IBM Italia colpita da Salt Typhoon: il cyberspionaggio cinese entra nella PA

Salt Typhoon, gruppo Advanced Persistent Threat ricondotto dalla intelligence occidentale all’apparato di sicurezza della Repubblica Popolare Cinese, ha violato le reti di Sistemi Informativi, la società controllata al cento per cento da IBM Italia che progetta e gestisce parte dell’infrastruttura tecnologica della Pubblica Amministrazione, oltre che di banche, gruppi assicurativi, aziende energetiche e operatori delle telecomunicazioni.

La rivelazione, anticipata da La Repubblica nel pomeriggio di domenica 3 maggio 2026 e confermata in serata da un comunicato di IBM e da una nota istituzionale del ministro per la Pubblica Amministrazione Paolo Zangrillo, descrive un’intrusione persistente, durata circa due settimane e individuata soltanto nelle ultime ore. Alla mattina del 4 maggio, il sito ufficiale di Sistemi Informativi risulta ancora irraggiungibile, mentre l’Agenzia per la Cybersicurezza Nazionale lavora alla ricostruzione dell’origine dell’attacco, dell’estensione del compromesso e degli elementi dei sistemi eventualmente esfiltrati.

L’incidente cade in una fase delicata del quadro normativo italiano. Gli obblighi di notifica introdotti dalla NIS2 e recepiti con il D.Lgs. 138/2024 sono pienamente operativi dal 1° gennaio 2026, e il caso costituisce il primo banco di prova di rilievo nazionale per le difese tecniche del system integrator, per i processi di incident response, per il coordinamento tra ACN, Garante e operatori, e per la tenuta complessiva della supply chain digitale del Paese.

IBM Italia colpita da Salt Typhoon: cosa è successo, la cronologia dei fatti

Le ricostruzioni della stampa, originate dall’anticipazione di Repubblica e riprese in serata dalle principali testate nazionali, fissano in circa due settimane la permanenza degli attaccanti nelle reti di Sistemi Informativi prima del rilevamento. Una finestra temporale coerente con il modus operandi del gruppo, che predilige la persistenza silenziosa e l’esfiltrazione progressiva dei dati all’azione rumorosa e distruttiva tipica del ransomware. Nella nota diffusa attraverso le agenzie di stampa, IBM riferisce di aver rilevato e contenuto l’incidente, di aver attivato i protocolli di risposta e di aver coinvolto specialisti interni ed esterni; al momento i sistemi risultano stabilizzati, i servizi sono stati ripristinati e l’azienda dichiara di stare collaborando con le autorità a supporto dei clienti coinvolti.

Sul piano istituzionale, il ministro Zangrillo ha riferito dell’avvio delle procedure previste dalla normativa e ha indicato in ACN il soggetto incaricato di ricostruire l’origine dell’attacco, di valutarne l’impatto e di identificare quali componenti dei sistemi possano essere stati effettivamente violati. Le operazioni di contenimento e bonifica si sono protratte per ore tra la serata di domenica e la mattinata di lunedì, e alla mattina del 4 maggio il sito ufficiale dell’azienda non risulta ancora ripristinato. Lo scope effettivo della violazione, il vettore di accesso iniziale e l’eventuale esfiltrazione di dati restano, allo stato, non comunicati.

Sistemi Informativi: lo snodo tecnologico della Pubblica Amministrazione

Per misurare la portata potenziale dell’episodio occorre inquadrare la società coinvolta. Sistemi Informativi, fondata nel 1979 e con sede a Roma, opera come system integrator nei progetti più sensibili della trasformazione digitale italiana. Tra i suoi committenti figurano INPS e INAIL, diversi ministeri, gruppi finanziari, operatori delle telecomunicazioni, aziende del comparto energetico e numerosi soggetti impegnati nelle iniziative del Piano Nazionale di Ripresa e Resilienza, dalla sanità digitale al cloud nazionale. Una posizione di snodo che, colloca la società tra gli asset strategici del sistema-Paese sotto il profilo della sicurezza nazionale.

La concentrazione di funzioni così eterogenee e sensibili in capo a un unico fornitore è coerente con il modello italiano dei grandi appalti ICT, ma porta con sé un rischio strutturale evidente. Compromettere un solo integrator significa, in linea di principio, ottenere visibilità su contratti pubblici, credenziali di accesso, dati di milioni di cittadini, configurazioni di rete e dipendenze applicative di enti distanti per missione e per settore. È, in altre parole, esattamente il tipo di superficie d’attacco che le campagne di cyberspionaggio statale ricercano da anni.

Il profilo di Salt Typhoon: alias, settori bersaglio, modus operandi

«Salt Typhoon» è la denominazione più diffusa per identificare un cluster di attività malevole che il joint advisory AA25-239A pubblicato dalla CISA il 27 agosto 2025 traccia anche come OPERATOR PANDA, RedMike, UNC5807 e GhostEmperor. Il documento, sottoscritto da NSA, FBI, Department of Defense Cyber Crime Center e da partner internazionali tra cui l’Italia, riconduce il cluster a tre aziende tecnologiche cinesi (Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology e Sichuan Zhixin Ruijie Network Technology), ritenute fornitrici di prodotti e servizi del Ministero per la Sicurezza dello Stato e dell’Esercito Popolare di Liberazione.

Diversi vendor privati lo tracciano inoltre come Earth Estries (Trend Micro), UNC2286 (Mandiant) e FamousSparrow (ESET).

L’attribuzione formale del joint advisory data l’inizio delle operazioni almeno al 2021, mentre le prime ricostruzioni dell’industria della cybersecurity ne collocano l’attività già al 2019. I settori bersaglio individuati dalle agenzie occidentali sono le telecomunicazioni, la pubblica amministrazione, i trasporti, il comparto alberghiero e la difesa. La logica operativa è quella della raccolta di intelligence di lungo periodo, non dell’estorsione finanziaria.

Dalle telco statunitensi all’Europa

Tra la fine del 2024 e l’inizio del 2025 le autorità statunitensi hanno collegato Salt Typhoon alla violazione di almeno nove operatori americani delle telecomunicazioni, tra cui AT&T, Verizon, T-Mobile, Lumen, Spectrum, Consolidated Communications e Windstream. Una campagna che, secondo le ricostruzioni rese pubbliche dalla Casa Bianca e dalle agenzie federali, avrebbe permesso agli attaccanti di accedere ai sistemi utilizzati per l’intercettazione legale delle comunicazioni, con implicazioni dirette per la sicurezza nazionale e per la riservatezza di figure politiche di primo piano.

L’estensione del raggio d’azione al continente europeo è stata documentata da Darktrace nell’ottobre 2025 con un rapporto che ha collegato Salt Typhoon a un’intrusione contro un grande operatore europeo delle telecomunicazioni. Come spiegato da Industrial Cyber, l’accesso iniziale è stato ottenuto sfruttando una vulnerabilità su un’appliance Citrix NetScaler Gateway. Da lì gli attaccanti si sono mossi lateralmente verso host Citrix Virtual Delivery Agent, hanno mascherato la propria origine attraverso infrastrutture SoftEther VPN e hanno installato il backdoor SNAPPYBEE attraverso una tecnica di DLL sideloading.

Strumenti, vettori, evasione

La catena d’attacco ricorrente di Salt Typhoon mette al centro le appliance perimetrali. Sul punto, il joint advisory della CISA chiarisce un aspetto rilevante: il gruppo non utilizza in modo sistematico falle zero-day, ma sfrutta vulnerabilità CVE pubblicamente note e già corrette dai vendor, in danno di organizzazioni che non hanno applicato gli aggiornamenti. Tra le vulnerabilità segnalate come prioritarie figurano CVE-2024-21887 e CVE-2023-46805 in Ivanti Connect Secure e Policy Secure, CVE-2024-3400 in Palo Alto Networks PAN-OS GlobalProtect, CVE-2023-20198 e CVE-2023-20273 in Cisco IOS XE, CVE-2018-0171 in Cisco IOS e IOS XE.

Sul versante del payload, il gruppo ricorre a utility come JumbledPath, capace di catturare il traffico di rete su dispositivi Cisco compromessi attraverso catene di jump host, e impiega in modo sistematico tecniche Living off the Land, nelle quali l’attività malevola si confonde con il traffico legittimo prodotto da strumenti già presenti sul target. È, in fondo, il tratto distintivo di un’operazione di intelligence: non distruggere, ma sapere, e sapere a lungo.

Supply chain della PA: il vero anello debole

L’episodio italiano si inserisce in un pattern strutturale. Negli ultimi due anni gli attori statali ostili hanno spostato il fuoco dai bersagli finali ai loro fornitori tecnologici. Compromettere un fornitore unico, che funge da snodo per decine di clienti istituzionali, è un investimento offensivo di altissima resa. La lezione è chiara: i fornitori IT vanno ormai considerati, a tutti gli effetti, infrastrutture critiche, con i corrispondenti obblighi di sorveglianza, governance e threat hunting.

La criticità si manifesta su due piani. Sul primo, la PA italiana è esposta a una concentrazione di rischio dovuta al numero ridotto di system integrator in grado di gestire progetti di scala nazionale. Sul secondo, i contratti pubblici raramente prevedono requisiti di sicurezza commisurati al ruolo strategico del fornitore: clausole di security by design, audit indipendenti, threat hunting continuo, segmentazione di rete tra ambienti di clienti diversi, gestione strutturata delle identità privilegiate. Il caso Sistemi Informativi imporrà, con ogni probabilità, una revisione di queste pratiche almeno per i fornitori di soggetti essenziali e importanti ai sensi della NIS2.

NIS2 e D.Lgs. 138/2024: il banco di prova della notifica

L’incidente cade nel primo quadrimestre di vigenza del nuovo regime di notifica degli incidenti significativi previsto dalla NIS2. Dal 1° gennaio 2026 i soggetti essenziali e importanti, individuati dalla normativa NIS recepita dall’ACN, devono trasmettere al CSIRT Italia una pre-notifica entro 24 ore dall’evidenza dell’incidente, una notifica completa entro 72 ore e una relazione finale entro un mese dalla chiusura della gestione.

Sul caso specifico restano alcune domande di rilievo, ancora prive di risposta pubblica. La prima riguarda il momento in cui l’evidenza dell’incidente è stata formalmente acquisita, perché da quel punto decorrono i termini di notifica.

La seconda concerne la qualificazione dei soggetti coinvolti: Sistemi Informativi opera come fornitore di organizzazioni che ricadono pienamente nel perimetro NIS2, da INPS e INAIL ai gruppi energetici e alle telco, e una parte degli obblighi di gestione del rischio nella supply chain, previsti dall’articolo 24 del decreto, ricade per riflesso sui clienti. La terza riguarda il coinvolgimento del Garante per la protezione dei dati personali, obbligatorio in caso di violazione di dati personali ai sensi dell’articolo 33 del GDPR, con tempistiche autonome rispetto a quelle dell’ACN.

Il modo in cui questi adempimenti verranno gestiti diventerà, di fatto, un precedente operativo per il sistema. Le autorità di settore e gli organi amministrativi delle imprese coinvolte stanno osservando il caso per calibrare politiche, procedure e tempistiche di risposta in vista delle scadenze dell’autunno 2026, quando entrerà a regime l’impianto completo delle misure di sicurezza previsto dalle determinazioni ACN.

Salt, Volt, Flax: la triplice pressione cinese sull’Europa

L’incidente non rappresenta un episodio isolato: è il segmento europeo di una pressione sistemica. Salt Typhoon si concentra sull’intercettazione delle comunicazioni e sulla raccolta di intelligence presso i carrier e i loro fornitori. Volt Typhoon mira a posizionare implant nelle infrastrutture critiche civili statunitensi, in particolare nelle reti elettriche e idriche, in una logica di prepositioning rivolta a scenari di crisi.

Flax Typhoon, sanzionato dall’Office of Foreign Assets Control del Tesoro statunitense, costruisce botnet di dispositivi compromessi utilizzabili a copertura di ulteriori operazioni. La sovrapposizione delle tre campagne disegna un’architettura di pressione nella quale spionaggio, sabotaggio potenziale e infrastruttura offensiva convivono e si rafforzano reciprocamente.

Per l’Italia, l’arrivo di questa pressione al vertice della propria supply chain tecnologica suona come un campanello d’allarme: conferma, in concreto, quanto le agenzie di settore segnalano da mesi. La presenza italiana tra i firmatari del joint advisory CISA dell’agosto 2025 era stata, sul piano istituzionale, un primo riconoscimento del fatto che il problema toccava direttamente il Paese. La profondità dell’accesso potenzialmente offerto da un fornitore come Sistemi Informativi spiega perché il caso sia stato gestito, fin dalle prime ore, ai massimi livelli istituzionali.

Conclusione: cosa ci dice davvero l’attacco di Salt Typhoon a IBM Italia

L’attacco di Salt Typhoon a IBM Italia non si misura soltanto dalla quantità di dati eventualmente esfiltrati, che resta a oggi non quantificabile. Il suo significato è strategico e si articola su tre livelli.

Sul piano tecnico, conferma che la frontiera dell’attacco si è spostata sui fornitori unici di servizi pubblici, che i vettori d’ingresso più produttivi restano le appliance perimetrali con CVE già pubblicate ma non ancora corrette, e che la persistenza silenziosa, non il ransomware, è la firma delle operazioni che contano davvero.

Sul piano normativo, sottopone alla prova la prima applicazione di rilievo della NIS2 italiana, con tutte le implicazioni di catena legate al ruolo del fornitore.

Sul piano politico, restituisce l’immagine di un Paese il cui tessuto digitale, anche nei punti più sensibili, è oggetto di un interesse continuativo da parte di attori statali ostili, e impone una riflessione strutturale sulla resilienza dei modelli di approvvigionamento ICT della pubblica amministrazione.

La risposta non si esaurisce nella bonifica del singolo incidente: passa dalla capacità di tradurre in policy permanente le lezioni che la vicenda sta producendo. Requisiti contrattuali di sicurezza per i fornitori strategici, threat intelligence condivisa con il CSIRT Italia, audit indipendenti sulle filiere critiche, aggiornamento aggressivo dei dispositivi di rete, segmentazione e Zero Trust sulle infrastrutture multi-cliente: sono priorità destinate a trovare spazio, prevedibilmente, nelle agende dei prossimi appuntamenti del settore. La domanda decisiva, ora, è quanto rapidamente il sistema italiano saprà tradurle in pratica.