Un’intrusione informatica durata circa venti giorni ha colpito società di gestione delle infrastrutture digitali della Pubblica amministrazione italiana. L’operazione, attribuita a Salt Typhoon, gruppo hacker vicino alla Cina, avrebbe puntato alla raccolta silenziosa di informazioni sensibili senza alterare i sistemi
Un’intrusione informatica prolungata e silenziosa ha interessato l’ambiente di Sistemi Informativi, società del gruppo Ibm attiva nella gestione di servizi e infrastrutture digitali. L’episodio, durato circa venti giorni, ha richiamato l’attenzione sulla resilienza delle infrastrutture tecnologiche e sulla natura sempre più sofisticata delle minacce cyber rivolte ad aziende che operano anche a supporto della Pubblica amministrazione.
Secondo quanto precisato dalla società, l’incidente è rimasto confinato all’ambiente di Sistemi Informativi. L’indagine condotta finora non avrebbe identificato compromissioni di dati o sistemi dei clienti del settore pubblico. Tutti i clienti della società sarebbero stati informati delle misure di contenimento adottate e aggiornati sugli esiti dell’indagine, inclusa la conclusione secondo cui nessun cliente pubblico risulta compromesso.
I fatti
L’accesso illecito avrebbe interessato l’ambiente interno di Sistemi Informativi, senza estendersi, chiarisce Ibm, ai dati o ai sistemi dei clienti del settore pubblico. La durata dell’intrusione resta un elemento significativo: una presenza prolungata all’interno di un ambiente digitale può essere compatibile con attività di ricognizione e raccolta informativa, anche quando non emergono effetti immediatamente visibili sui servizi.
Non risultano, tuttavia, elementi che indichino il coinvolgimento di ransomware. La società ha escluso estorsioni, cifrature o blocchi dei sistemi associati all’incidente. Non emergono dunque segnali riconducibili a un’operazione di tipo distruttivo o a finalità estorsive.
La modalità osservata, secondo le valutazioni disponibili, appare piuttosto coerente con comportamenti sofisticati di spionaggio informatico. Si tratta di un profilo operativo diverso da quello delle campagne criminali orientate al profitto immediato, e più vicino ad attività finalizzate alla ricognizione, alla persistenza e alla raccolta selettiva di informazioni.
L’attribuzione
Resta più prudente il terreno dell’attribuzione. Sulla base dell’indagine condotta finora, Ibm non ritiene che l’attività osservata sia attribuibile a Salt Typhoon, il gruppo hacker generalmente associato ad attività cyber riconducibili alla Cina e già citato in precedenti ricostruzioni giornalistiche.
Coerentemente con le migliori pratiche del settore, non è stata indicata un’attribuzione formale a uno specifico gruppo. L’attribuzione nel dominio cyber richiede infatti standard probatori elevati e, spesso, fonti di intelligence ulteriori rispetto alla sola analisi forense tecnica. Le informazioni disponibili consentono dunque di parlare di attività sofisticata di spionaggio informatico, ma non di attribuzione accertata a Salt Typhoon o ad altri attori specifici.
Le contromisure
La reazione della società e delle autorità competenti si è concentrata sull’attivazione dei protocolli di sicurezza, sull’isolamento e sulla stabilizzazione dei sistemi interessati. Sistemi Informativi ha comunicato di aver ripristinato i servizi coinvolti e di proseguire il monitoraggio dell’ambiente mentre completa l’indagine e rafforza ulteriormente le misure di protezione.
Il caso è stato seguito anche con il coinvolgimento delle strutture competenti in materia di cybersicurezza. Resta comunque rilevante la finestra temporale dell’intrusione: circa venti giorni rappresentano un intervallo significativo, soprattutto in un contesto in cui la tempestività della rilevazione è uno dei fattori centrali della difesa cyber.
Una panoramica
Sul piano strategico, i fatti evidenziano non poche fragilità. Tra queste, la crescente dipendenza da grandi fornitori tecnologici globali amplia la superficie di attacco; mentre la capacità di rilevare intrusioni sofisticate appare ancora disomogenea. Soprattutto, emerge con chiarezza come la sicurezza digitale rappresenti una componente essenziale e non trascurabile della sicurezza nazionale. Le infrastrutture civili, e in particolare quelle legate alla gestione dei dati pubblici, sono ormai al centro del confronto ibrido e geopolitico, rendendo la capacità di anticipare le minacce e ridurre i tempi di rilevazione fattori decisivi nei settori pubblici tanto quanto nei settori privati e, al contempo, per il perimetro della sicurezza nazionale.
