Cyberwar silenziosa: l’offensiva degli hacker cinesi contro l’Occidente passa anche dall’Italia

L’attacco informatico che nelle ultime settimane ha colpito sistemi riconducibili alla pubblica amministrazione italiana rappresenta soltanto l’ultimo episodio di una campagna di pressione cyber che da anni vede gruppi collegati alla Repubblica Popolare Cinese impegnati in attività di spionaggio, infiltrazione strategica e preparazione operativa contro infrastrutture occidentali. L’apertura di un fascicolo da parte della Procura Antiterrorismo di Roma, coordinata dal procuratore Francesco Lo Voi, segna un passaggio politicamente e istituzionalmente rilevante: il fenomeno non viene più trattato come semplice criminalità informatica, ma come una minaccia alla sicurezza nazionale.

Secondo le prime ricostruzioni investigative, gli attacchi avrebbero interessato Sistemi Informativi, società del gruppo IBM che in Italia gestisce segmenti sensibili dell’infrastruttura tecnologica della pubblica amministrazione e di grandi aziende strategiche. L’ipotesi di reato è quella di accesso abusivo a sistema informatico, ma la dimensione dell’operazione lascia intendere uno scenario ben più ampio. Gli inquirenti attendono le informative delle forze dell’ordine e dell’Agenzia per la Cybersicurezza Nazionale, impegnata insieme ai tecnici dell’azienda nelle operazioni di verifica, contenimento, bonifica e ripristino dei sistemi compromessi.

L’attacco sarebbe durato circa due settimane, un dato che conferma la natura avanzata dell’operazione e la capacità degli aggressori di mantenere una presenza silente all’interno delle reti bersaglio.

Dietro l’offensiva potrebbe esserci Salt Typhoon, una delle più note crew cyber attribuite all’ecosistema dell’intelligence cinese. Il nome non è nuovo agli apparati di sicurezza occidentali. Negli ultimi anni Washington, Londra e diversi partner NATO hanno denunciato pubblicamente l’esistenza di una struttura cyber riconducibile a Pechino articolata in gruppi differenti, formalmente separati ma accomunati da obiettivi strategici convergenti: raccolta informativa, furto di proprietà intellettuale, compromissione di infrastrutture critiche e preparazione di capacità di sabotaggio utilizzabili in caso di crisi geopolitica.

Il quadro internazionale entro cui si colloca il caso italiano è infatti molto più vasto. La scorsa estate, Microsoft aveva attribuito a gruppi cyber legati a Pechino ‒ tra cui Linen Typhoon e Violet Typhoon ‒ una vasta campagna di compromissione dei server SharePoint utilizzati da governi, aziende e infrastrutture strategiche occidentali. In una comunicazione ufficiale, la società americana ha inoltre indicato un ulteriore attore identificato come Storm-2603. Secondo Microsoft, le tattiche utilizzate dagli aggressori risultavano coerenti con operazioni già osservate in passato e attribuite a soggetti legati a Pechino.

L’attacco a SharePoint ha evidenziato ancora una volta la sofisticazione dell’apparato cyber cinese. Gli aggressori hanno sfruttato una vulnerabilità “zero-day”, cioè una falla sconosciuta o non ancora corretta dai produttori software, riuscendo a operare indisturbati per giorni. La vulnerabilità era una variante evoluta di un difetto già noto, sufficientemente diversa da aggirare le contromisure esistenti.

Secondo i ricercatori di Eye Security, gli attaccanti erano in grado di estrarre dati sensibili dai server compromessi e l’operazione aveva una portata globale. La rapidità con cui Microsoft è stata costretta a intervenire dimostra quanto il fronte cyber sia ormai diventato un dominio di confronto strategico permanente tra Stati.

I gruppi citati da Microsoft non sono semplici organizzazioni criminali interessate al profitto economico. Linen Typhoon, attivo dal 2012, è stato associato in passato a operazioni contro enti governativi, organizzazioni della difesa e strutture impegnate nella pianificazione strategica. Violet Typhoon, operativo dal 2015, ha invece preso di mira ex funzionari governativi, personale militare, think tank, ONG e media occidentali, sia negli Stati Uniti sia in Europa e Asia. L’obiettivo non è soltanto rubare informazioni: è costruire un vantaggio strategico di lungo periodo.

Per comprendere realmente la portata della minaccia occorre però tornare al marzo 2024, quando Stati Uniti e Regno Unito accusarono formalmente il gruppo Apt31 di aver condotto per oltre un decennio operazioni sistematiche di cyber-spionaggio contro obiettivi occidentali. Londra denunciò il furto dei dati relativi a circa quaranta milioni di elettori britannici dai server della Electoral Commission, avvenuto tra il 2014 e il 2022. Non si trattava soltanto di nomi e indirizzi: secondo gli analisti occidentali, l’incrocio di queste informazioni con sistemi avanzati di analisi e intelligenza artificiale avrebbe consentito alla Cina di costruire modelli dettagliati di profilazione sociale e politica della popolazione britannica.

Parallelamente, le autorità americane rivelarono l’esistenza di malware cinesi installati da anni all’interno di infrastrutture strategiche statunitensi, incluse reti energetiche e sistemi legati alla difesa. Secondo l’intelligence di Washington, tali capacità sarebbero state predisposte in funzione di un possibile scenario di crisi attorno a Taiwan. L’obiettivo cinese sarebbe semplice quanto inquietante: rallentare o complicare la capacità degli Stati Uniti di intervenire militarmente nel Pacifico attraverso attacchi contro le infrastrutture civili americane. Energia, acqua, logistica e comunicazioni diventano così parte integrante del campo di battaglia.

Il Dipartimento di Giustizia statunitense arrivò a incriminare sette hacker cinesi accusati di aver operato per quattordici anni sotto la copertura della Wuhan Xiaoruizhi Science and Technology Company. I nomi in codice attribuiti dagli americani ‒ Zirconium, Violet Typhoon, Judgment Panda e Altaire ‒ sarebbero tutti riconducibili al Ministero per la Sicurezza di Stato cinese. È un elemento fondamentale: la distinzione tra cybercriminalità e apparato statale in Cina appare sempre più labile. In un sistema rigidamente controllato dal Partito Comunista Cinese, operazioni di questa portata difficilmente potrebbero svilupparsi senza almeno un livello di autorizzazione o tolleranza politica.

L’Italia, in questo contesto, rischia di rappresentare un bersaglio particolarmente vulnerabile. La digitalizzazione accelerata della pubblica amministrazione, l’interconnessione crescente tra sistemi civili e infrastrutture critiche e la dipendenza tecnologica da piattaforme globali ampliano enormemente la superficie d’attacco. Inoltre, la frammentazione amministrativa e la disomogeneità degli standard di sicurezza rendono il sistema nazionale meno resiliente rispetto ad altri partner occidentali.

L’inchiesta aperta a Roma assume quindi un significato che va ben oltre il singolo episodio. Se venisse confermato il coinvolgimento di gruppi riconducibili all’apparato cyber cinese, ci troveremmo davanti all’ennesima dimostrazione di come la competizione geopolitica contemporanea si giochi ormai quotidianamente nel cyberspazio, ben al di sotto della soglia del conflitto armato tradizionale. Le offensive cyber non servono necessariamente a distruggere immediatamente un sistema: servono a penetrarlo, mapparlo, comprenderne le vulnerabilità e mantenerlo sotto osservazione permanente in vista di future crisi.

È questo il punto che spesso sfugge nel dibattito pubblico europeo. Il cyber-spionaggio cinese non appare episodico né improvvisato. È metodico, persistente, strategico. Mira alla superiorità informativa e alla capacità di condizionare gli avversari senza sparare un colpo. La guerra ibrida del XXI secolo non inizia con i carri armati ma con l’accesso a un server, con una vulnerabilità zero-day, con un malware silente installato anni prima.

Per questo motivo l’Occidente continua a commettere un errore pericoloso: considerare ogni singolo attacco come un episodio isolato anziché come parte di una campagna sistemica. La Cina sta dimostrando di aver compreso prima di altri che il dominio cyber è il terreno ideale per erodere la superiorità occidentale evitando il confronto militare diretto. E mentre Europa e Stati Uniti discutono ancora di regolamenti, privacy e competenze amministrative, gli apparati cyber di Pechino operano già secondo una logica di conflitto permanente.

La vera domanda, dunque, non è se altri attacchi arriveranno. La domanda è se le democrazie occidentali abbiano realmente compreso di essere già dentro una guerra invisibile, combattuta ogni giorno nelle reti digitali che sostengono le loro istituzioni, le economie e perfino i processi democratici. Perché il cyberspazio non è più un dominio tecnico: è diventato uno dei principali teatri della competizione strategica globale. E chi continua a sottovalutarlo rischia di accorgersene soltanto quando i sistemi inizieranno a spegnersi davvero.

L’articolo Cyberwar silenziosa: l’offensiva degli hacker cinesi contro l’Occidente passa anche dall’Italia proviene da Difesa Online.

L’attacco informatico che nelle ultime settimane ha colpito sistemi riconducibili alla pubblica amministrazione italiana rappresenta soltanto l’ultimo episodio di una…

L’articolo Cyberwar silenziosa: l’offensiva degli hacker cinesi contro l’Occidente passa anche dall’Italia proviene da Difesa Online.