Negli ultimi mesi l’Italia ha individuato e gestito un tentativo di cyber-intrusione ai danni di reti riconducibili al Ministero dell’Interno, che ha comportato l’esfiltrazione di dati relativi a circa 5mila agenti della Digos.

La violazione, definita “mirata” e non distruttiva – finalizzata cioè all’acquisizione silenziosa di informazioni strategiche piuttosto che al sabotaggio dei sistemi – è stata individuata grazie alle capacità di monitoraggio sviluppate dalle strutture nazionali di sicurezza cibernetica.

L’episodio, attribuito da alcune fonti a gruppi riconducibili all’intelligence cinese, ha riaffermato una verità geopolitica tanto evidente quanto spesso trascurata: in un mondo digitalizzato, chi controlla l’informazione e il dato controlla il potere.

Ed è proprio per questo che l’Italia ha scelto di investire con determinazione sulla propria sovranità digitale.

Il perimetro specifico dell’attacco hacker cinese contro la Digos

Secondo le informazioni disponibili, l’operazione non avrebbe avuto carattere dimostrativo o indiscriminato, ma sarebbe stata orientata verso un perimetro informativo specifico, ovvero gli operatori impegnati nel monitoraggio del terrorismo e nelle attività di osservazione di contesti sensibili legati a comunità straniere, in particolare cinesi, presenti sul territorio nazionale.

Tale selettività suggerisce un interesse mirato alla comprensione delle capacità investigative italiane in ambiti ad alta rilevanza strategica, piuttosto che un semplice sfruttamento opportunistico di vulnerabilità tecniche.

Il contesto

La finestra temporale dell’intrusione si colloca in una fase di intenso dialogo istituzionale tra Italia e Cina su temi quali la cooperazione di polizia, il contrasto al cybercrime e alla criminalità organizzata transnazionale, un contesto che rende l’episodio particolarmente significativo sotto il profilo geopolitico.

APT o minacce persistenti avanzate

Attacchi di questa natura vengono ricondotti alla categoria delle minacce persistenti avanzate, note con l’acronimo APT.

Si tratta di operazioni pianificate nel tempo, condotte da soggetti dotati di risorse considerevoli e obiettivi precisi, spesso con un mandato che trascende il semplice guadagno economico per abbracciare finalità di intelligence strategica.

La Cina è da anni associata a gruppi APT che hanno colpito obiettivi governativi, infrastrutture critiche, università e centri di ricerca in Europa e negli Stati Uniti.

Il caso italiano si inserirebbe in questo pattern più ampio, pur mantenendo caratteristiche proprie legate al contesto bilaterale.

L’intrusione ha raffreddato il canale di cooperazione Italia – Cina

Il contesto diplomatico in cui si collocherebbe l’intrusione è di particolare rilievo.

Nel 2024, il Ministro dell’Interno Matteo Piantedosi si era recato a Pechino per avviare un piano triennale di cooperazione bilaterale su droga, tratta di esseri umani, cybercrimine e criminalità organizzata. Pattugliamenti congiunti e programmi di formazione rappresentavano il versante operativo di questa partnership.

Sarebbe proprio in questa fase che, secondo le ricostruzioni disponibili, l’Italia avrebbe chiesto spiegazioni alla controparte cinese sull’intrusione, senza
ottenere risposte considerate soddisfacenti.

Il canale di cooperazione si sarebbe così raffreddato: la sospensione dei pattugliamenti congiunti e il congelamento di alcune iniziative comuni sarebbero il riflesso diretto di questa crisi di fiducia.

La diplomazia della sicurezza si trova a dover gestire una tensione strutturale: la necessità di collaborare su obiettivi condivisi si scontra con il sospetto che un partner possa simultaneamente condurre operazioni ostili sulle stesse infrastrutture oggetto di cooperazione.

La Nis2, la risposta alle minacce

Nessuna rete è impenetrabile, ma ciò che distingue un sistema maturo è la capacità di rispondere, adattarsi e imparare.

L’Italia ha recepito con efficienza la direttiva europea NIS2, che rafforza la resilienza delle infrastrutture digitali critiche introducendo requisiti più stringenti per la gestione del rischio e la protezione dei dati in settori strategici come energia, trasporti, sanità e pubblica amministrazione.

L’Europa si è dimostrata compatta su questi temi: la NIS2 rappresenta una risposta collettiva, condivisa e ambiziosa alle minacce cibernetiche di natura statuale, e l’Italia è tra i Paesi che l’hanno recepita con maggiore tempestività e coerenza sistemica.

Si potenziano le politiche cyber in Italia

L’evento si inserisce in una fase di rafforzamento strutturale delle politiche di cybersicurezza in Italia. L’evoluzione del Perimetro di Sicurezza Nazionale Cibernetica, il ruolo crescente dell’Agenzia per la Cybersicurezza Nazionale, l’attuazione progressiva della direttiva NIS 2 e gli investimenti previsti dal PNRR contribuiscono a consolidare un approccio più integrato alla protezione delle infrastrutture critiche e dei sistemi pubblici.

In questa prospettiva, la gestione degli incidenti diventa anche occasione di apprendimento istituzionale e di miglioramento delle capacità difensive.

La cyber è un pilastro della sovranità nazionale

In tutto il mondo le intrusioni ransomware, il furto di credenziali e l’uso di malware avanzati si manifestano con frequenza e sofisticazione crescenti, configurando una minaccia ormai strutturale.

Cyber-criminali e attori statali non colpiscono soltanto per generare un danno immediato, ma per acquisire nel tempo vantaggi informativi in grado di incidere sugli equilibri politici, operativi e diplomatici.

In questo scenario, l’esperienza maturata conferma come una risposta efficace debba fondarsi su investimenti continuativi, cooperazione internazionale strutturata e standard di sicurezza costantemente aggiornati, elementi che consentono di ridurre l’impatto degli incidenti e rafforzare la resilienza complessiva dei sistemi.

La sfida che ne deriva non riguarda esclusivamente la prevenzione di singole intrusioni, ma la capacità di adattare in modo progressivo modelli organizzativi, alleanze internazionali e strumenti tecnologici a un contesto di minaccia persistente e in continua evoluzione.

In tale prospettiva, la cybersicurezza non è più una questione tecnica di nicchia, ma un pilastro fondamentale della sovranità nazionale e della fiducia che lega istituzioni, operatori e cittadini.