Mentre gli italiani discutevano del caldo record di fine aprile e delle ultime partire di campionato, un gruppo di hacker legati allo Stato cinese ha probabilmente passato due settimane a curiosare con comodo nei sistemi di una delle società più intrecciate con la pubblica amministrazione del Paese. Non è fantascienza, è cronaca di queste ore. Il gruppo responsabile, secondo fonti concordanti e report di cybersecurity occidentali, risponde al nome di Salt Typhoon, nome in codice di un’Advanced Persistent Threat (APT) di origine cinese già noto per campagne di spionaggio ad alto livello, soprattutto contro reti di telecomunicazioni americane.
La vittima si chiama Sistemi Informativi, società controllata al 100% da IBM che da decenni gestisce infrastrutture critiche per ministeri, Inps, Inail, sanità digitale, cloud nazionale e diversi progetti del Pnrr. In pratica, uno snodo nevralgico del funzionamento quotidiano della macchina pubblica italiana.
IBM ha confermato l’incidente con il classico linguaggio aziendale: hanno “identificato e contenuto” l’attacco, stanno monitorando e hanno attivato tutti i protocolli. Il sito di Sistemi Informativi è, al momento in cui scriviamo, irraggiungibile per ore, segnale che la bonifica è in corso. Anche l’Agenzia per la Cybersicurezza Nazionale (ACN) è al lavoro, i sistemi sono offline per permettere le verifiche. In pratica stanno cercando di capire quanta acqua è entrata nella barca prima di tapparne le falle. Ciò che rende la vicenda particolarmente gustosa, nel senso amaro del termine, è lo stile degli attaccanti. Salt Typhoon non ha lasciato messaggi, non ha chiesto riscatti, non ha bloccato nulla. Non è il tipico ransomware da criminali da quattro soldi. No, qui l’obiettivo è un altro, entrare, muoversi con discrezione per settimane, copiare tutto quello che si può e poi sparire nel silenzio. Lo scopo, in questo caso, non è distruggere, ma sapere. E sapere tanto.
La cosa preoccupante è la profondità dell’accesso potenziale. L’azienda colpita non è un fornitore qualunque: è dentro contratti strategici per la sicurezza informatica, la trasformazione digitale e la gestione di dati sensibili di milioni di cittadini. Pensare che un attore statale straniero abbia potuto passeggiare tranquillamente per due settimane in questi ambienti fa venire qualche brivido lungo la schiena, anche a chi di cybersecurity parla tutti i giorni.
Pechino, come sempre in questi casi, respinge ogni accusa. Il governo cinese nega sistematicamente qualsiasi legame con i gruppi APT che operano nel suo interesse, una posizione ormai consolidata che rasenta la performance artistica. Nel frattempo Salt Typhoon continua a collezionare trofei in tutto l’Occidente.
Al momento, comunque, non è chiaro quanto sia grave la violazione e quali dati siano effettivamente usciti. Troppo presto, dicono tutti. Eppure l’episodio arriva in un momento in cui l’Europa sta cercando faticosamente di alzare il livello di difesa cibernetica e l’Italia tenta di non restare troppo indietro sul fronte della sovranità tecnologica.
Certo, scoprire che uno dei nodi centrali della PA era esposto non è esattamente la notizia che speravamo di leggere in questa prima domenica di maggio. Resta la solita lezione, amaramente ricorrente: nel mondo cyber del 2026 le porte di servizio sono ancora troppo facili da aprire, soprattutto quando si tratta di infrastrutture che dovrebbero essere blindate. E mentre noi ci perdiamo nelle discussioni su cloud sovrano e giganti tecnologici stranieri, qualcuno dall’altra parte del mondo continua a entrare senza bussare.