Attacco informatico a Sistemi Informativi: IBM nega il collegamento con Salt Typhoon

Un'intrusione informatica durata circa due settimane è stata individuata nei sistemi di Sistemi Informativi, la società romana controllata al 100% da IBM che gestisce parte dell'infrastruttura tecnologica della Pubblica Amministrazione italiana, oltre ai sistemi di banche, assicurazioni e grandi aziende private. La notizia è stata anticipata da Repubblica il 3 maggio 2026 e confermata da un comunicato ufficiale di IBM nella stessa serata. Tuttavia, il comunicato contiene un elemento che contraddice le prime ricostruzioni: IBM dichiara esplicitamente che, sulla base delle indagini ancora in corso, non ritiene possibile attribuire l'attacco al gruppo Salt Typhoon, il noto gruppo di cyberspionaggio collegato agli apparati statali cinesi.

Chi è coinvolto

Sistemi Informativi è una società romana del gruppo IBM Italia che progetta e gestisce infrastrutture critiche per il settore pubblico italiano. Il suo perimetro di responsabilità include i sistemi della Pubblica Amministrazione, oltre a quelli di banche, gruppi assicurativi, aziende energetiche e operatori di telecomunicazioni. La società rappresenta dunque un nodo strategico della supply chain digitale nazionale.

Salt Typhoon è un gruppo di Advanced Persistent Threat (APT) ricondotto dalla intelligence occidentale agli apparati di sicurezza della Repubblica Popolare Cinese. Negli ultimi anni ha colpito obiettivi in Europa e Nord America, inclusi operatori di telecomunicazioni, enti governativi olandesi e agenzie statunitensi. L'FBI ha stimato che il gruppo abbia compromesso almeno 200 organizzazioni distribuite in 80 paesi.

Cosa è successo

Secondo le ricostruzioni della stampa nazionale, gli attaccanti hanno mantenuto l'accesso ai sistemi di Sistemi Informativi per circa due settimane prima di essere rilevati. L'intrusione è stata scoperta solo nelle ultime ore di maggio e ha attivato immediatamente i protocolli di incident response, con il coinvolgimento di esperti di cybersecurity interni ed esterni, incluso un team dell'Agenzia per la Cybersicurezza Nazionale (ACN).

Il comunicato ufficiale di IBM chiarisce alcuni punti cruciali:

• Nessun ransomware: non è stato installato alcun malware con cifratura dei file o blocco dei sistemi, e non è stata avanzata alcuna richiesta di riscatto o estorsione.
• Contenimento confermato: l'intrusione è rimasta confinata nei sistemi di Sistemi Informativi e non ha interessato le infrastrutture informatiche dei clienti.
• Servizi ripristinati: i sistemi sono stati stabilizzati e i servizi interessati sono stati ripristinati, anche se il sito ufficiale di Sistemi Informativi è rimasto offline per alcune ore durante le operazioni.
• Nessun compromesso di dati clienti: l'indagine non ha identificato alcuna compromissione di dati o sistemi dei clienti del settore pubblico.

Sulla questione dell'attribuzione, IBM ha rilasciato una dichiarazione formale: "Sulla base della nostra indagine ad oggi, non riteniamo che questa attività sia attribuibile a Salt Typhoon. Coerentemente con le migliori pratiche del settore, non attribuiamo l'attività a un gruppo specifico, riconoscendo che l'attribuzione formale richiede standard probatori e fonti di intelligence che vanno oltre la sola analisi forense tecnica." Tuttavia, l'azienda ha aggiunto che, a seguito di consultazioni con esperti e partner di cybersecurity interni ed esterni, valuta che l'attività osservata sia coerente con comportamenti sofisticati di spionaggio informatico.

Perché è importante

L'incidente rappresenta il primo banco di prova rilevante a livello nazionale per le nuove regole sulla cybersecurity in Italia. Gli obblighi di notifica introdotti dalla direttiva NIS2 e recepiti nel decreto legislativo 138/2024 sono pienamente operativi dal 1° gennaio 2026, e questo caso mette alla prova sia i processi di incident response di Sistemi Informativi che il coordinamento tra ACN, Garante della Privacy e operatori critici.

L'attacco tocca un nervo scoperto della sicurezza nazionale italiana. Pochi mesi prima, un'intrusione ai sistemi del Viminale aveva esposto i dati di circa 5.000 agenti della Digos. Sistemi Informativi gestisce infrastrutture ancora più critiche: qualsiasi compromissione potrebbe potenzialmente interessare servizi essenziali della PA e dei suoi fornitori privati.

La discrepanza tra le prime attribuzioni a Salt Typhoon e la smentita ufficiale di IBM solleva domande sulla qualità dell'intelligence iniziale e sulla cautela necessaria nelle attribuzioni di attacchi informatici. IBM ha scelto di non attribuire formalmente l'attacco a nessun gruppo specifico, una posizione più conservativa rispetto alle ipotesi circolate nei giorni precedenti.

Cosa aspettarsi

Le indagini forensi sono ancora in corso. I punti aperti che richiedono chiarimenti pubblici includono:

• Esfiltrazione di dati: al momento non sono stati comunicati dettagli verificati su eventuali dati sottratti, classi di informazioni compromesse o enti clienti direttamente interessati.
• Vettore di accesso: le modalità con cui gli attaccanti hanno ottenuto l'accesso iniziale rimangono ancora da accertare formalmente.
• Comunicazioni ai clienti: Sistemi Informativi ha informato i suoi clienti delle misure di contenimento, ma dettagli specifici su quali servizi siano stati toccati potrebbero emergere nelle prossime settimane.
• Ruolo di ACN: l'Agenzia per la Cybersicurezza Nazionale continuerà a lavorare sulla ricostruzione dell'origine dell'attacco e dell'estensione del compromesso, con risultati attesi nei prossimi giorni o settimane.

La cautela di IBM nell'attribuzione, pur corretta dal punto di vista metodologico, contrasta con le prime narrazioni pubbliche e sottolinea quanto sia complesso distinguere tra fatti verificati e ipotesi operative in una fase iniziale di indagine. Il caso servirà anche come test per la capacità del sistema italiano di gestire incident response su infrastrutture critiche secondo i nuovi standard normativi.