Pubblica amministrazione italiana nel mirino: IBM conferma l'attacco hacker cinese a Sistemi Informativi

Nelle ultime ore di aprile 2026, IBM ha confermato un incidente di sicurezza che ha colpito Sistemi Informativi, la società controllata al 100% dal gruppo IBM che gestisce gran parte dell'infrastruttura tecnologica della Pubblica amministrazione italiana. L'attacco, attribuito al gruppo hacker Salt Typhoon con legami all'apparato di sicurezza cinese, rappresenta una delle violazioni più significative mai registrate contro i sistemi critici del Paese. Il sito di Sistemi Informativi è rimasto irraggiungibile per ore, mentre le autorità competenti avviavano le indagini sulla portata effettiva del compromesso.

Chi

Salt Typhoon è un gruppo di hacker classificato come Advanced Persistent Threat (APT) dalla comunità internazionale di cybersecurity. La intelligence occidentale lo riconduce all'apparato di sicurezza della Repubblica Popolare Cinese, sebbene Pechino abbia sempre negato ufficialmente ogni collegamento. Il gruppo è noto per operazioni di spionaggio informatico prolungate nel tempo: preferisce la persistenza silenziosa all'interno dei sistemi piuttosto che attacchi distruttivi o richieste di riscatto. Nel 2024, Salt Typhoon ha già colpito grandi operatori di telecomunicazioni negli Stati Uniti, confermando una strategia focalizzata sull'esfiltrazione progressiva di dati sensibili.

Cosa è successo

Secondo le ricostruzioni della stampa, gli attaccanti hanno mantenuto accesso ai sistemi di Sistemi Informativi per circa due settimane prima di essere rilevati. La scoperta è avvenuta negli ultimi giorni di aprile 2026, quando IBM ha identificato l'intrusione e attivato immediatamente i protocolli di risposta agli incidenti. "Recentemente abbiamo identificato e contenuto un incidente di sicurezza informatica. Continuiamo a monitorare il nostro ambiente mentre indaghiamo la questione", ha dichiarato IBM in una nota ufficiale.

Secondo quanto comunicato dalla società, i sistemi sono stati "stabilizzati" e i servizi interessati "ripristinati", tuttavia il sito ufficiale di Sistemi Informativi è rimasto offline almeno fino al 4 maggio. IBM ha precisato di aver contattato immediatamente le autorità competenti del Paese e coinvolto esperti di sicurezza informatica interni ed esterni per affrontare la situazione.

L'Agenzia per la Cybersicurezza Nazionale (ACN) ha avviato le indagini per ricostruire l'origine dell'attacco, l'estensione del compromesso e identificare quali dati potrebbero essere stati esfiltrati. Il ministro per la Pubblica Amministrazione Paolo Zangrillo ha confermato il coinvolgimento di "tutti gli attori istituzionali competenti" nel coordinamento della risposta secondo le procedure previste dalla normativa vigente.

Perché è importante

Sistemi Informativi non è una società qualsiasi: progetta e gestisce l'infrastruttura tecnologica di una parte significativa della Pubblica amministrazione italiana, operando a livello locale e nazionale. La società è inoltre partner tecnologico di grandi imprese italiane, gruppi finanziari, operatori delle telecomunicazioni e dell'energia. Tra i suoi clienti figurano anche enti critici come INPS e INAIL.

Un accesso prolungato ai sistemi di Sistemi Informativi significa potenzialmente accesso a quantità ingenti di dati sensibili: informazioni sulla PA, dati di cittadini, infrastrutture critiche nazionali. A differenza di attacchi ransomware che si manifestano immediatamente con richieste di riscatto, Salt Typhoon non ha lasciato tracce evidenti di azioni distruttive o auto-celebrative. Questo modus operandi—raccogliere dati silenziosamente senza farsi scoprire—è particolarmente preoccupante perché rende difficile stimare l'effettiva portata del danno.

L'incidente cade in un momento delicato del quadro normativo italiano. Gli obblighi di notifica introdotti dalla direttiva NIS2, recepiti in Italia con il Decreto Legislativo 138/2024 pienamente operativo dal 1° gennaio 2026, rendono questo attacco il primo banco di prova rilevante per la supply chain digitale del Paese. Rappresenta un test concreto per i processi di incident response, il coordinamento tra ACN, Garante e operatori, e la resilienza complessiva delle difese tecniche nazionali.

Cosa aspettarsi

Nei prossimi giorni, l'ACN continuerà a ricostruire la cronologia completa dell'attacco e a identificare quali sistemi e dati siano stati compromessi. IBM dovrà fornire dettagli più precisi su quali informazioni potrebbero essere state esfiltrate e su quali clienti siano stati effettivamente interessati.

Un indicatore importante da osservare sarà la comunicazione ufficiale delle autorità italiane: la NIS2 prevede obblighi specifici di notifica ai soggetti interessati entro tempi definiti. Sarà rilevante verificare se e come verranno comunicate le conseguenze dell'attacco ai cittadini e alle aziende coinvolte.

Sul fronte internazionale, è probabile che il governo italiano presenti formali proteste diplomatiche alla Cina, come già accaduto in altri Paesi colpiti da Salt Typhoon. Anche la comunità di cybersecurity internazionale monitorerà l'evoluzione dell'indagine per comprendere le tecniche utilizzate dagli attaccanti e migliorare le difese contro questo tipo di minacce.

Rimane aperta la domanda più critica: quali dati sono stati effettivamente rubati e come verranno utilizzati? Salt Typhoon non ha una storia di commercializzazione dei dati sul dark web, il che suggerisce che l'obiettivo primario sia lo spionaggio governativo piuttosto che il profitto economico immediato. Questo rende la situazione ancora più delicata dal punto di vista della sicurezza nazionale.