![Valsesia Musica ricorda Ovidio Raiteri - foto da "sei di borgosesia se..."](https://www.valsesianotizie.it/typo3temp/pics/o_ca705036f6.jpg "Valsesia Musica ricorda Ovidio Raiteri - foto da "sei di borgosesia se..."")
C'è un tipo di furto che non fa rumore. Non si sente la serratura scassinata, non si vedono finestre rotte, non manca nulla dalla cassaforte, almeno non subito. Eppure, qualcuno è entrato, ha letto tutto, ha copiato quello che gli serviva e se ne è andato senza lasciare tracce visibili. In gergo si chiama cyber spionaggio, e all'inizio di maggio 2026 l'Italia ne ha vissuto un episodio che fa riflettere.
La vittima è Sistemi Informativi S.r.l., società controllata dal colosso tecnologico IBM, responsabile della gestione dell'infrastruttura digitale di ministeri, enti previdenziali come INPS e INAIL, aziende sanitarie e grandi imprese. Insomma: una delle colonne portanti della nostra macchina statale digitale.
L'attacco c'è stato. IBM lo ha confermato ufficialmente. L'Agenzia per la Cybersicurezza Nazionale (ACN) è intervenuta. Il Ministro per la Pubblica Amministrazione ha parlato in conferenza stampa. I servizi sono stati ripristinati. Ma la domanda che rimane (e che nessuno ha ancora risposto definitivamente) è: cosa hanno visto, e cosa hanno portato via?
Chi è Salt Typhoon: non uno studente annoiato, ma uno Stato
Gli investigatori e le ricostruzioni giornalistiche puntano il dito verso Salt Typhoon, un gruppo di hacker associato dall'intelligence occidentale ad attività di cyberspionaggio con presunti legami alla Cina, collegamento che il governo di Pechino nega categoricamente.
Ma cosa distingue Salt Typhoon dal classico criminale informatico che vi manda un’e-mail truffaldina? Tutto.
Il criminale ordinario vuole i vostri soldi, subito. Il gruppo di spionaggio di Stato vuole qualcosa di molto più prezioso: informazioni strategiche. Contratti governativi, comunicazioni riservate, strutture organizzative, dati su infrastrutture critiche. Cose che valgono miliardi, non perché si possano rivendere su un mercato nero, ma perché danno vantaggio geopolitico, economico e militare.
Immaginateli come i servizi segreti del mondo digitale. Con una differenza fondamentale rispetto agli agenti cinematografici: non entrano sparando. Entrano piano, silenziosamente, e restano nascosti il più a lungo possibile (a volte mesi o anni) a raccogliere quello che gli serve.
Ma io cosa c'entro? I vostri dati alla Pubblica Amministrazione
Questa è la domanda che si fa chiunque senta questa notizia. "Sono affari dello Stato, mica miei." Eppure, vale la pena fermarsi un momento.
Sistemi Informativi gestiscono dati per INPS e INAIL. Questo significa che nei loro sistemi potrebbero transitare informazioni su pensioni, contributi previdenziali, ammortizzatori sociali, infortuni sul lavoro. Gestisce dati per ministeri: appalti, personale della PA, comunicazioni istituzionali. Gestisce dati sanitari per aziende ospedaliere.
Non stiamo parlando di nomi e cognomi su una lista. Stiamo parlando di dati sensibili nel senso più pieno del termine: la vostra storia lavorativa, il vostro stato di salute, le vostre situazioni patrimoniali, le comunicazioni riservate di chi lavora per lo Stato.
IBM ha dichiarato che "l'indagine non ha identificato alcuna compromissione di dati o sistemi dei clienti del settore pubblico". Una buona notizia ma le indagini forensi digitali sono complesse e richiedono tempo. La parola definitiva arriverà nelle prossime settimane.
L'Italia nel mirino: i numeri del 2025
Questo episodio non è un caso isolato. Il report CLUSIT 2026 (la bibbia della cybersecurity italiana) racconta di un 2025 come l'anno peggiore di sempre per la sicurezza informatica nel nostro Paese: 507 attacchi critici andati a buon fine contro organizzazioni italiane, +42% rispetto all'anno precedente.
Ma c'è una distinzione importante che pochi fanno:
• Gli attacchi ransomware vogliono soldi. Cifrano i dati e chiedono un riscatto. Sono rumorosi, visibili, dolorosi — ma il danno è quantificabile.
• Gli attacchi di spionaggio di Stato sono silenziosi. Non vogliono soldi. Vogliono informazioni. E spesso non saprete mai cosa hanno portato via, né quando lo hanno fatto.
Il caso IBM/Sistemi Informativi appartiene alla seconda categoria. Ed è per questo, paradossalmente, che fa ancora più paura del ransomware.
Cosa avrebbe dovuto (e potrebbe) impedirlo
IBM ha risposto all'incidente attivando i propri protocolli interni, coinvolgendo esperti specializzati e collaborando con l'ACN. I sistemi sono stati stabilizzati, i servizi ripristinati. Questo è esattamente quello che dovrebbe accadere quando si ha un piano di risposta agli incidenti (Incident Response Plan) ben strutturato.
Tuttavia, come in ogni incidente di questo tipo, la domanda successiva è sempre la stessa: quanto a lungo erano dentro prima di essere scoperti? Gli attori di spionaggio di Stato sono maestri nel restare nascosti, nel muoversi lentamente, nel non lasciare segnali evidenti. La loro pazienza è la loro arma più potente.
Le migliori pratiche di difesa contro questo tipo di minaccia includono:
• Monitoraggio continuo e analisi comportamentale (SOC - Security Operations Center): individuare anomalie nel comportamento degli utenti o dei sistemi, anche quando non c'è un virus che si fa vedere.
• Zero Trust Architecture: non fidarsi di nessuno per default, nemmeno di chi è già dentro la rete. Ogni accesso va verificato, ogni movimento autorizzato.
• Segmentazione delle reti: anche se un attaccante entra, non deve poter raggiungere tutto. Come i compartimenti stagni di una nave: se uno si allaga, gli altri reggono.
• Threat Intelligence condivisa: l'ACN e i CERT internazionali condividono indicatori di compromissione. Chi li aggiorna in tempo reale può bloccare minacce note prima che colpiscano.
La geopolitica è entrata nel router di casa nostra
C'è un cambiamento culturale profondo che dobbiamo tutti metabolizzare: la guerra (intesa come conflitto tra interessi di Stato contrapposti) si combatte anche (e sempre più) nel cyberspazio. Non con missili, ma con codice. Non con soldati, ma con hacker altamente specializzati, finanziati e protetti da governi.
L'80% delle tecnologie che l'Unione Europea usa nelle proprie infrastrutture digitali proviene da Paesi extra-UE. È una dipendenza che crea vulnerabilità strutturali, non solo economiche, ma di sicurezza nazionale. Per questo la Commissione Europea sta accelerando sul Cloud Sovrano Europeo e il Cyber Resilience Act: non per nazionalismo digitale, ma per ridurre quella dipendenza.
Nel frattempo, cosa possono fare i cittadini e le aziende? Onestamente, contro un attore di Stato ben finanziato e determinato, molto poco da soli. Ma possono fare molto per non essere il bersaglio più facile: tenere i propri sistemi aggiornati, usare l'autenticazione a più fattori, fare pressione sui propri fornitori tecnologici affinché adottino standard di sicurezza adeguati.
La trasparenza è già una forma di difesa
Il fatto che IBM abbia confermato l'incidente, che l'ACN sia intervenuta pubblicamente, che il Ministro abbia parlato davanti ai giornalisti: tutto questo non è ovvio. In molti Paesi questi episodi vengono insabbiati, minimizzati, negati. La trasparenza ( anche se fa male all'immagine nell'immediato ) è l'unico modo per imparare, migliorare e costruire una fiducia autentica tra istituzioni e cittadini.
Il digitale ha reso il mondo più connesso e più fragile allo stesso tempo. Le nostre infrastrutture critiche, i nostri dati, la nostra vita quotidiana dipendono da sistemi che non vediamo. Il minimo che possiamo fare è pretendere che chi li gestisce lo faccia con la massima responsabilità — e che quando qualcosa va storto, ce lo dica.
Perché la consapevolezza, anche in tema di cybersicurezza nazionale, è sempre la prima linea di difesa.