Gli hacker cinesi spiano le infrastrutture italiane, e il problema è (anche) politico

Per circa quindici giorni alcuni hacker hanno spiato dentro Sistemi Informativi, la società di Ibm che in Italia gestisce infrastrutture digitali per la Pubblica amministrazione e per alcune grandi aziende nel settore energetico e delle telecomunicazioni. La notizia, anticipata da Repubblica l’altro ieri, è un’eccezione nel panorama della cybersicurezza italiana. Da un lato perché il livello del bersaglio è preciso e molto integrato con l’infrastruttura strategica dell’Italia, ma anche perché a differenza di molti attacchi informatici subiti dal nostro paese, questa volta è stato fatto trapelare sia l’incidente sia il possibile responsabile, e cioè il gruppo Salt Typhoon, legato secondo numerosi rapporti occidentali allo spionaggio di stato cinese. Ieri il ministro della Pubblica amministrazione, Paolo Zangrillo, ha detto ieri che l’attacco è stato “identificato e contenuto”. Ma non è un caso, forse, che venga fuori a pochi giorni dalla velocissima estradizione dall’Italia verso gli Stati Uniti di Xu Zewei. 

L’informatico cinese arrestato a Malpensa nel luglio del 2025 su richiesta dell’Fbi è accusato di essere parte di uno dei gruppi informatici sponsorizzati da Pechino per rubare informazioni sensibili negli Stati Uniti. Dopo il via libera della Cassazione, il 25 aprile scorso Xu è stato consegnato alle autorità americane, e si trova ora in Texas in attesa di processo. Kash Patel, il direttore dell’Fbi, ha ringraziato pubblicamente l’Italia la scorsa settimana su X. Non è un caso: Xu è il primo presunto hacker cinese a essere processato in America dopo il gigantesco attacco informatico scoperto nel 2024, quando il gruppo noto come Salt Typhoon è stato associato a una delle più vaste operazioni mai registrate negli Stati Uniti, quando l’intelligence informatica legata a Pechino era riuscita a penetrare per un periodo prolungato nei sistemi di grandi operatori delle telecomunicazioni americane, ottenendo la possibilità di intercettare comunicazioni sensibili, anche governative. Gruppi precedenti a Salt Typhoon legati alla leadership cinese come Volt Typhoon, Ghost Emperor e Silk Typhoon hanno tutti lo stesso obiettivo: attacchi mirati, lunga permanenza nei sistemi e per studiare le vulnerabilità e usarle quando serve, per fare spionaggio o azioni di sabotaggio. Questo genere di attacchi informatici non ha nulla a che vedere con i gruppi criminali informatici che chiedono un riscatto economico per riottenere l’accesso al proprio sistema, oppure con i cosiddetti hacktivisti, che fanno azioni dimostrative per motivi politici.

Da anni ormai la comunità internazionale considera la Repubblica popolare cinese sempre più apertamente come una potenza cyber ostile, al pari della Russia e dell’Iran ma con più capacità e più risorse. Per un lungo periodo di tempo però l’Italia ha evitato di attribuire pubblicamente gli attacchi informatici, mantenendo una linea prudente e quasi sempre tecnica anche dopo la creazione dell’Agenzia per la Cybersicurezza nazionale nel 2021. Solo con l’invasione su larga scala dell’Ucraina il governo italiano ha iniziato ad allinearsi alle attribuzioni collettive di Nato e Unione europea: nell’ultima relazione al Parlamento, l’intelligence italiana ha richiamato un report congiunto dell’agosto 2025 in cui per la prima volta anche l’Italia, assieme agli alleati, attribuisce pubblicamente alla Cina le attività del gruppo Salt Typhoon.

Per ora non ci sono molti dettagli sul recente attacco dalle aziende legate alla Sistemi Informativi italiana: tutte le fonti contattate dal Foglio preferiscono non commentare. L’Agenzia per la cybersicurezza raccoglie i dati degli incidenti alle aziende private e alle infrastrutture statali ma poi fatica a elaborare strategie unitarie frammentate fra i vari ministeri – in primis ministero degli Esteri per l’attribuzione e i messaggi politico-diplomatici, e il ministero della Difesa – e la presidenza del Consiglio, le cui deleghe alla cybersicurezza sono affidate al sottosegretario Alfredo Mantovano. Secondo i dati raccolti dallo European Repository of Cyber Incidents (EuRepoC), tra il 2000 e il 2026 l’Italia avrebbe subìto dalla Cina solo sette attacchi informatici, tra cui quello più famoso del 2024 attribuito a Salt Typhoon perché alcuni politici italiani erano stati “ascoltati” dagli hacker cinesi. Ma gli attacchi sono molti di più, a partire da quello emerso contro il ministero dell’Interno a metà febbraio contro gli agenti della Digos. Un certo tipo di spionaggio informatico è un problema politico, prima che tecnico, che andrebbe affrontato contestualmente alla riapertura di canali diplomatici e commerciali con Pechino.