Pechino dentro le nostre reti: cosa rivela il report del Pentagono

Chi si aspettava che il rapporto annuale del Pentagono sulla potenza militare cinese fosse un documento rassicurante, dovrà ricredersi. L’edizione 2025 del “Military and Security Developments Involving the People’s Republic of China”, pubblicata a cadenza annuale su mandato del Congresso dal 2000, dedica ampio spazio alle capacità cyber dell’Esercito Popolare di Liberazione, tracciando un quadro che merita attenzione ben oltre i confini americani.

Il report non lascia margini di ambiguità: la Cina rappresenta “la minaccia cyber più persistente” per le reti governative, militari e civili statunitensi. Nel 2024, secondo il documento, gli attori cyber affiliati alla PLA hanno sviluppato e mantenuto capacità offensive in grado di “disrupt U.S. defense and civilian critical infrastructure”, tradotto: interrompere il funzionamento di infrastrutture critiche sia militari che civili.
Ma il dato che dovrebbe far riflettere gli analisti europei è un altro. Il Pentagono cita esplicitamente le campagne Volt Typhoon e Salt Typhoon, entrambe attribuite ad attori statali cinesi, sottolineando come queste operazioni abbiano “burrowed into U.S. critical infrastructure”, scavando tunnel nelle infrastrutture critiche americane in preparazione di potenziali conflitti futuri.

Volt Typhoon, in particolare, è descritta come un’operazione di “pre-positioning”: non spionaggio tradizionale, ma posizionamento preventivo di capacità distruttive da attivare in caso di crisi geopolitica, presumibilmente legata a Taiwan. Salt Typhoon, invece, ha compromesso i principali operatori di telecomunicazioni americani, arrivando a intercettare comunicazioni di funzionari governativi e persino i sistemi di intercettazione legale usati dalle forze dell’ordine.
Il report segnala un incremento del 150% delle intrusioni cinesi su tutti i settori nel 2024 rispetto all’anno precedente, secondo dati CrowdStrike. Non si tratta di attacchi opportunistici: è un’offensiva sistematica, coordinata a livello statale.

Particolarmente interessante è la descrizione dell’architettura operativa cinese. Il report identifica nella nuova Information Support Force e nella Cyberspace Force, quest’ultima responsabile per “cyberspace warfare, electronic warfare, technical reconnaissance, psychological operations, and influence operations”, i pilastri della capacità offensiva di Pechino.
Ma c’è di più. Il documento evidenzia come le aziende private cinesi di cybersecurity stiano diventando “force multiplier”, moltiplicatori di forza, per le operazioni statali. Un’osmosi tra settore pubblico e privato che in Occidente, per ragioni giuridiche e culturali, risulta impensabile. Questa integrazione consente alla Cina di operare con una flessibilità e una deniability che gli apparati occidentali faticano a replicare.
Il Pentagono stima che in caso di conflitto, la Cina “probably would seek to create disruptive and destructive effects, from denial-of-service attacks to physical disruptions of critical infrastructure”. Obiettivi primari sarebbero i nodi C4ISR (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance) e logistici militari, ma anche “civilian targets with political and economic significance”.
Le sanzioni americane contro Sichuan Juxinhe Network Technology, azienda cinese accusata di coinvolgimento diretto nelle operazioni Salt Typhoon, confermano il legame organico tra apparato statale e settore privato. Ma colpire singole entità è come svuotare il mare con un cucchiaio: l’ecosistema si rigenera rapidamente, con nuove società che prendono il posto di quelle sanzionate.

Qui il report del Pentagono si concentra comprensibilmente sugli Stati Uniti. Ma chi segue il settore sa che il problema riguarda anche noi. Nell’ottobre 2025, Darktrace ha rilevato attività compatibili con Salt Typhoon contro un operatore di telecomunicazioni europeo, con tecniche che includevano l’exploitation di vulnerabilità Citrix NetScaler e l’uso della backdoor SNAPPYBEE (nota anche come Deed RAT), uno strumento condiviso tra diversi gruppi APT cinesi.
Gli attaccanti avevano ottenuto accesso iniziale attraverso un’appliance Citrix NetScaler Gateway nel luglio 2025, per poi muoversi lateralmente compromettendo host Citrix Virtual Delivery Agent. La tecnica impiegata, DLL sideloading tramite software antivirus legittimi come Norton, Bkav e IObit Malware Fighter, dimostra la sofisticazione operativa del gruppo. L’intrusione è stata bloccata prima che gli attaccanti potessero consolidare l’accesso, ma quante altre non sono state rilevate?
Secondo dati recenti, Salt Typhoon avrebbe compromesso oltre 200 aziende in più di 80 paesi. Il focus rimane l’intelligence gathering contro obiettivi americani, ma l’Europa non è immune. Gli attacchi alla supply chain software, come quelli che hanno colpito SAP, colosso europeo del software gestionale con centinaia di vittime a livello globale, dimostrano che Pechino non discrimina per geografia quando si tratta di acquisire accesso a reti strategiche.

C’è un aspetto della postura italiana che raramente viene sottolineato nel dibattito pubblico: il nostro paese è tra i fondatori del NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) di Tallinn, istituito nel 2008 insieme a Estonia, Germania, Lettonia, Lituania, Slovacchia e Spagna. Non un ruolo marginale, dunque, ma una presenza alle origini dell’architettura di difesa cyber dell’Alleanza.
Il CCDCOE, nato sull’onda degli attacchi cyber all’Estonia del 2007, il primo caso di offensive informatiche su scala nazionale contro un paese NATO, è cresciuto fino a includere 39 nazioni tra alleati e partner. L’esercitazione annuale Locked Shields, organizzata dal centro, è considerata la più grande e complessa simulazione live-fire di difesa cyber al mondo: nell’edizione 2024 hanno partecipato 38 paesi con oltre 5.500 sistemi simulati.
Sul piano operativo, l’Italia partecipa attraverso il Comando Operazioni in Rete (COR) e il reggimento “Rombo”, che funziona come unità cyber dell’Esercito con focus su operazioni difensive tattiche. Tuttavia, uno studio del CCDCOE pubblicato nel 2025 evidenzia come l’approccio italiano rimanga prevalentemente difensivo, a differenza di paesi come Belgio e Paesi Bassi che hanno sviluppato capacità offensive integrate.

Il 2024 ha segnato un passaggio significativo: al summit NATO di Washington è stata istituita l’NATO Integrated Cyber Defence Centre (NICC) presso SHAPE, con l’obiettivo di integrare la protezione delle reti, la situational awareness e l’implementazione del cyberspazio come dominio operativo attraverso tutte le fasi, pace, crisi e conflitto. L’Italia partecipa a questa architettura, ma resta da capire con quale peso specifico.
C’è un paradosso nella percezione della cybersecurity italiana: mentre il dibattito pubblico si concentra sulle vulnerabilità, reali e gravi, del sistema-paese, passa quasi inosservato il ruolo di Leonardo come pilastro della difesa cyber NATO.
Dal 2012, Leonardo opera in partnership con la NATO Communications and Information Agency (NCI Agency) per il programma NCIRC-FOC (NATO Computer Incident Response Capability – Full Operational Capability). In termini concreti: circa 200 esperti di sicurezza informatica forniscono capacità di rilevamento, gestione e risposta agli incidenti cyber 24 ore su 24, proteggendo oltre 70.000 utenti NATO in 29 paesi e 75 siti, incluso il quartier generale dell’Alleanza.
Il programma ha protetto con successo i summit NATO del 2014, 2016 e 2018. Nel 2016, Leonardo e NCI Agency hanno firmato un Industrial Partnership Agreement per la condivisione di informazioni sulle minacce cyber, un accordo che riconosce il valore della collaborazione pubblico-privato nella difesa dell’Alleanza. Nel 2019, il contratto è stato esteso con il NCIRC Cyber Security Support Services (CSSS).
Nel luglio 2025, Leonardo ha annunciato l’acquisizione di Axiomatics, società svedese specializzata in soluzioni Zero Trust, un segnale dell’intenzione di posizionarsi come leader europeo in questo segmento strategico. È un’eccellenza industriale che andrebbe valorizzata nel dibattito sulla sovranità tecnologica europea.

Se Leonardo rappresenta l’eccellenza nella difesa delle infrastrutture NATO, Fincantieri offre un caso studio su come gestire la cybersecurity in una filiera industriale complessa. Con oltre 5.400 fornitori qualificati distribuiti su più paesi, il gruppo navale affronta quotidianamente la sfida descritta dalla direttiva NIS2: garantire che la sicurezza non si fermi al perimetro aziendale.
Attraverso la controllata E-phors, centro di eccellenza cyber specializzato in programmi navali e di difesa, Fincantieri ha sviluppato un approccio multilivello. Nella fase di qualifica, i partner vengono valutati con questionari di maturità cyber sviluppati anche in collaborazione con il Clusit. Ma la valutazione non si ferma alla fase iniziale: ogni fornitura viene esaminata in relazione al suo impatto sul processo produttivo, e da questo derivano requisiti contrattuali specifici.
Un elemento cruciale è la gestione degli incidenti nella catena di fornitura. “Inserire nei contratti clausole che prevedano la notifica entro tempi definiti ci permette di gestire tempestivamente la risposta e il ripristino dei sistemi critici”, ha spiegato Valeria Prosser, Head of Governance, Risk & Compliance di E-phors, durante la presentazione del Rapporto Clusit 2025. In un ambiente industriale dove le linee di produzione si estendono su più cantieri e più paesi, la tempestività della comunicazione è spesso il fattore che distingue un incidente gestito da una crisi operativa.
Sul fronte tecnologico, E-phors ha sviluppato “Archimede”, una piattaforma per la simulazione di attacchi cyber con impatto sui parametri di navigazione delle unità navali. Il sistema viene utilizzato per addestrare gli equipaggi a gestire scenari di conflitto integrato, una capacità che, come dimostrano gli eventi nel Mar Rosso, ha applicazioni tanto militari quanto civili.

La discussione sulle minacce cyber rischia di rimanere astratta senza riferimenti concreti. Purtroppo, la cronaca italiana degli ultimi anni offre materiale abbondante.
Synlab Italia (aprile 2024), Il 18 aprile 2024, il network europeo di diagnostica medica Synlab Italia, presente in nove regioni con centinaia di laboratori e oltre 35 milioni di analisi all’anno, ha subito un attacco ransomware che ha paralizzato tutte le attività. Il gruppo BlackBasta, di matrice russa, ha rivendicato l’operazione e chiesto un riscatto. Di fronte al rifiuto di Synlab di pagare, il 13 maggio sono stati pubblicati sul dark web 1,5 terabyte di dati: documenti aziendali, dati personali dei dipendenti, informazioni sui pazienti e analisi mediche.
L’impatto è stato devastante: non solo l’interruzione dei servizi diagnostici per settimane, ma la compromissione irreversibile della privacy di migliaia di cittadini. Strutture sanitarie che si appoggiavano a Synlab, come l’Ospedale Pederzoli e gli Ospedali Privati Riuniti, hanno dovuto notificare ai propri pazienti la violazione dei dati personali ai sensi dell’art. 34 del GDPR.
Westpole/PA Digitale (dicembre 2023), L’8 dicembre 2023, un attacco ransomware del gruppo LockBit ha colpito Westpole, provider che ospita i servizi di PA Digitale, società del gruppo Buffetti che fornisce il software gestionale URBI a circa 1.300 realtà della Pubblica Amministrazione italiana. Tra i clienti: 500 Comuni, diverse Province, l’Agenzia per l’Italia Digitale (AgID) e l’Autorità Nazionale Anticorruzione (ANAC).
Per giorni, centinaia di sportelli elettronici sono rimasti bloccati: impossibile gestire servizi di anagrafe, riscossione tributi, emissione certificati. Il rischio concreto era che gli stipendi di dicembre e le tredicesime dei dipendenti comunali non venissero erogati. L’ACN è intervenuta per supportare il ripristino dei servizi, riuscendo a recuperare i dati per più di 700 soggetti pubblici. Ma l’episodio ha dimostrato quanto sia fragile la catena di fornitura digitale della PA.
Regione Lazio (agosto 2021), Il capostipite degli attacchi di alto profilo in Italia. Un ransomware introdotto attraverso il portatile di un dipendente regionale ha bloccato l’accesso ai servizi sanitari regionali: prenotazioni, pagamenti, ritiro referti, registrazione vaccinazioni. Asl, aziende ospedaliere e case di cura sono rimaste senza accesso ai sistemi informativi per periodi che sono andati da 48 ore ad alcuni mesi.
Il Garante Privacy ha successivamente sanzionato LAZIOcrea (271mila euro), Regione Lazio (120mila euro) e ASL Roma 3 (10mila euro) per le carenze nelle misure di sicurezza. Un precedente importante: la cybersecurity non è solo un problema tecnico, ma una responsabilità giuridica con conseguenze concrete.

I casi singoli si inseriscono in un quadro statistico preoccupante. Secondo l’Operational Summary dell’ACN, nel primo semestre 2025 sono stati censiti 1.549 eventi cyber (+53% rispetto allo stesso periodo 2024) e 346 incidenti con impatto confermato (+98%). Il CSIRT Italia ha emesso 23.144 comunicazioni di allertamento preventivo, identificando tra l’altro 638 IP esposti a vulnerabilità critiche Citrix e 1.977 dispositivi compromessi appartenenti a botnet come IcedID, Smokeloader e Bumblebee.
Il rapporto Clusit 2025 attribuisce all’Italia il 10,1% degli attacchi informatici globali, una percentuale sproporzionata rispetto al peso economico del paese. Il 73% delle grandi imprese italiane ha subito almeno un attacco andato a segno nel 2024. La sanità è stata colpita con un incremento dell’80%, mentre un quarto di tutti gli attacchi mondiali al settore manifatturiero ha interessato aziende italiane.
C’è poi il tema delle risorse. L’ACN opera con circa 110 milioni di euro di budget e poco più di 300 dipendenti. Il mercato italiano della cybersecurity ha raggiunto i 2 miliardi di euro nel 2024 (+12,4%), ma l’Italia resta ultima tra i paesi G7 per investimenti in sicurezza informatica in rapporto al PIL. La sproporzione tra spesa e risultati suggerisce che il problema non sia solo quantitativo: servono approcci diversi, non solo budget maggiori.

Il report del Pentagono offre alcuni spunti operativi che meritano attenzione anche al di qua dell’Atlantico.
Primo: la difesa perimetrale non basta. Gli attori cinesi utilizzano tecniche “living off the land”, sfruttano strumenti legittimi già presenti nei sistemi per evitare il rilevamento. Servono approcci Zero Trust che verifichino ogni accesso, non solo quelli provenienti dall’esterno. Il decreto Biden che imponeva alle agenzie federali l’adozione di Zero Trust Architecture entro settembre 2024 non è stato completamente implementato; il Dipartimento della Difesa USA prevede di raggiungere il 60% dei requisiti ZTA entro il 2027. L’Italia non può permettersi ritardi analoghi.
Secondo: le vulnerabilità nei dispositivi di rete (router, VPN, firewall) sono il vettore di accesso privilegiato. Il CSIRT italiano ha identificato oltre 1.000 servizi esposti a vulnerabilità critiche Citrix nel 2024, attivando l’articolo 2 della Legge 90/2024 per comunicazioni obbligatorie di intervento urgente. Quanti di questi appartengono a infrastrutture critiche? La risposta dell’ACN dimostra maturità operativa, ma la vastità dell’esposizione rivela la fragilità sistemica dell’infrastruttura digitale nazionale.
Terzo: la minaccia non è solo tecnica. Il Pentagono sottolinea come la Cina stia investendo massicciamente in “psychological operations and influence operations”. La dimensione cognitiva del conflitto ibrido non può essere scorporata dalla cybersecurity in senso stretto. Gli attacchi DDoS del gruppo filorusso NoName057(16) contro infrastrutture italiane nel 2024-2025, banche, trasporti, PA, hanno avuto impatto operativo limitato, ma l’obiettivo era ottenere visibilità mediatica e veicolare messaggi politici. La sicurezza tecnica e la resilienza informativa sono facce della stessa medaglia.
Quarto: la cooperazione internazionale è indispensabile, ma non sufficiente. L’Italia partecipa all’architettura NATO, collabora con ENISA a livello europeo, ha recepito NIS2 e CER. Ma le minacce si muovono alla velocità della luce, mentre la cooperazione istituzionale procede a passo di burocrazia. Servono meccanismi più agili di condivisione delle informazioni tra settore pubblico e privato, e qui il modello Fincantieri/E-phors offre spunti interessanti.

C’è un tema che il report americano solleva implicitamente: la dipendenza tecnologica. Il documento descrive come la PLA sfrutti la “military-civil fusion” per accelerare l’innovazione bellica attingendo al settore commerciale. La Cina opera con più di 200 programmi di reclutamento di talenti, mirando specificamente alle università di ricerca americane per acquisire competenze in AI, quantum computing, biotecnologie e semiconduttori avanzati.
L’Occidente, e l’Europa in particolare, si trova nella posizione opposta: dipendente da tecnologie straniere, spesso cinesi, per componenti critiche delle proprie infrastrutture. Il caso Citrix è emblematico: vulnerabilità in prodotti americani utilizzati massicciamente in Europa hanno aperto la porta ad attori cinesi. La riflessione sull’autonomia strategica digitale europea, spesso relegata ai convegni, dovrebbe diventare priorità operativa.
L’acquisizione di Axiomatics da parte di Leonardo, l’investimento di Fincantieri in E-phors, lo sviluppo di capacità nazionali attraverso aziende come Cy4Gate sono segnali di una consapevolezza crescente. Ma il gap con i competitor globali, americani e cinesi, resta ampio. E il tempo non gioca a nostro favore.

Il report del Pentagono non è allarmismo: è analisi d’intelligence resa pubblica. Descrive capacità reali, dimostrate da operazioni documentate. Chi pensa che la distanza geografica protegga l’Europa dalla competizione sino-americana nel cyberspazio commette un errore di valutazione strategica.
L’Italia, con le sue infrastrutture critiche, il suo tessuto manifatturiero ad alto valore aggiunto e il suo posizionamento nella NATO, non è uno spettatore neutrale. È un obiettivo, forse non primario, ma certamente nel perimetro di interesse di attori statali ostili. I casi Synlab, Westpole e Regione Lazio dimostrano che la minaccia non è teorica: è cronaca.
La buona notizia è che qualcosa si muove. La Legge 90/2024, il recepimento di NIS2 e CER, il rafforzamento dell’ACN, le eccellenze industriali come Leonardo e Fincantieri sono segnali positivi. L’Italia è tra i fondatori del CCDCOE, partecipa alle esercitazioni NATO, contribuisce alla difesa collettiva dell’Alleanza.
La cattiva notizia è che il delta tra capacità offensive degli attaccanti e capacità difensive del sistema-paese continua ad allargarsi. Colmare quel divario non è solo questione tecnica. È questione di volontà politica, di allocazione di risorse, di cultura della sicurezza diffusa. E, forse soprattutto, di consapevolezza che nel dominio cyber la pace è un’illusione: siamo già in guerra, solo che molti non se ne sono ancora accorti.

Le analisi contenute in questo articolo sono basate sul “Report to Congress on Military and Security Developments Involving the People’s Republic of China 2025” del Dipartimento della Difesa USA,

sui dati dell’Agenzia per la Cybersicurezza Nazionale italiana, sul Rapporto Clusit 2025 e su fonti aperte di settore.

L’articolo Pechino dentro le nostre reti: cosa rivela il report del Pentagono proviene da Difesa Online.

Chi si aspettava che il rapporto annuale del Pentagono sulla potenza militare cinese fosse un documento rassicurante, dovrà ricredersi. L’edizione…

L’articolo Pechino dentro le nostre reti: cosa rivela il report del Pentagono proviene da Difesa Online.