Salt Typhoon colpisce Sistemi Informativi di IBM: dati sensibili della PA a rischio

I fatti

• L'attacco è avvenuto negli ultimi giorni di aprile 2025.
• Sistemi Informativi è una società del gruppo IBM che fornisce soluzioni IT a PA, grandi imprese, gruppi finanziari, telecomunicazioni ed energia.
• IBM ha confermato l'incidente e attivato il protocollo di sicurezza, coinvolgendo esperti interni ed esterni.
• I sistemi sono stati stabilizzati e i servizi ripristinati, ma il sito aziendale è ancora irraggiungibile.
• L'attacco è attribuito a Salt Typhoon, gruppo filocinese attivo dal 2019, noto per attacchi APT a telecomunicazioni e infrastrutture critiche.
• Salt Typhoon ha già colpito Citrix, Cisco, Verizon e T-Mobile in una campagna di cyberspionaggio.
• La Casa Bianca ha attribuito a Salt Typhoon l'attacco alle telecomunicazioni USA annunciato nell'ottobre 2024.
• Il ministro Paolo Zangrillo ha dichiarato che tutti gli attori istituzionali stanno definendo l'origine e l'impatto dell'attacco.

Un intrusione nel cuore dell'infrastruttura digitale italiana

Negli ultimi giorni di aprile, una violazione informatica ha colpito Sistemi Informativi, la società del gruppo IBM che gestisce l'infrastruttura tecnologica per la Pubblica amministrazione italiana, grandi imprese, gruppi finanziari, società di telecomunicazioni e dell'energia. IBM ha confermato l'incidente, precisando di aver attivato immediatamente il protocollo di sicurezza di risposta agli incidenti, coinvolgendo i principali esperti di sicurezza informatica interni ed esterni. La società ha dichiarato che i sistemi sono stati stabilizzati e i servizi ripristinati, ma il sito aziendale risulta ancora irraggiungibile.

Il sospetto cade su Salt Typhoon, cybergang filocinese

Mentre le indagini proseguono senza interruzioni, in rete circolano già le prime teorie sui responsabili. L'ipotesi più accreditata attribuisce l'attacco a Salt Typhoon, una cybergang filocinese nota per la capacità di mettere a segno attacchi APT (Advanced Persistent Threat), che permettono ai criminali di rimanere all'interno dei sistemi informatici colpiti per un periodo di tempo prolungato. Attivo dal 2019, il gruppo si è fatto notare negli ultimi anni dopo aver colpito società come Citrix, Cisco, Verizon e T-Mobile, in una più ampia campagna di cyberspionaggio che ha permesso ai criminali cinesi di accedere alle comunicazioni private di politici, funzionari governativi e autorità di sicurezza.

La strategia dello spionaggio silenzioso

In tutti i casi noti, la strategia di Salt Typhoon è stata la stessa: infiltrarsi sfruttando vulnerabilità di sicurezza, rimanere in silenzio e procedere con l'esfiltrazione dei dati. Nessuna rivendicazione o richiesta di denaro, ma un'operazione di spionaggio mirata a carpire informazioni riservate. Secondo Pierguido Iezzi, direttore Cyber e Strategie di Zenita Group, se l'attribuzione fosse confermata, si tratterebbe di un'operazione di cyber-spionaggio inserita in una guerra silenziosa, permanente, a bassa visibilità. L'obiettivo non è solo il furto di dati, ma anche la mappatura dell'architettura operativa dello Stato per poter decidere quando osservare, influenzare, interrompere e colpire.

Il ruolo di Sistemi Informativi e i possibili bersagli

Sistemi Informativi fornisce soluzioni IT a Pubblica amministrazione, grandi imprese italiane, gruppi finanziari, società delle telecomunicazioni e dell'energia. Secondo quanto riportato, tra i clienti figurano Inps e Inail, nonché le più grandi infrastrutture critiche del Paese. Tuttavia, William Nonnis, analista per le tecnologie digitali della presidenza del consiglio dei ministri, minimizza la portata, affermando che i sistemi informatici delle pubbliche amministrazioni centrali sono quasi tutti gestiti da Microsoft, e che Sistemi Informativi svolge un ruolo non centrale, con la gestione di infrastrutture più datate, nel settore finanziario più che nelle PA. Il ministro Paolo Zangrillo ha rassicurato che tutti gli attori istituzionali competenti stanno portando avanti le procedure previste per definire i contorni dell'attacco, tutelare i dati e garantire i servizi.

Le conseguenze per la sicurezza nazionale

L'attacco a uno dei principali fornitori della PA mette in evidenza come le aziende informatiche che collaborano con organizzazioni governative siano diventate bersagli sensibili, al pari delle infrastrutture critiche. Pierluigi Paganini, esperto di cybersecurity, commenta: 'L'attacco a Sistemi Informativi deve preoccupare perché colpisce il cuore dell'infrastruttura digitale italiana, quella che gestisce dati e servizi essenziali per la PA. Se confermata l'attribuzione a Salt Typhoon, l'episodio mostra come la cybersfera sia ormai teatro di conflitti geopolitici dove l'Italia rappresenta un obiettivo strategico e vulnerabile.' La Cina dispone di risorse tecniche, intelligence e apparati industriali capaci di condurre campagne su vasta scala e di lungo periodo, difficili da contrastare o attribuire con certezza.

Il precedente americano e le incognite future

La Casa Bianca ha attribuito a Salt Typhoon il gravissimo attacco informatico contro i colossi delle telecomunicazioni americane, annunciato dalle autorità USA nell'ottobre 2024. Poco dopo l'insediamento nel 2025, il presidente Donald Trump ha smantellato l'organismo che indagava sull'attacco, lasciando incertezza sulla presenza degli spioni nei sistemi statunitensi. In Italia, l'Agenzia nazionale per la cybersecurity (Acn) è al lavoro per bonificare i sistemi, ma per chiudere le falle da dove sono entrati i criminali, i servizi devono essere offline. Non è il primo attacco con l'ombra cinese: a febbraio 2025 era emersa la violazione dei sistemi digitali del ministero degli Interni, con il furto dei dati sensibili di 5.000 agenti Digos. Per arginare il rischio, la Commissione europea ha proposto l'esclusione di tecnologie e componenti cinesi dai servizi essenziali, ma le tecnologie cinesi hanno già conquistato ampie fette di mercato; per la sola PA italiana, tornare indietro costerebbe decine di miliardi.

Un attacco che ridefinisce le priorità della cybersicurezza

L'attacco a Sistemi Informativi rappresenta un campanello d'allarme per l'Italia e per l'Europa. La capacità di Salt Typhoon di infiltrarsi in un fornitore chiave della PA dimostra che nessun sistema è immune, e che lo spionaggio cinese è una minaccia strutturale. La risposta delle autorità italiane, con il coinvolgimento dell'Acn e del ministro Zangrillo, mostra la consapevolezza del problema, ma le misure di bonifica e prevenzione richiederanno tempo e risorse. La domanda che resta aperta è se gli attaccanti siano ancora annidati nei sistemi, e quali dati siano stati effettivamente esfiltrati. In un contesto geopolitico teso, la cybersicurezza non è più solo una questione tecnica, ma una priorità strategica nazionale.

In sintesi

• Salt Typhoon, cybergang filocinese, ha attaccato Sistemi Informativi di IBM, fornitore IT della PA italiana.
• L'attacco è avvenuto a fine aprile 2025; IBM ha stabilizzato i sistemi ma il sito è ancora offline.
• Il gruppo è noto per attacchi APT e ha già colpito Citrix, Cisco, Verizon e T-Mobile.
• Possibili bersagli includono Inps, Inail e infrastrutture critiche, ma l'impatto reale è ancora incerto.
• Il ministro Zangrillo e l'Acn sono al lavoro per definire l'origine e l'impatto dell'attacco.
• L'episodio evidenzia la vulnerabilità dell'Italia a operazioni di cyberspionaggio statale.
• La Commissione europea propone di escludere tecnologie cinesi dai servizi essenziali, ma i costi sono elevati.