Attacco hacker cinese alla PA italiana: cosa sappiamo su Sistemi Informativi (IBM) e perché è una minaccia strategica

Un attacco attribuito al gruppo cinese Salt Typhoon ha colpito Sistemi Informativi (IBM), snodo critico dei sistemi della Pubblica Amministrazione italiana. Ecco cosa è emerso finora, perché la PA è un target strategico e quali conseguenze concrete dobbiamo aspettarci.

Cosa è successo: il caso Sistemi Informativi (IBM)

Secondo un’esclusiva di Italian Tech su La Repubblica, Sistemi Informativi, società di IBM che gestisce parte dell’infrastruttura tecnologica della Pubblica Amministrazione e di alcune grandi aziende, è stata violata da un gruppo di cybercriminali ricondotto a Salt Typhoon. Non parliamo di un episodio lampo: l’intrusione sarebbe in atto da giorni, un dettaglio che fa la differenza quando si tratta di spionaggio e movimentazione silenziosa dei dati.

La conferma di IBM e i tempi dell’incidente

IBM, contattata da Italian Tech, ha confermato di aver “identificato e contenuto” un incidente di sicurezza e di essere al lavoro sul monitoraggio e sull’indagine. Tradotto: il perimetro è stato messo in sicurezza, ma le verifiche sono in corso. In questa fase è normale che emergano poche informazioni operative: si misura la portata, si bonificano gli ambienti, si ricostruiscono i movimenti degli hacker.

Perché i dettagli scarseggiano

Al momento non è chiaro se l’accesso sia avvenuto tramite ingegneria sociale (credenziali rubate, tool di accesso remoto installati a tradimento) o sfruttando vulnerabilità software. In entrambi i casi, quando a essere colpita è una società che lavora per la PA, la prudenza nella comunicazione è obbligatoria: si tutela l’indagine, si evitano fughe di informazioni e si limita il rischio di emulazione.

Perché la Pubblica Amministrazione è un bersaglio strategico

La PA è l’obiettivo perfetto per un gruppo specializzato in cyberspionaggio. Non si punta al riscatto veloce, ma alla raccolta di informazioni utili nel medio-lungo periodo. Il valore non sta soltanto nei dati in chiaro, ma anche negli accessi, nelle relazioni e nei “movimenti” tra enti e fornitori.

  • Dati sensibili: anagrafiche, documenti, flussi interni, metadati su processi e decisori.
  • Accesso alla filiera: un fornitore compromesso può aprire varchi verso altri enti e aziende.
  • Vantaggio geopolitico: le informazioni raccolte possono alimentare strategie politiche, economiche e di controinformazione.

Chi è (e come agisce) Salt Typhoon

Salt Typhoon è associato ad attività di cyberspionaggio riconducibili alla Cina. Il modus operandi tipico privilegia l’infiltrazione discreta, l’uso di credenziali legittime, la persistenza nella rete e la raccolta di informazioni più che il blocco dei sistemi. In passato operazioni simili hanno preso di mira telco e provider esteri proprio per intercettare comunicazioni e movimenti su larga scala. Questo profilo rende l’episodio italiano particolarmente delicato.

Rischi concreti per cittadini e aziende

L’impatto non è solo “tecnico”. Se l’intrusione coinvolge un punto nevralgico della PA e dei suoi fornitori, i rischi si distribuiscono a catena. Anche senza un data breach confermato, è fondamentale capire dove stanno le possibili conseguenze.

  • Interruzioni o rallentamenti di servizi pubblici digitali durante le attività di bonifica e messa in sicurezza.
  • Esfiltrazione mirata di informazioni su procedure, contatti, architetture e credenziali di accesso.
  • Movimenti laterali nella supply chain: accessi a sistemi di enti o aziende collegati.
  • Frodi e social engineering più credibili, grazie a dati interni usati per truffe su misura.
  • Perdita di fiducia verso piattaforme pubbliche e danni reputazionali per i soggetti coinvolti.

Cosa fare adesso: priorità chiare per PA, fornitori e cittadini

Per la PA e i fornitori

  • Controllo degli accessi: MFA ovunque possibile, rotazione e revoca delle credenziali, principio del minimo privilegio.
  • Patching e hardening: aggiornare sistemi e applicazioni critiche, disattivare servizi non indispensabili, segmentare le reti.
  • Rilevazione e risposta: EDR/antimalware di nuova generazione, centralizzazione dei log, regole di detection su attività anomale (accessi fuori orario, esfiltrazioni, escalation di privilegi).
  • Supply chain security: audit straordinari sui fornitori critici, chiavi e token rigenerati, revisione degli accessi tra ambienti.
  • Backup e piani di continuità: copie offline verificate e piani di disaster recovery testati con esercitazioni reali.
  • Comunicazione coordinata: informare tempestivamente gli stakeholder senza compromettere l’indagine.

Per dipendenti e cittadini

  • Allerta phishing: diffidare da email e messaggi che chiedono credenziali o installazioni di “strumenti di supporto”.
  • Autenticazione forte: attivare la 2FA su servizi pubblici e account personali collegati.
  • Igiene delle password: password uniche e robuste, gestore affidabile, cambio immediato se si riceve notifica di possibile compromissione.
  • Aggiornamenti: mantenere sistemi e app sempre aggiornati, anche su dispositivi personali usati per lavoro.
  • Segnalazione: riportare subito tentativi sospetti ai referenti IT o ai canali ufficiali.

Vuoi ricevere ogni mattina la puntata con le fonti? Iscriviti alla newsletter: ilcaffettino.it/newsletter

👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.