con accesso privilegiato a questi ambienti non comporta solo il rischio di esporre i dati dell’azienda colpita: consente potenzialmente di accedere, attraverso connessioni di rete e credenziali di servizio, ai sistemi dei clienti finali.<\/p>\n\n\n\n

Come hanno sottolineato i ricercatori di eBuildSecurity<\/strong> nel loro rapporto sull’incidente, pubblicato il 5 maggio 2026, si tratta di “spionaggio della catena di fornitura su scala nazionale: un solo integratore compromesso pu\u00f2 potenzialmente esporre pi\u00f9 database governativi attraverso un unico punto di accesso”. \u00c8 esattamente il modello operativo che le agenzie di intelligence occidentali attribuiscono a Salt Typhoon da almeno tre anni.<\/p>\n\n\n\n

La posizione di Sistemi Informativi come nodo critico tra pubblico e privato la rende un obiettivo ideale per operazioni di spionaggio sofisticate. A differenza di un attacco diretto a un’istituzione governativa, che attiverebbe controlli di sicurezza pi\u00f9 stringenti, colpire il fornitore tecnologico consente di aggirare molte delle protezioni perimetrali e di stabilire una presenza persistente nei sistemi connessi.<\/p>\n\n\n\n

La Timeline dell’Intrusione: Due Settimane di Silenzio<\/h2>\n\n\n\n

Secondo le ricostruzioni basate su fonti di intelligence citate da La Repubblica<\/em> e riportate da SecurityAffairs<\/a>, gli aggressori avrebbero ottenuto accesso ai sistemi di Sistemi Informativi gi\u00e0 nelle prime settimane di aprile 2026<\/strong>. Per circa due settimane, la presenza degli intrusi sarebbe rimasta completamente inosservata, permettendo loro di muoversi all’interno della rete aziendale senza attivare alert di sicurezza.<\/p>\n\n\n\n

Il rilevamento dell’incidente \u00e8 avvenuto a fine aprile 2026<\/strong>. IBM ha immediatamente attivato i propri protocolli di risposta agli incidenti, coinvolgendo specialisti interni e consulenti esterni. Durante le fasi di contenimento, il sito web di Sistemi Informativi \u00e8 rimasto offline per diverse ore, segnale visibile di un’operazione di isolamento dei sistemi affetti. IBM ha confermato pubblicamente l’incidente attraverso una dichiarazione ufficiale, affermando di aver “identificato e contenuto un incidente di cybersecurity” e che “i sistemi sono ora stabili e i servizi ripristinati”.<\/p>\n\n\n\n

La dichiarazione, tuttavia, non ha fornito alcun dettaglio sulla portata della violazione, sui dati eventualmente acceduti o esfiltrati, n\u00e9 sull’identit\u00e0 degli aggressori. Al momento in cui scriviamo, la natura esatta dei dati esposti rimane non confermata pubblicamente. Come sottolineano i ricercatori di CentralEyes<\/strong> nella loro analisi del caso, “il fatto confermato \u00e8 che un importante fornitore di infrastrutture IT \u00e8 stato violato. Ci\u00f2 che rimane sconosciuto, vale a dire la portata completa dell’accesso e cosa sia stato acquisito, \u00e8 altrettanto significativo quanto ci\u00f2 che si sa”.<\/p>\n\n\n\n

Questo approccio alla comunicazione, legittimo da una prospettiva legale ma problematico per le istituzioni clienti, riflette la tensione tra la necessit\u00e0 di non amplificare l’allarme e l’obbligo di trasparenza verso i soggetti potenzialmente esposti. La Direttiva NIS2, recepita in Italia con il D.Lgs. 138\/2024, prevede obblighi di notifica degli incidenti significativi entro 24 ore per i soggetti essenziali: il caso Sistemi Informativi ne ha messo alla prova l’applicazione pratica.<\/p>\n\n\n\n

Salt Typhoon: il Gruppo APT Cinese che Punta sull’Europa<\/h2>\n\n\n\n

Salt Typhoon<\/strong>, noto anche con gli identificativi GhostEmperor e FamousSparrow nelle tassonomie dei diversi vendor di sicurezza, \u00e8 un gruppo di minacce persistenti avanzate (APT) attribuito dalla comunit\u00e0 di intelligence occidentale al Ministero della Sicurezza di Stato (MSS) della Repubblica Popolare Cinese<\/strong>. Operativo almeno dal 2020, il gruppo si distingue per la sua capacit\u00e0 di mantenere accessi prolungati e non rilevati in ambienti di alto valore strategico.<\/p>\n\n\n\n

A gennaio 2025, il Dipartimento del Tesoro degli Stati Uniti ha sanzionato Sichuan Juxinhe Network Technology<\/strong>, societ\u00e0 cinese di tecnologia informatica identificata come uno dei contractor privati che operano a supporto delle attivit\u00e0 di Salt Typhoon. Secondo le valutazioni dell’FBI, l’ambito operativo di Salt Typhoon abbraccia oltre 200 organizzazioni a livello globale<\/strong>, collocandolo tra le campagne di spionaggio informatico statale pi\u00f9 estese mai documentate. I bersagli selezionati seguono un criterio preciso: operatori di telecomunicazioni con accesso a sistemi di intercettazione legale, reti governative di livello strategico, infrastrutture satellitari e fornitori IT con accessi privilegiati su clienti multipli.<\/p>\n\n\n\n

Le caratteristiche operative del gruppo lo distinguono nettamente dagli attori motivati finanziariamente. Salt Typhoon non utilizza ransomware, non estorce le vittime, non pubblica dati sui siti di leak. Il silenzio \u00e8 la sua tattica principale: una volta ottenuto l’accesso, l’obiettivo \u00e8 permanere il pi\u00f9 a lungo possibile, mappando la rete, raccogliendo credenziali e esfiltando informazioni ad alto valore strategico. Questa metodologia \u00e8 coerente con la priorit\u00e0 dell’intelligence di Pechino di raccogliere dati su capacit\u00e0 economiche, politiche e militari dei Paesi avversari.<\/p>\n\n\n\n

Pierluigi Paganini, esperto di sicurezza e fondatore di Security Affairs, ha descritto la progressione delle operazioni di Salt Typhoon come “un’escalation sistematica verso le infrastrutture europee che segue esattamente il playbook gi\u00e0 testato contro i grandi operatori americani, adattato alle specificit\u00e0 del perimetro digitale europeo dove la frammentazione tra fornitore e committente pubblico crea zone grigie di responsabilit\u00e0”. I servizi di intelligence di Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda hanno emesso avvisi congiunti sulle attivit\u00e0 del gruppo nel corso del 2024 e 2025.<\/p>\n\n\n\n

Tecniche di Attacco: Citrix, Cisco e Vulnerabilit\u00e0 Zero-Day<\/h2>\n\n\n\n

Salt Typhoon non si affida a tecniche di ingegneria sociale o campagne phishing di massa. Il gruppo preferisce sfruttare vulnerabilit\u00e0 zero-day e criticit\u00e0 note<\/strong> in prodotti ampiamente distribuiti nelle infrastrutture enterprise e governative. Due piattaforme hanno attirato l’attenzione dei ricercatori come vettori preferenziali: Citrix NetScaler Gateway<\/strong> e i dispositivi di rete Cisco<\/strong>.<\/p>\n\n\n\n

I ricercatori di Darktrace hanno documentato, a luglio 2025, come Salt Typhoon abbia sfruttato vulnerabilit\u00e0 in Citrix NetScaler Gateway per violare un operatore di telecomunicazioni europeo, ottenendo accesso alle reti dorsali e ai relay di dati. La stessa tecnica, adattata ai sistemi Cisco, \u00e8 stata impiegata in campagne parallele contro reti governative nei Paesi Bassi e in Nord America. Nel caso di Sistemi Informativi, le specifiche tecniche dell’intrusione non sono state divulgate pubblicamente da IBM; fonti di intelligence hanno indicato l’uso di vulnerabilit\u00e0 nella catena di approvvigionamento e possibili zero-day.<\/p>\n\n\n\n

Il pattern procedurale documentato dalla comunit\u00e0 di sicurezza prevede tipicamente: accesso iniziale tramite exploit di una vulnerabilit\u00e0 nel perimetro esterno, movimento laterale verso sistemi con accesso privilegiato, installazione di backdoor persistenti, raccolta di credenziali di servizio e successiva esfiltrazione di dati verso infrastrutture di comando e controllo (C2) localizzate in giurisdizioni difficili da raggiungere per le autorit\u00e0 occidentali. La fase di esfiltrazione viene spesso condotta con volumi ridotti di traffico, progettati per confondersi con il traffico legittimo e non attivare i sistemi di rilevamento delle anomalie.<\/p>\n\n\n\n

I dati del 2026 Unit 42 Global Incident Response Report<\/strong> di Palo Alto Networks, che ha analizzato oltre 750 grandi incidenti cyber<\/strong> nel 2025 in pi\u00f9 di 50 Paesi, confermano questa tendenza: l’87% degli incidenti<\/strong> ha interessato attivit\u00e0 su due o pi\u00f9 superfici di attacco, e il tempo medio di esfiltrazione per il quartile pi\u00f9 rapido \u00e8 sceso a soli 72 minuti<\/strong> nel 2025, rispetto ai 285 minuti del 2024. La quota di incidenti con esfiltrazione in meno di un’ora \u00e8 salita dal 19% nel 2024 al 22% nel 2025.<\/p>\n\n\n\n

Principali Operazioni di Salt Typhoon in Europa e nel Mondo (2024-2026)<\/h2>\n\n\n\n
Bersaglio<\/th>Paese<\/th>Periodo<\/th>Vettore<\/th>Obiettivo<\/th>Stato Attribuzione<\/th><\/tr><\/thead>
AT&T, Verizon e altri operatori telecom<\/td>USA<\/td>2024<\/td>Exploit Cisco<\/td>Sistemi intercettazione legale<\/td>Confermato (Five Eyes)<\/td><\/tr>
Operatori telecomunicazioni<\/td>Canada<\/td>2024-2025<\/td>Exploit Cisco\/Citrix<\/td>Dati utenti, intercettazioni<\/td>Confermato<\/td><\/tr>
Reti governative<\/td>Paesi Bassi<\/td>2024<\/td>Vulnerabilit\u00e0 supply chain<\/td>Comunicazioni diplomatiche<\/td>Confermato<\/td><\/tr>
US Army National Guard<\/td>USA<\/td>2024<\/td>Non divulgato<\/td>Dati personale militare<\/td>Confermato<\/td><\/tr>
Viasat (infrastruttura satellite)<\/td>Europa\/USA<\/td>2024<\/td>Zero-day<\/td>Comunicazioni satellitari<\/td>Confermato<\/td><\/tr>
Operatore telecom europeo (Darktrace)<\/td>Europa (N\/D)<\/td>Luglio 2025<\/td>Citrix NetScaler Gateway<\/td>Reti dorsali, relay dati<\/td>Confermato<\/td><\/tr>
Sistemi Informativi (IBM Italia)<\/td>Italia<\/td>Aprile 2026<\/td>Supply chain \/ zero-day (non confermato)<\/td>Infrastruttura pubblica italiana<\/td>Attribuito (non ufficiale)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Nessun Riscatto, Solo Spionaggio: Perch\u00e9 \u00e8 Pi\u00f9 Pericoloso di un Ransomware<\/h2>\n\n\n\n

La distinzione tra un attacco ransomware e un’operazione di cyber espionage come quella attribuita a Salt Typhoon non \u00e8 solo tecnica: \u00e8 strategica e, per molti versi, determina la difficolt\u00e0 di risposta. Un attacco ransomware \u00e8 immediatamente visibile: i sistemi si bloccano, i file vengono cifrati, arriva la richiesta di pagamento. Il danno \u00e8 immediato ma delimitato. L’organizzazione sa di essere stata colpita e pu\u00f2 avviare il ripristino.<\/p>\n\n\n\n

Un’operazione di spionaggio silenzioso funziona diversamente. L’aggressore non vuole che la vittima sappia di essere stata compromessa: ogni giorno di permanenza non rilevata \u00e8 un giorno di accesso a dati aggiuntivi, conversazioni monitorate, credenziali raccolte. Il danno si accumula nel tempo e si manifesta in modo indiretto, attraverso l’uso delle informazioni sottratte in operazioni di influenza, negoziati diplomatici avvantaggiati o operazioni di controspionaggio che vanno a vantaggio di Pechino.<\/p>\n\n\n\n

Nel caso di Sistemi Informativi, due settimane di accesso silenzioso a sistemi che gestiscono i dati previdenziali di decine di milioni di italiani, i dati sugli infortuni sul lavoro di milioni di lavoratori, e le reti di operatori di telecomunicazioni e del settore energetico, rappresentano una finestra di esposizione dalla portata difficilmente quantificabile. Non si sa cosa sia stato esfiltrato, n\u00e9 se siano stati installati meccanismi di accesso persistente che sopravvivono al contenimento dichiarato da IBM.<\/p>\n\n\n\n

Il rapporto 2026 di CrowdStrike Global Threat Report<\/a> documenta come il tempo medio di “breakout” degli attori di eCrime, ovvero il tempo necessario per muoversi dal punto di accesso iniziale al resto della rete, sia sceso a soli 29 minuti<\/strong> nel 2025, con una riduzione del 65% rispetto all’anno precedente. Per gli attori statali come Salt Typhoon, che operano con risorse superiori e pianificazione a lungo termine, la velocit\u00e0 di movimento laterale pu\u00f2 essere ancora pi\u00f9 elevata, ma \u00e8 compensata dalla scelta deliberata di muoversi lentamente per non generare anomalie rilevabili.<\/p>\n\n\n\n

I Dati a Rischio: INPS, INAIL e Infrastruttura Critica Nazionale<\/h2>\n\n\n\n

Per valutare cosa potrebbe essere stato esposto nell’incidente, \u00e8 necessario considerare la natura dei servizi erogati da Sistemi Informativi ai suoi clienti istituzionali. INPS<\/strong> gestisce le posizioni previdenziali di oltre 38 milioni di contribuenti italiani: dati sui redditi, informazioni su NASpI, assegni familiari, pensioni di invalidit\u00e0 e centinaia di altri benefici. Un accesso non autorizzato a questi sistemi consentirebbe di raccogliere un profilo economico e demografico estremamente dettagliato dell’intera popolazione lavorativa italiana, con evidenti implicazioni per operazioni di intelligence straniera.<\/p>\n\n\n\n

INAIL<\/strong> custodisce dati sugli infortuni sul lavoro, le malattie professionali, i settori industriali con maggiore rischio operativo e le aziende con storico di incidenti. Dal punto di vista dello spionaggio industriale e strategico, queste informazioni consentono di mappare le vulnerabilit\u00e0 produttive del sistema economico italiano e identificare i settori con le maggiori concentrazioni di personale qualificato. I dati su finanza, telecomunicazioni ed energia, gestiti da Sistemi Informativi per clienti privati, aggiungono un ulteriore livello di esposizione su infrastrutture classificate come critiche dalla normativa europea.<\/p>\n\n\n\n

La preoccupazione non riguarda solo i dati dei cittadini singoli. Un aggressore con accesso prolungato a un integratore di sistemi pu\u00f2 raccogliere informazioni sulle architetture di rete dei clienti, le credenziali di accesso ai sistemi, i protocolli di comunicazione sicura e i punti di vulnerabilit\u00e0 da sfruttare in operazioni future. In questa prospettiva, l’incidente a Sistemi Informativi potrebbe rappresentare non solo una violazione consumata, ma anche la preparazione del terreno per operazioni pi\u00f9 ampie contro la PA italiana.<\/p>\n\n\n\n

La Risposta di IBM e le Lacune nella Trasparenza<\/h2>\n\n\n\n

IBM ha gestito la comunicazione pubblica con estrema parsimonia. La dichiarazione ufficiale ha confermato l’incidente, ha assicurato che i sistemi sono stati stabilizzati e i servizi ripristinati, e ha indicato l’attivazione di protocolli di risposta con specialisti interni ed esterni. Nessun dettaglio sulla portata della violazione, nessuna indicazione sui dati eventualmente acceduti, nessun aggiornamento sull’identit\u00e0 degli aggressori oltre alle voci di intelligence non confermate.<\/p>\n\n\n\n

Questo approccio \u00e8 comprensibile dal punto di vista legale e tattico: divulgare informazioni dettagliate su un’intrusione in corso o recente pu\u00f2 compromettere le indagini, avvisare gli aggressori e amplificare il danno reputazionale. Tuttavia, crea un problema significativo per le istituzioni clienti e per i cittadini i cui dati sono potenzialmente esposti. Il CSIRT nazionale italiano, gestito dall’ACN (Agenzia per la Cybersicurezza Nazionale), non ha rilasciato dichiarazioni pubbliche specifiche verificabili sull’incidente nei giorni successivi alla notizia.<\/p>\n\n\n\n

La Direttiva NIS2 e il suo recepimento italiano pongono obblighi precisi: i soggetti essenziali devono notificare gli incidenti significativi entro 24 ore<\/strong> per la notifica preliminare e fornire un rapporto finale entro un mese<\/strong>. La qualificazione di Sistemi Informativi come soggetto rientrante nell’ambito NIS2, e quindi soggetto a questi obblighi, dipende dalla classificazione delle sue attivit\u00e0 e dal fatto che i suoi clienti rientrino nelle categorie di soggetti essenziali o importanti definite dalla direttiva. Il caso ha messo in luce come la catena di notifica tra fornitore IT e committente pubblico richieda chiarimenti normativi urgenti.<\/p>\n\n\n\n

L’Escalation dello Spionaggio Cinese in Europa: un Pattern in Crescita<\/h2>\n\n\n\n

L’attacco a Sistemi Informativi non \u00e8 un episodio isolato, ma si inserisce in un pattern documentato e in crescita di operazioni di cyber spionaggio cinese contro infrastrutture europee. I ricercatori di SecurityAffairs hanno ricostruito come Salt Typhoon abbia sistematicamente preso di mira operatori di telecomunicazioni europei nel corso del 2024 e 2025, sfruttando vulnerabilit\u00e0 in dispositivi Citrix e Cisco per stabilire accessi persistenti alle reti dorsali.<\/p>\n\n\n\n

La compromissione di operatori telecom \u00e8 particolarmente rilevante perch\u00e9 consente di accedere ai sistemi di intercettazione legale (Lawful Interception)<\/strong>, infrastrutture che le autorit\u00e0 giudiziarie usano per monitorare le comunicazioni nell’ambito di indagini penali. Se gli aggressori accedono a questi sistemi, ottengono la capacit\u00e0 di sorvegliare le stesse sorveglianze, con implicazioni gravi per indagini sensibili e sicurezza nazionale. \u00c8 esattamente questo il pattern documentato nei confronti degli operatori telecom statunitensi nel 2024.<\/p>\n\n\n\n

Il 24 marzo 2026<\/strong>, la stessa Commissione Europea ha dichiarato di essere stata bersaglio di un cyberattacco che ha impattato la propria infrastruttura cloud, compresa la piattaforma Europa. L’incidente, documentato dal CSIS (Center for Strategic and International Studies), ha colpito una delle istituzioni pi\u00f9 sensibili dell’Unione, rivelando che nessuna organizzazione, indipendentemente dal livello di protezione dichiarato, \u00e8 immune da operazioni di aggressori statali determinati. L’attribuzione di quell’attacco non \u00e8 stata resa pubblica.<\/p>\n\n\n\n

Secondo gli analisti di eBuildSecurity<\/a>, il modus operandi di Salt Typhoon in Europa segue un modello preciso: “Prima un fornitore di tecnologia con accesso privilegiato viene compromesso, poi quella posizione viene usata per mappare le reti, osservare le comunicazioni e raccogliere informazioni sensibili per mesi”. Questo schema, replicato in Nord America contro operatori telecom e satellitari, sta ora trovando applicazione sistematica nel tessuto IT europeo, dove la frammentazione tra committente pubblico e fornitore privato crea opportunit\u00e0 di accesso difficili da presidiare.<\/p>\n\n\n\n

NIS2 e la Sicurezza della Catena di Fornitura: il Punto Critico Ignorato<\/h2>\n\n\n\n

L’incidente a Sistemi Informativi mette in luce quella che gli esperti identificano come la frontiera pi\u00f9 difficile della cybersecurity moderna: la sicurezza della catena di fornitura tecnologica<\/strong>. Una pubblica amministrazione pu\u00f2 investire milioni di euro nella propria protezione informatica, implementare i controlli pi\u00f9 avanzati, formare il personale e adottare le best practice internazionali. Ma se un fornitore tecnologico con accesso privilegiato ai propri sistemi viene compromesso, tutte queste difese rischiano di essere aggirate attraverso connessioni legittime gi\u00e0 autorizzate.<\/p>\n\n\n\n

La Direttiva NIS2 ha affrontato esplicitamente questo problema. L’Articolo 21 impone ai soggetti essenziali e importanti di adottare misure per la gestione dei rischi di cybersecurity, inclusi quelli relativi alla sicurezza della catena di approvvigionamento<\/strong>. Le organizzazioni devono valutare il livello di sicurezza dei propri fornitori diretti e, ove applicabile, dell’intera catena. In Italia, il D.Lgs. 138\/2024 di recepimento della NIS2 ha identificato oltre 12.000 soggetti essenziali e importanti<\/strong> che dovranno conformarsi a questi obblighi.<\/p>\n\n\n\n

Il 20 gennaio 2026, la Commissione Europea ha proposto un nuovo pacchetto di cybersecurity che amplia l’ambito della NIS2 includendo esplicitamente gli operatori di infrastrutture sottomarine, i fornitori di portafogli digitali e le infrastrutture a doppio uso. La proposta riflette la consapevolezza che i confini tra infrastrutture critiche e fornitori tecnologici si stanno dissolvendo, rendendo necessario estendere gli obblighi di sicurezza a un perimetro pi\u00f9 ampio. Sul fronte pratico, la sicurezza della catena di fornitura richiede l’implementazione di Privileged Access Management (PAM), segmentazione delle reti, audit regolari dei diritti di accesso concessi ai fornitori e procedure di risposta agli incidenti che includano esplicitamente scenari di compromissione di terze parti.<\/p>\n\n\n\n

Confronto tra Attacchi APT su Infrastrutture IT Europee: 2025-2026<\/h2>\n\n\n\n
Incidente<\/th>Paese<\/th>Data<\/th>Attore APT<\/th>Settore<\/th>Vettore<\/th>Impatto Confermato<\/th><\/tr><\/thead>
Operatore Telecom (Darktrace)<\/td>Europa (N\/D)<\/td>Luglio 2025<\/td>Salt Typhoon (Cina)<\/td>Telecomunicazioni<\/td>Citrix NetScaler<\/td>Accesso rete dorsale<\/td><\/tr>
Governo Paesi Bassi<\/td>Paesi Bassi<\/td>2024<\/td>Salt Typhoon (Cina)<\/td>Governo<\/td>Supply chain<\/td>Comunicazioni diplomatiche<\/td><\/tr>
Viasat Europa<\/td>Europa<\/td>2024<\/td>Salt Typhoon (Cina)<\/td>Satellite\/Telecom<\/td>Zero-day<\/td>Interruzione comunicazioni<\/td><\/tr>
Commissione Europea<\/td>UE<\/td>Marzo 2026<\/td>Non attribuito<\/td>Governo UE<\/td>Non divulgato<\/td>Cloud infrastruttura, piattaforma Europa<\/td><\/tr>
Infrastrutture ICS acqua\/energia<\/td>6 Paesi UE<\/td>2025-2026<\/td>APT russi (Sandworm, GRU)<\/td>Energia\/Acque<\/td>Exploit ICS\/SCADA<\/td>+50% attacchi sistemi di controllo industriale<\/td><\/tr>
Sistemi Informativi (IBM Italia)<\/td>Italia<\/td>Aprile 2026<\/td>Salt Typhoon (attribuito, non ufficiale)<\/td>IT Pubblica Amm.<\/td>Supply chain \/ zero-day<\/td>2 settimane accesso silenzioso, portata sconosciuta<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Analisi di Mercato: Impatto sulle Aziende IT che Servono la PA Italiana<\/h2>\n\n\n\n

L’incidente ha implicazioni di mercato che vanno ben oltre il caso singolo. Le aziende che forniscono servizi IT alla pubblica amministrazione italiana e europea si trovano ora in un contesto in cui la propria posizione come “fornitore di fiducia” \u00e8 soggetta a scrutinio pi\u00f9 intenso. I committenti pubblici, a partire dalle istituzioni nazionali fino agli enti locali, sono chiamati a rivalutare i requisiti di sicurezza nei contratti con i fornitori tecnologici.<\/p>\n\n\n\n

Secondo i dati della Mimecast State of Human Risk 2026<\/strong>, il costo medio stimato per incidente legato a fornitori o insider \u00e8 di 13,1 milioni di dollari<\/strong>, con le organizzazioni che affrontano in media sei incidenti di questo tipo al mese per un’esposizione annua stimata di 943,2 milioni di dollari. Il costo medio globale di una violazione dei dati nel 2026<\/strong> ha raggiunto i 4,88 milioni di dollari<\/strong>, con i costi nei mercati europei che tendono a includere le sanzioni GDPR, potenzialmente molto superiori per i soggetti classificati come essenziali ai sensi della NIS2.<\/p>\n\n\n\n

Per il settore degli integratori IT che operano con la pubblica amministrazione italiana, l’incidente accelera tendenze gi\u00e0 in atto: maggiore attenzione alla certificazione di sicurezza dei fornitori, crescente richiesta di audit indipendenti, e pressione normativa verso l’adozione di standard come ISO\/IEC 27001 e i framework specifici per i soggetti che operano con infrastrutture critiche. Il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito in Italia con il D.L. 105\/2019, prevede gi\u00e0 requisiti stringenti per i soggetti che operano con sistemi di interesse nazionale: il caso Sistemi Informativi solleva interrogativi sull’effettiva implementazione di questi controlli nel segmento dei fornitori IT.<\/p>\n\n\n\n

L’Attribuzione Controversa: Salt Typhoon o un Altro Attore Statale?<\/h2>\n\n\n\n

Uno degli elementi pi\u00f9 importanti del caso Sistemi Informativi \u00e8 la natura non definitiva dell’attribuzione. Pi\u00f9 fonti di intelligence citate da La Repubblica<\/em> hanno indicato Salt Typhoon come il probabile responsabile, ma aggiornamenti del 5 maggio 2026 hanno suggerito che la prima attribuzione potrebbe essere errata<\/strong>. L’analisi degli indicatori tecnici disponibili ha mostrato che l’incidente sembra aver coinvolto solo Sistemi Informativi, senza compromissione confermata dei sistemi della pubblica amministrazione clienti, e che l’assenza di attivit\u00e0 estorsive rende improbabile il coinvolgimento di attori motivati finanziariamente.<\/p>\n\n\n\n

Questo non esclude automaticamente Salt Typhoon come responsabile: esclude per\u00f2 un’attribuzione affrettata basata su elementi circostanziali. Gli esperti di cybersecurity ricordano che attribuzioni errate hanno conseguenze reali: possono influenzare le risposte diplomatiche, distogliere risorse investigative dal vero responsabile e creare tensioni geopolitiche non giustificate dai fatti. Nel contesto di un’operazione che non ha lasciato il proprio “biglietto da visita” sotto forma di ransomware o rivendicazioni pubbliche, l’attribuzione richiede analisi tecnica approfondita degli indicatori di compromissione (IoC), dei pattern di movimento laterale e dell’infrastruttura C2.<\/p>\n\n\n\n

Ci\u00f2 che rimane certo \u00e8 che, indipendentemente dall’identit\u00e0 specifica dell’aggressore, l’incidente rispecchia i pattern operativi tipici degli attori statali con obiettivi di spionaggio a lungo termine. Il profilo complessivo, accesso attraverso un fornitore IT, permanenza silenziosa di due settimane, assenza di distruzione o estorsione, si allinea con le tattiche documentate non solo di Salt Typhoon ma anche di altri gruppi APT con sponsorship statale attivi in Europa.<\/p>\n\n\n\n

5 Previsioni per il 2026-2027<\/h2>\n\n\n\n

1. Aumento degli attacchi supply chain contro la PA italiana e europea nel secondo semestre 2026.<\/strong> Il caso Sistemi Informativi non sar\u00e0 l’ultimo del suo genere. Gli attori statali hanno dimostrato che colpire i fornitori tecnologici della pubblica amministrazione \u00e8 pi\u00f9 efficiente di attaccare direttamente le istituzioni. Nei prossimi 18 mesi, ci aspettiamo almeno altri 3-5 incidenti di profilo analogo in Europa, con bersagli selezionati tra gli integratori IT dei settori sanitario, previdenziale ed energetico.<\/p>\n\n\n\n

2. La NIS2 italiana porter\u00e0 alle prime sanzioni significative entro fine 2026.<\/strong> L’ACN intensificher\u00e0 i controlli sui fornitori di servizi IT alle istituzioni pubbliche, introducendo requisiti di certificazione obbligatori e audit periodici sulla sicurezza della catena di fornitura. La mancata implementazione dei controlli previsti espone i soggetti essenziali a sanzioni fino al 2% del fatturato mondiale annuo, e le prime decisioni sanzionatorie avranno un effetto deterrente importante sul mercato degli integratori IT.<\/p>\n\n\n\n

3. La Cina intensificher\u00e0 le operazioni di spionaggio informatico in Europa nel contesto delle tensioni sui dazi e sulle tecnologie critiche.<\/strong> Con le tensioni commerciali e tecnologiche tra Cina e Occidente in escalation, le operazioni di intelligence informatica cinese in Europa aumenteranno sia in frequenza che in sofisticazione. I settori aerospaziale, della difesa, delle telecomunicazioni 5G\/6G e della ricerca avanzata saranno i bersagli prioritari per il biennio 2026-2027.<\/p>\n\n\n\n

4. L’Italia implementer\u00e0 un sistema di monitoraggio continuo obbligatorio per i fornitori IT della PA.<\/strong> Sulla scia dell’incidente, ACN svilupper\u00e0 o rafforzer\u00e0 strumenti di monitoraggio della postura di sicurezza dei fornitori classificati come strategici, probabilmente integrandoli con il sistema di allerta precoce del CSIRT nazionale. Questo richieder\u00e0 investimenti significativi, con il budget destinato alla cybersecurity governativa italiana destinato a crescere di almeno il 20% nel biennio 2026-2027.<\/p>\n\n\n\n

5. L’AI diventer\u00e0 lo strumento chiave sia per gli attacchi alla supply chain che per la loro rilevazione.<\/strong> Gli attori APT integreranno capacit\u00e0 di intelligenza artificiale per automatizzare la ricognizione nei sistemi dei fornitori, identificare credenziali di accesso privilegiate e pianificare movimenti laterali ottimali. Sul versante difensivo, le soluzioni di monitoraggio comportamentale basate su AI diventeranno standard per i fornitori IT che operano con infrastrutture critiche, con il mercato della sicurezza AI che punta a superare i 60 miliardi di dollari entro la fine del 2026.<\/p>\n\n\n\n

Copertura Correlata<\/h2>\n\n\n\n

Per approfondire il contesto degli attacchi statali alle infrastrutture europee e il quadro normativo italiano:<\/p>\n\n\n\n