Il Drago nel Viminale. Quando la cooperazione diventa copertura per lo spionaggio

C’è una scena che vale la pena immaginare per capire la portata di quello che è accaduto. Un funzionario dell’intelligence cinese, seduto davanti a un terminale, scorre l’elenco dei cinquemila agenti della Digos italiani, con nomi, qualifiche, sedi operative, ruoli specifici. Sa chi monitora le comunità cinesi a Milano, chi lavora sui dissidenti a Prato, chi indaga sui traffici illegali a Napoli. Quella lista non è un bottino casuale. È una mappa del nemico. Ed è stata trafugata silenziosamente, senza sparare un colpo, mentre a Roma e a Pechino i funzionari brindavano alla cooperazione bilaterale.

La notizia è emersa il 18 febbraio 2026, grazie a un’inchiesta di Repubblica che ha ricostruito un dossier gestito segretamente ai vertici del Dipartimento di Pubblica Sicurezza. Tra il 2024 e il 2025, hacker riconducibili all’ecosistema dell’intelligence cinese hanno violato la rete informatica del Ministero dell’Interno italiano, scaricando i dati riservati di circa cinquemila agenti della Divisione Investigazioni Generali e Operazioni Speciali, la Digos, ovvero la struttura della Polizia di Stato che si occupa di antiterrorismo, criminalità organizzata, comunità straniere e, appunto, del tracciamento dei dissidenti del regime di Pechino rifugiati in Italia.

Il Dipartimento di Pubblica Sicurezza ha confermato la matrice dell’attacco con una nota che non lascia spazio a interpretazioni: gli attacchi erano finalizzati a tentare di localizzare i cittadini cinesi dissidenti presenti nel territorio italiano e a identificare i poliziotti delle Digos impegnati nelle attività investigative nei confronti dei gruppi cinesi operanti in Italia. Due obiettivi distinti, ma convergenti verso un unico disegno strategico. Un atto, in poche parole, di spionaggio di Stato contro le strutture di sicurezza della Repubblica italiana.

L’attacco e il paradosso della cooperazione

Per capire la gravità reale di quanto è accaduto, non basta analizzare il dato tecnico del furto. Bisogna guardare il contesto in cui è maturato, perché quella cornice trasforma una violazione informatica in qualcosa di molto più inquietante: un atto di tradimento diplomatico condotto in parallelo a un’offensiva di facciata tesa alla collaborazione.

Nell’ottobre 2024, il ministro dell’Interno Matteo Piantedosi si era recato a Pechino per incontrare il suo omologo Wang Xiaohong. Sul tavolo, un piano triennale di cooperazione bilaterale su droga, tratta di esseri umani, cybercrimine e criminalità organizzata, con tanto di pattugliamenti congiunti nelle città italiane ad alta presenza cinese e programmi di formazione degli agenti. Come ha ricostruito Il Foglio, Piantedosi si era anche prestato a una visita fotografata in una stazione di polizia cinese nei pressi di Pechino, una scelta quantomeno discutibile visto che appena due anni prima il governo italiano aveva scoperto la presenza di almeno undici stazioni di polizia cinesi illegali sul territorio nazionale.

Mentre quei canali diplomatici venivano costruiti, qualcuno dall’altra parte li usava come passpartout per un’operazione di raccolta informativa parallela. Gli analisti di intelligence definiscono questo schema dual-track strategy: cooperazione formale come vettore di legittimità e accesso, operazioni cyber offensive in parallelo per acquisire dati che non sarebbero mai stati condivisi nei canali ufficiali. È un pattern già documentato e attribuito a gruppi APT legati a Pechino, come APT40 e APT41, in numerosi contesti internazionali.

Il momento in cui la tensione è diventata evidente è stato il 25 novembre 2025, quando una delegazione cinese guidata da Zhongyi Liu, assistente del ministro della Pubblica Sicurezza di Pechino, si è presentata negli uffici della Procura di Prato per concordare la cooperazione sulle indagini sulla criminalità organizzata cinese, indagini che stavano producendo risultati significativi, inclusa la prima risposta a una rogatoria italiana da parte delle autorità di Pechino. Ma a Roma era già montato il sospetto che la controparte sapesse troppo. Durante un incontro ad alto livello, il capo della Polizia italiana Vittorio Pisani ha chiesto alla delegazione cinese spiegazioni sull’intrusione nei sistemi del Viminale: nessuna risposta è arrivata. Il silenzio è stato più eloquente di qualsiasi confessione.

La conseguenza è stata immediata. Secondo quanto ricostruito da Euronews e da La Capitale News, l’Italia ha congelato la cooperazione operativa, sospeso i pattugliamenti congiunti nelle città con forte presenza cinese, bloccato la formazione degli agenti cinesi in Italia. Canali costruiti con fatica nel corso di anni si sono interrotti bruscamente. Le indagini di Prato, però, continuano.

Occorre essere molto chiari su questo punto, perché rischia di essere sottovalutato. Quello che è avvenuto non è un incidente di sicurezza informatica nel senso ordinario del termine. Non è un ransomware che ha cifrato dei file, non è un attacco DDoS che ha reso indisponibile un portale istituzionale. È un’operazione di intelligence straniera condotta con strumenti digitali contro il cuore dello Stato italiano.

Come ha osservato il professor Michele Colajanni dell’Università di Bologna, i soli dati anagrafici degli agenti non basterebbero a localizzare con precisione i dissidenti protetti: per farlo servirebbero anche i turni operativi, le coperture, gli spostamenti. Ma questa considerazione tecnica, pur corretta, non deve portare a minimizzare il danno. I dati sui profili professionali dei cinquemila agenti Digos rappresentano il primo e fondamentale livello di un targeting process di lungo periodo. Conoscere l’identità di chi indaga, i loro ruoli e le loro sedi operative consente di costruire nel tempo profili di sorveglianza, pianificare operazioni di avvicinamento e compromissione, identificare eventuali punti di pressione, ridurre lo spazio operativo delle forze di polizia che proteggono i dissidenti. Come ha sottolineato lo stesso Colajanni, i dissidenti cinesi in Italia si trovano in una posizione analoga a quella dei collaboratori di giustizia nel crimine organizzato: la loro sicurezza dipende dall’anonimato della struttura che li protegge. Quella struttura è stata compromessa.

A questo si aggiunge un elemento che Formiche.net ha evidenziato con lucidità: un dataset organizzato per nomi, ruoli e sedi consente attività di phishing su misura, impersonificazione credibile, attacchi mirati alle catene di comando, compromissione delle coperture operative. Non è un furto di dati. È un acceleratore e un facilitatore di minacce future, pensato per dispiegarsi nel tempo con effetti che potrebbero non essere ancora visibili.

La nota ufficiale del Viminale precisa che non risultano essere stati esfiltrati dati attinenti a elementi sensibili su attività operative, il che significa, in teoria, che il fascicolo delle indagini della Procura di Prato sulla criminalità cinese è al sicuro. Ma questa rassicurazione, per quanto utile, non cancella il fatto che cinquemila investigatori italiani sono stati schedati da un servizio di intelligence straniero. Né cancella il dato, confermato da Lirio Abbate su Repubblica senza smentita alcuna, che quei dati siano effettivamente nelle mani di attori ostili.

La rete di spionaggio cinese in Italia: un problema antico mai risolto

Sarebbe un errore leggere la vicenda del Viminale come un evento isolato. Si inserisce in un sistema di penetrazione e controllo che Pechino ha costruito in Italia nel corso di anni, con strumenti multipli e una coerenza strategica che non ammette interpretazioni benigne.

Nel settembre 2022, l’ONG spagnola Safeguard Defenders aveva pubblicato un rapporto destinato a fare scalpore, intitolato “110 Overseas: Chinese Transnational Policing Gone Wild”. Il titolo non è casuale: 110 è il numero di emergenza della polizia cinese, equivalente al nostro 112, e le strutture al centro del rapporto vengono ufficialmente chiamate “stazioni di servizio per polizia d’oltremare”, costruite per proiettare fisicamente la giurisdizione del Ministero della Pubblica Sicurezza di Pechino nei Paesi in cui risiede la diaspora cinese. Safeguard Defenders ne aveva documentato la presenza in oltre cinquantatré Paesi su cinque continenti, con la concentrazione più alta proprio in Europa e con l’Italia in una posizione di primato scomodo: nessun altro Paese europeo ne ospitava più di noi.

I documenti originali cinesi esaminati nel rapporto erano espliciti quanto alla funzione di queste strutture. Accanto a servizi amministrativi di facciata come il rinnovo delle patenti di guida senza dover tornare in Cina, le stazioni erano strumentali a quella che il rapporto definisce la campagna di “persuasione al rimpatrio”: operazioni di pressione sistematica su connazionali all’estero, condotte circumnavigando i normali canali di cooperazione giudiziaria internazionale. Tra aprile 2021 e luglio 2022, le autorità cinesi rivendicavano di aver ricondotto in patria 230.000 persone attraverso questo meccanismo, secondo i dati del Ministero della Pubblica Sicurezza citati nel rapporto. I metodi documentati andavano dalla pressione sui familiari in Cina, alla negazione del diritto all’istruzione per i figli dei “sospettati”, alla sospensione delle assicurazioni sanitarie, fino alla riverniciatura delle abitazioni dei parenti con la scritta “casa dei truffatori di telecomunicazioni”.

Più rilevante ancora, per il contesto che ci riguarda, è che queste strutture erano direttamente integrate nell’Operazione Fox Hunt, la caccia alla volpe che rappresenta il braccio estero della più ampia campagna Sky Net del Partito Comunista Cinese: l’operazione con cui Pechino sistematicamente rintraccia, intimidisce e in alcuni casi rimpatria forzatamente i dissidenti, i critici del regime e chiunque abbia scelto l’espatrio come forma di protezione politica. Il rapporto di Safeguard Defenders riportava casi documentati in cui le stazioni d’oltremare erano state usate per localizzare e “persuadere” soggetti ricercati in Europa, inclusi casi in Serbia e in Spagna, sempre tramite le associazioni di connazionali collegate al sistema del Fronte Unito del PCC.

Per quanto riguarda l’Italia in particolare, i documenti esaminati da Safeguard Defenders identificavano stazioni riconducibili alla Pubblica Sicurezza di Fuzhou nella sola città di Prato, e stazioni riconducibili alla Pubblica Sicurezza di Qingtian nelle città di Roma, Milano e Firenze. Queste quattro città documentate da due sole contee della provincia del Fujian rappresentano una parte del totale: il rapporto precisava che le stazioni censite erano solo quelle ricostruibili da annunci governativi cinesi, e che il programma aveva preso avvio in almeno dieci province, il che rende la stima complessiva di undici stazioni sul territorio italiano plausibile se non conservativa.

La risposta italiana è stata, per usare un eufemismo, cauta. Nel dicembre 2022, il ministro Piantedosi aveva dichiarato in Parlamento che non risultava alcuna autorizzazione per le attività di quei centri e aveva promesso di seguire personalmente la vicenda, senza escludere provvedimenti sanzionatori in caso di illegalità. Come ha documentato Formiche.net in un’inchiesta del marzo 2025, a distanza di oltre due anni quelle stesse funzioni continuavano a essere svolte, con maggiore discrezione, dalle stesse persone, collegate alle medesime associazioni di connazionali d’oltremare che il rapporto di Safeguard Defenders aveva già identificato come legate al sistema del Fronte Unito. Le stazioni non erano scomparse: si erano mimetizzate.

Vale la pena soffermarsi su quest’ultimo punto, perché il rapporto originale di Safeguard Defenders dedicava un’intera sezione al ruolo delle associazioni di connazionali d’oltremare nel sostenere il sistema. Queste strutture, che spesso forniscono servizi genuini alle comunità cinesi all’estero, sono state nel corso degli anni progressivamente cooptate dalle organizzazioni del Fronte Unito, la rete globale di influenza del PCC che Xi Jinping ha ridefinito come priorità strategica nell’estate del 2022. I leader di queste associazioni ricevono in cambio incontri con funzionari del Partito, partecipazione a eventi organizzati da Pechino, riconoscimenti formali da organismi controllati dal PCC, e si attendono da loro sostegno alle campagne propagandistiche e di influenza politica del Partito all’estero. È attraverso questa rete, non attraverso canali diplomatici ufficiali, che Pechino ha scelto di esercitare il suo controllo sulla diaspora, aggirando deliberatamente le tutele garantite dal diritto internazionale e violando, secondo Safeguard Defenders, il principio di non-refoulement sancito dalla Convenzione ONU contro la Tortura.

Nel frattempo, come commentato in Difesaonline.it , nelle settimane finali del 2025 il sito del Ministero della Difesa aveva registrato un incremento significativo di accessi da indirizzi IP cinesi, stranamente interessati a pagine pubbliche ma strategicamente rilevanti: organigrammi dei dipartimenti, contratti di equipaggiamento, bilanci, dettagli sulle missioni all’estero. Un sondaggio sistematico dell’obiettivo, condotto attraverso fonti aperte, che rientra nella fase preliminare di qualsiasi operazione di intelligence.

L’Italia, va ricordato, è uno dei pochi Paesi europei che non ha mai pubblicamente annunciato un’indagine sulle stazioni di polizia cinesi né ha dichiarato la loro illegalità. Mentre Canada, Stati Uniti e numerosi Paesi europei hanno adottato risposte più decise, inclusa la prima condanna giudiziaria negli USA per la gestione di una stazione illegale cinese a Manhattan, l’Italia ha privilegiato la via del dialogo discreto. Il risultato è sotto gli occhi di tutti: la struttura capillare costruita in anni di lavoro paziente era già in piedi quando gli hacker del Ministero della Pubblica Sicurezza di Pechino cercavano di scoprire chi, nelle file della Digos, stava proteggendo i dissidenti che quella stessa struttura aveva il compito di individuare e riconsegnare.

Un sistema informatico fragile: i numeri che fanno paura

Per capire come sia potuto accadere, è necessario guardare in faccia la realtà della cybersecurity italiana nelle istituzioni pubbliche, una realtà documentata con precisione nei rapporti ufficiali dell’Agenzia per la Cybersicurezza Nazionale.

Nel 2025, secondo i due Operational Summary pubblicati dall’ACN a copertura dell’intero anno, l’Italia ha registrato complessivamente 2.802 eventi cyber monitorati, con un incremento medio del 41% rispetto al 2024. Gli incidenti con impatto confermato sono stati 650. Il primo semestre ha mostrato la crescita più acuta: 1.549 eventi (+53% sul corrispondente periodo 2024) e 346 incidenti con impatto, quasi il doppio rispetto all’anno precedente. Nel secondo semestre il numero degli eventi è rimasto elevato — 1.253, +30% sul H2 2024 — ma gli incidenti con impatto si sono ridotti a 304 (-25% rispetto all’H1), segnale che l’entrata in vigore della Legge 90/2024 e del D.Lgs. 138/2024 ha iniziato a produrre effetti sull’efficacia delle misure difensive. I settori più colpiti in entrambi i semestri sono stati la Pubblica Amministrazione locale, la Pubblica Amministrazione centrale e le Telecomunicazioni. I vettori principali restano DDoS, email malevole e utilizzo di credenziali valide precedentemente compromesse.

Ma al di là dei numeri, c’è un dato qualitativo che emerge dagli Operational Summary ACN 2025 e che vale la pena citare senza edulcoranti: a fronte del pervasivo utilizzo di dispositivi digitali, si riscontra ancora una condizione di generalizzata obsolescenza tecno-cognitiva nella gestione della cybersicurezza, come principale criticità in grado di compromettere la vulnerabilità delle infrastrutture critiche. Obsolescenza tecno-cognitiva. Nella relazione istituzionale di un’agenzia governativa. Una definizione che non lascia spazio a interpretazioni ottimistiche.

I vettori di attacco più frequenti rilevati dall’ACN sono il phishing, lo sfruttamento di vulnerabilità note non patchate e l’utilizzo di credenziali valide precedentemente compromesse, tutti elementi che indicano non soltanto la sofisticazione degli attaccanti ma anche la debolezza strutturale dei difensori. Nel caso specifico del Viminale, i dettagli tecnici dell’intrusione non sono stati resi pubblici, il che è comprensibile dal punto di vista operativo ma rende impossibile valutare la reale dimensione della compromissione. Quello che si sa, è che il buco nei sistemi del Viminale non è affatto un episodio isolato nella storia della cybersecurity italiana, ed è questo a preoccupare più del singolo attacco.

La legge 90/2024 ha imposto obblighi più stringenti alle Pubbliche Amministrazioni: notificare gli incidenti, nominare un referente per la cybersicurezza, adottare almeno 26 misure minime di protezione. Il D.Lgs. 138/2024 ha recepito la Direttiva NIS 2. Ma esiste ancora una contraddizione profonda tra la rafforzata governance cyber e la persistente fragilità sistemica dell’infrastruttura digitale italiana, dove la dipendenza da tecnologie straniere crea punti di vulnerabilità difficili da controllare.

Appalti IT corrotti e sicurezza nazionale: una domanda che nessuno ha ancora posto

Mentre si analizzano le cause tecniche della vulnerabilità dei sistemi del Viminale, esiste una vicenda parallela, documentata negli atti della magistratura italiana, che pone una domanda scomoda e inevitabile: chi gestisce la sicurezza informatica del Ministero dell’Interno, con quali procedure questi fornitori vengono scelti, e cosa accade alla sicurezza di un’infrastruttura critica quando le procedure di approvvigionamento risultano, in sede giudiziaria, compromesse dalla corruzione?

Nel mese di ottobre 2024, la Guardia di Finanza di Roma ha dato esecuzione, su disposizione della Procura della Repubblica di Roma, a una serie di decreti di perquisizione e sequestro nei confronti di pubblici ufficiali e imprese, nell’ambito di un’indagine per ipotesi di corruzione e turbata libertà degli incanti nelle procedure di appalto in materia di informatica e telecomunicazioni bandite da Sogei, dal Ministero dell’Interno Dipartimento della Pubblica Sicurezza, dal Ministero della Difesa e dallo Stato Maggiore della Difesa. Nelle informative della Guardia di Finanza depositate agli atti, secondo quanto riportato dalla stampa, gli investigatori descrivevano un articolato sistema corruttivo con diversi protagonisti e con ramificazioni sia all’interno del ministero della Difesa, sia in Sogei e sia, infine, al ministero dell’Interno.

L’indagine, avviata secondo quanto ricostruito dal Sole 24 Ore dalla Procura di Roma già nel 2022, partendo da movimentazioni anomale di denaro, ha condotto all’arresto in flagranza del direttore generale di Sogei, Paolino Iorio, mentre riceveva una tangente da un imprenditore. Le gare nel mirino degli inquirenti riguardavano complessivamente appalti per oltre 300 milioni di euro, e hanno coinvolto, secondo gli atti, diciotto persone fisiche e quattordici società. Tra i soggetti economici interessati dalle perquisizioni, nell’ambito dei procedimenti per la responsabilità amministrativa degli enti, figuravano società di primo piano del settore informatico e della cybersicurezza. Nel marzo 2025, secondo quanto riportato dal Fatto Quotidiano, sia Iorio sia l’imprenditore Massimo Rossi hanno patteggiato una pena di tre anni per corruzione: si tratta, a tutti gli effetti, di un accertamento processuale definitivo.

Tra gli episodi specifici che riguardano il Viminale, emerge dagli atti dell’inchiesta quello relativo all’appalto per le licenze software della piattaforma Nutanix, tecnologia di cloud, bandito dal Ministero dell’Interno nell’aprile 2024. Secondo la ricostruzione del Sole 24 Ore basata sugli atti giudiziari, nel giro di poche settimane il prodotto era passato attraverso una catena di cessioni tra più società, con il prezzo finale lievitato da 15,5 a 20,6 milioni di euro prima di essere ceduto al Ministero. Gli inquirenti avrebbero contestato, tra le altre cose, il gonfiamento del prezzo attraverso le successive cessioni. Va detto che gli aspetti tecnici e giuridici dell’intera vicenda sono ancora al vaglio della magistratura per le posizioni non già definite con il patteggiamento, e vige il principio della presunzione di innocenza per tutti i soggetti che non abbiano ancora visto la loro posizione definita in sede giudiziaria.

Negli atti del procedimento risultava inoltre indagato, secondo quanto riportato dal Sole 24 Ore, un dirigente della Polizia di Stato preposto al settore delle telecomunicazioni, che avrebbe svolto un ruolo nell’ambito di alcune procedure di approvvigionamento informatico del Ministero. Anche in questo caso, si tratta di ipotesi accusatorie soggette all’accertamento processuale, con la piena presunzione di innocenza garantita dalla legge.

La domanda che questa vicenda pone, sul piano sistemico e indipendentemente dall’esito dei singoli procedimenti, è di natura strutturale. Un sistema di approvvigionamento informatico in cui, secondo quanto accertato dalla magistratura, alcuni appalti venivano pilotati attraverso meccanismi corruttivi è per definizione un sistema in cui la catena di fornitura della sicurezza perde affidabilità e trasparenza. Quando le commesse vengono assegnate non per merito tecnico ma per rapporti personali e ritorni economici illeciti, non è possibile avere la certezza che i fornitori selezionati siano i più qualificati, né che i prodotti e i servizi acquistati abbiano i requisiti di sicurezza richiesti, né che i soggetti con accesso ai sistemi siano stati sottoposti alle verifiche necessarie. In un contesto in cui i sistemi informatici del Viminale custodiscono i dati operativi di migliaia di agenti impegnati nelle attività più sensibili dello Stato, questa incertezza strutturale non è una questione amministrativa. È una questione di sicurezza nazionale.

Non si tratta di stabilire un nesso causale, che appartiene ai giudici, tra la corruzione negli appalti IT e la violazione subita dai sistemi del Ministero dell’Interno. Si tratta di riconoscere che le due vicende, giudizialmente distinte, si sono sovrapposte temporalmente e tematicamente, e che la loro coesistenza impone al Parlamento e al Governo una riflessione seria sull’intero ciclo di vita della sicurezza informatica nelle istituzioni: dalla progettazione degli appalti alla gestione operativa, dalla selezione dei fornitori alla verifica dei requisiti di sicurezza.

Questa riflessione, ad oggi, non risulta avviata pubblicamente.

La questione aperta della sovranità digitale

C’è un filo rosso che collega il furto dei dati della Digos al quadro più generale dell’Italia e dell’Europa nel dominio digitale, ed è il filo della dipendenza tecnologica. Non è una questione astratta. È una questione di sicurezza nazionale.

Come ha documentato un’inchiesta de Il Sole 24 Ore, il 70% del cloud europeo, quello su cui girano dati di governi, ospedali, forze di sicurezza e infrastrutture critiche, è oggi controllato da tre aziende americane: Amazon Web Services, Google e Microsoft. Queste aziende sono soggette al Cloud Act statunitense del 2018, che consente alle autorità americane di accedere ai dati anche se fisicamente conservati all’estero. In Italia, gran parte dei dati sensibili delle pubbliche amministrazioni, incluse informazioni su giustizia, sanità e sicurezza, è ospitata su infrastrutture controllate da questi soggetti.

Il Polo Strategico Nazionale, il grande progetto italiano per una cloud PA sovrana, gestito da un consorzio che include TIM, Leonardo, CDP e Sogei, rappresenta un passo nella direzione giusta. Ma l’infrastruttura è comunque basata su tecnologie Oracle e Google: i dati sono in Italia, ma lo stack tecnologico resta in larga parte straniero. La sovranità si è spostata di livello senza essere conquistata sul serio.

Il Parlamento Europeo, nella sua Relazione sulla sovranità tecnologica europea delle infrastrutture digitali approvata nel 2025, è stato chiaro: la sovranità europea consiste nell’essere in grado di sviluppare capacità, resilienza e sicurezza riducendo le dipendenze strategiche, evitando la dipendenza da attori stranieri e da singoli fornitori di servizi e salvaguardando le tecnologie e le infrastrutture critiche. A luglio 2025, Germania, Francia, Italia e Paesi Bassi hanno costituito il Consorzio Europeo per le Infrastrutture Digitali per i Digital Commons. L’Italia ha sottoscritto a novembre 2025 la Dichiarazione sulla Sovranità Digitale Europea. Buoni segnali, ma ancora largamente incompiuti nella loro traduzione operativa.

La domanda che il caso Viminale pone in modo drammatico è: come possono essere sicuri i dati di cinquemila agenti di polizia impegnati nelle attività più sensibili dello Stato, se i sistemi su cui quei dati risiedono dipendono da tecnologie, architetture e supply chain che non controlliamo completamente? La risposta onesta è che non possono esserlo del tutto. E questo è un problema che non si risolve con un aggiornamento di software.

Cosa sta facendo l’Italia e cosa dovrebbe fare

Sul piano immediato, le autorità italiane hanno agito. La cooperazione operativa con la Cina è stata congelata, i pattugliamenti congiunti sospesi, la formazione degli agenti cinesi in Italia bloccata. Gli agenti Digos potenzialmente esposti sarebbero stati avvisati prima dell’incontro del 25 novembre, una misura protettiva necessaria. Le indagini della Procura di Prato continuano, con un imprenditore cinese, Changmeng Zhang, sopravvissuto a un tentato omicidio nel luglio 2024 che ha scelto di collaborare con la giustizia italiana, aprendo nuovi filoni investigativi.

Ma sul piano strutturale, le domande rimaste senza risposta pubblica sono molte e meritano attenzione. Cosa è stato fatto per garantire la sicurezza dei dati di cinquemila agenti di polizia? Come è possibile che il sistema informatico del Viminale sia così vulnerabile?

L’ACN è stata notificata? Sono stati rispettati i protocolli previsti dalla NIS 2 per la gestione e la comunicazione dell’incidente? Sono state adottate misure di segmentazione della rete per evitare che future intrusioni possano produrre danni analoghi? Esiste una valutazione del rischio residuale per i cinquemila agenti schedati? E sul piano diplomatico, l’Italia intende affrontare pubblicamente, in sede bilaterale e in sede europea, la questione dello spionaggio cibernetico cinese contro le strutture di sicurezza del Paese?

Sul fronte delle stazioni di polizia illegali cinesi, la storia degli ultimi tre anni insegna che le promesse parlamentari di monitoraggio non bastano. Serve una risposta sul modello di quella americana o canadese, ovvero indagini penali portate a compimento, espulsioni di chi opera fuori dai canali diplomatici autorizzati, chiusura formale delle strutture. Il fatto che quelle funzioni continuino a essere svolte, con maggiore discrezione, tre anni dopo che la loro esistenza era diventata di dominio pubblico, è una delle note più preoccupanti dell’intera vicenda.

Lo spionaggio digitale è guerra, e va trattato come tale

C’è una tentazione comprensibile, nella gestione di questo tipo di crisi, che è quella di ridurre il tutto a un problema tecnico. Un aggiornamento di sicurezza mancato, un firewall mal configurato, una credenziale compromessa. E poi le misure correttive, le patch, la formazione del personale, e si va avanti.

Quella tentazione va resistita con fermezza. Quello che è accaduto al Viminale è la proiezione digitale di un’operazione di intelligence straniera contro lo Stato italiano, eseguita da attori che operano per conto o con la copertura di un governo straniero, con obiettivi politici e strategici chiari: neutralizzare la capacità dello Stato di proteggere i dissidenti politici e di condurre indagini sulla criminalità organizzata ad esso riconducibile.

Pechino ha usato la cooperazione come schermo per lo spionaggio. Ha utilizzato i canali diplomatici come strumenti di raccolta informativa. Ha sfruttato la disponibilità italiana al dialogo per penetrare i sistemi dello Stato italiano. Questa non è solo una violazione della sicurezza informatica. È una violazione della sovranità nazionale, perpetrata con strumenti digitali invece che con agenti fisici, ma non meno grave per questo.

La risposta deve essere adeguata alla natura dell’atto: non solo tecnica, ma politica, diplomatica e, dove possibile, giudiziaria. L’Italia deve decidere se vuole continuare a trattare queste violazioni come incidenti informatici da gestire silenziosamente, o affrontarle per quello che sono: atti ostili di un governo straniero contro la sicurezza della Repubblica, da denunciare pubblicamente e da sanzionare nei forum internazionali.

La sovranità digitale non è un concetto astratto da affidare alle dichiarazioni di principio. È la condizione materiale senza la quale non è possibile proteggere né i cittadini né chi è incaricato di proteggerli. I cinquemila agenti della Digos schedati da Pechino ce lo ricordano con una concretezza difficile da ignorare.

Fonti e approfondimenti

FONTI — ATTACCO HACKER CINESE AL VIMINALE / DIGOS

Euronews Italia, “Hacker cinesi rubano dati di cinquemila agenti Digos in attacco informatico alla rete del Viminale” (18 febbraio 2026) → https://it.euronews.com/2026/02/18/hacker-cinesi-rubano-dati-di-cinquemila-agenti-digos-in-attacco-informatico-alla-rete-del-

FONTI — ACN / CYBERSECURITY ITALIA

• ACN, Operational Summary I semestre 2025 (luglio 2025) → https://www.acn.gov.it/portale/w/operational-summary-1-semestre-2025
• ACN, Operational Summary II semestre 2025 (gennaio 2026) → https://www.acn.gov.it/portale/w/operational-summary-2-semestre-2025

FONTI — SOVRANITÀ DIGITALE EUROPEA

• Il Sole 24 Ore, “Sovranità digitale europea: le sfide della dipendenza tecnologica” (luglio 2025) → articolo in abbonamento,
• Parlamento Europeo, “Relazione sulla sovranità tecnologica europea e le infrastrutture digitali” (A10-0107/2025)
• Governo italiano, “Dichiarazione Sovranità Digitale Europea, Italia sottoscrive il documento” (novembre 2025)

FONTI — STAZIONI DI POLIZIA CINESI IN ITALIA

• Safeguard Defenders, “110 Overseas: Chinese Transnational Policing Gone Wild” (settembre 2022) → https://safeguarddefenders.com/en/110-overseas — PDF diretto: https://safeguarddefenders.com/sites/default/files/pdf/110%20Overseas%20(v5).pdf
• Safeguard Defenders, “Patrol and Persuade” (dicembre 2022) → https://safeguarddefenders.com/en/publications/patrol-and-persuade — PDF diretto: https://safeguarddefenders.com/sites/default/files/pdf/Patrol%20and%20Persuade%20v2.pdf
• Parlamento Europeo, Resoconto integrale delle discussioni — “Attività della polizia cinese in Europa” (10 aprile 2024)
• https://www.europarl.europa.eu/doceo/document/CRE-9-2024-04-10-INT-1-295-0000_IT.html
• Link secondario (briefing pre-dibattito con sintesi): https://www.europarl.europa.eu/news/it/agenda/briefing/2024-04-10/11/russland-debatte-uber-ergebnis-der-prasidentschaftswahlen

L’articolo Il Drago nel Viminale. Quando la cooperazione diventa copertura per lo spionaggio proviene da Difesa Online.

C’è una scena che vale la pena immaginare per capire la portata di quello che è accaduto. Un funzionario dell’intelligence…

L’articolo Il Drago nel Viminale. Quando la cooperazione diventa copertura per lo spionaggio proviene da Difesa Online.