Mentre Roma e Pechino brindavano alla cooperazione, hacker cinesi svuotavano in silenzio i database del Ministero dell’Interno.

Una storia di spionaggio, diplomazia e doppio gioco, e di quanto sia urgente cambiare il nostro modo di pensare alla sicurezza digitale.

Immaginate di scoprire che, mentre stringevate la mano a qualcuno per siglare un accordo, quell’uomo vi stava già frugando nelle tasche.

È, in sintesi, quello che sarebbe accaduto tra l’Italia e la Cina tra il 2024 e il 2025: una storia di diplomazia in superficie e spionaggio informatico nel sottosuolo. Una storia che dovrebbe farci riflettere non solo su Pechino, ma su noi stessi, su come proteggiamo i nostri dati, le nostre istituzioni, e le persone che lavorano per renderci sicuri.

Cyber attacco cinese al Viminale

Secondo quanto riportato recentemente dal quotidiano La Repubblica l’operazione di cyber- intrusione ha colpito le infrastrutture del Ministero dell’Interno, con la sottrazione di informazioni sensibili relative a circa cinquemila agenti della Digos – la Divisione Investigazioni Generali e Operazioni Speciali della Polizia di Stato.

Al centro dell’interesse degli hacker i nomi, gli incarichi e le sedi operative degli agenti impegnati in attività sensibili, come l’antiterrorismo e i controlli sulle comunità straniere, ma anche il tracciamento dei dissidenti di Pechino rifugiati nel nostro Paese.

Un’operazione gestita in silenzio e per questo ancora più insidiosa. Nessun allarme immediato, nessun sistema in crash. Solo dati che scivolano via, invisibili, verso destinazioni sconosciute. Come un ladro che non sfonda la porta, ma ha una copia della chiave.

Questo tipo di attacco ha un nome preciso nel gergo della sicurezza informatica: esfiltrazione.

Non si tratta di distruggere o bloccare, ma di osservare e copiare. L’obiettivo non è paralizzare il nemico, ma capirlo, mappare la sua struttura interna, conoscere i suoi uomini, anticipare le sue mosse.

È spionaggio nel senso più classico del termine, semplicemente condotto su un campo di battaglia che non ha confini fisici.

Il doppio gioco di Pechino

La vicenda assume contorni ancora più inquietanti se si guarda al contesto diplomatico in cui è maturata.

Il furto di dati è avvenuto, infatti, proprio mentre l’Italia e la Cina avevano deciso di rafforzare la collaborazione giudiziaria su droga, cybercrime, tratta di esseri umani e criminalità organizzata.

Nel 2024 il ministro dell’Interno Matteo Piantedosi aveva incontrato a Pechino il suo omologo cinese Wang Xiaohong. In quel periodo, la narrativa ufficiale era quella di due Paesi che imparavano a lavorare insieme contro le mafie transnazionali.

La Cina aveva persino risposto per la prima volta a una rogatoria italiana, un segnale incoraggiante di apertura giudiziaria. Sul tavolo c’erano accordi concreti, visite reciproche, squadre miste.

L’ipotesi investigativa è quella di una duplice strategia da parte della Cina: da una parte si proponeva aiuto nella lotta alla criminalità, ma nello stesso tempo si stava approfittando della situazione per ricavare informazioni sulle strutture italiane impegnate nelle indagini.

Il momento cruciale arriva a novembre 2025, durante un incontro a Prato tra magistrati italiani e una delegazione cinese guidata dall’assistente del ministro della Pubblica sicurezza.

Il pm Luca Tescaroli si sarebbe accorto del fatto che la controparte cinese conoscesse molto di più di quanto l’Italia aveva loro fatto sapere. Un dettaglio, una frase fuori posto, una domanda troppo precisa aveva tradito una conoscenza che non avrebbe dovuto esistere. Un segnale d’allarme impossibile da ignorare.

Come confermato dal Dipartimento di pubblica sicurezza del ministero degli Interni, “gli attacchi erano finalizzati a tentare di localizzare i cittadini cinesi dissidenti presenti nel territorio italiano e a identificare i poliziotti delle Digos impegnati nelle attività investigative nei confronti dei gruppi cinesi operanti in Italia”.

Una mappa del sistema di protezione italiano per i rifugiati politici

In pratica, una mappa dettagliata del sistema di protezione italiano per i rifugiati politici.

Un documento che, nelle mani sbagliate, potrebbe mettere in pericolo vite umane, quelle dei dissidenti, certo, ma anche quelle degli agenti che li proteggono e che ora potrebbero essere oggetto di pressioni, ricatti o peggio.

Quando l’Italia ha chiesto spiegazioni, è calato il silenzio.

Di fronte alla richiesta di chiarimenti e alla mancata risposta della Cina sull’intrusione informatica nella rete del Viminale, l’Italia ha congelato la cooperazione, sospendendo i pattugliamenti congiunti nelle città con forte presenza cinese e la formazione di agenti cinesi in Italia.

L’Italia nel mirino globale

L’Italia non è un bersaglio occasionale: è un obiettivo strategico. Sede di istituzioni europee, crocevia di traffici commerciali, Paese con una significativa comunità cinese e con una forte presenza di dissidenti politici. Essere nel mirino non è una sfortuna – è, in un certo senso, una misura della nostra rilevanza geopolitica.

Ma questa consapevolezza deve tradursi in responsabilità concreta.

Ed è qui che arriviamo al cuore della questione. Perché episodi come questo accadono? Non sempre per mancanza di tecnologia o di budget. Spesso accadono per qualcosa di più sottile e pervasivo: una cultura della sicurezza digitale ancora troppo fragile, una “postura digitale” – come la chiamano gli esperti – che non è all’altezza delle minacce del nostro tempo.

Si tratta di un concetto che va ben oltre un buon antivirus installato. È un atteggiamento, un modo di stare nel mondo digitale.

È la consapevolezza che ogni clic, ogni password debole, ogni email aperta senza attenzione, ogni dispositivo connesso a una rete non sicura rappresenta una potenziale porta di ingresso per chi vuole entrare senza essere invitato.

Nel caso del Viminale, non sappiamo ancora con precisione quale vulnerabilità sia stata sfruttata.

Tuttavia gli esperti del settore sono concordi su un punto: la maggior parte delle violazioni informatiche di successo non sfrutta tecnologie fantascientifiche.

Sfrutta errori umani: una credenziale non aggiornata, un accesso non revocato, una rete non sufficientemente segmentata.

Formare le persone: l’investimento più importante

In questo scenario, la formazione non è un optional. È la prima linea di difesa.
Eppure, nella maggior parte delle organizzazioni – pubbliche e private – la cyber security è ancora percepita come un problema tecnico da delegare all’ufficio IT.

Si acquistano firewall, si installano sistemi di monitoraggio, si aggiornano i software. E poi si dimentica che a premere i tasti, ad aprire le email, a gestire gli accessi sono le persone. E le persone commettono errori, a meno che non vengano adeguatamente formate per non commetterli.

Una formazione efficace sulla sicurezza digitale non significa fare un corso di un’ora ogni anno e firmare un modulo.

Significa costruire nei dipendenti – a ogni livello, dall’impiegato al dirigente – una mentalità orientata alla sicurezza. Significa insegnare a riconoscere un’email di phishing, a non usare la stessa password per l’account Netflix e per l’accesso ai sistemi aziendali, a capire perché non si collega una pendrive trovato per terra alla propria postazione di lavoro.

Significa, soprattutto, creare una cultura in cui segnalare un comportamento sospetto non è una seccatura burocratica, ma un atto di responsabilità professionale.

Un ambiente dove dire “ho cliccato su qualcosa di strano” non genera vergogna o punizioni, ma una risposta rapida che può fare la differenza tra un incidente isolato e una catastrofe.

Nel contesto delle forze dell’ordine e delle istituzioni pubbliche, questo è ancora più critico. Chi lavora con dati sensibili – nomi di agenti, localizzazione di testimoni protetti, fascicoli investigativi – deve essere formato non solo sulle procedure operative, ma anche sul rischio digitale che ogni giorno accompagna il suo lavoro.

Ogni accesso a un sistema, ogni file scaricato, ogni messaggio ricevuto può essere un vettore di attacco.

Costruire la resilienza digitale: una questione di sistema

Il caso dei cinquemila agenti Digos è un campanello d’allarme che suona forte e chiaro.

La resilienza digitale – la capacità di resistere agli attacchi, rilevare le intrusioni e riprendersi dai danni – non si costruisce con una legge o un decreto.

Si costruisce giorno per giorno, attraverso scelte coerenti: investimenti in formazione, architetture di sistema progettate con la sicurezza come priorità, cultura organizzativa che valorizza la segnalazione dei problemi, e una
leadership che consideri la cybersecurity non un costo da ridurre, ma una componente essenziale della missione istituzionale.

È una sfida culturale prima ancora che tecnologica. E come tutte le sfide culturali, richiede tempo, volontà e – soprattutto – la consapevolezza che il problema riguarda tutti.

Non solo gli esperti di sicurezza informatica. Non solo i ministeri e le forze dell’ordine. Ognuno di noi, nel proprio contesto professionale e privato, è un nodo di una rete più grande. E ogni nodo debole è una vulnerabilità che qualcuno, da qualche parte nel mondo, sta cercando di sfruttare.