La PA italiana è finita di nuovo nell’occhio del ciclone. Sistemi Informativi, società romana del gruppo IBM, ha subìto un attacco cyber, confermato ufficialmente dopo l’attivazione dei protocolli di incident response e il coinvolgimento di esperti di cybersecurity sia interni sia esterni, incluso un team dell'Agenzia per la Cybersicurezza Nazionale. Sotto indagine è il gruppo APT noto come Salt Typhoon, allineato con la Cina, ma l’attribuzione non è ancora ufficiale. Le indagini forensi sono ancora in corso.

Un target differente da Sistemi Informativi, che gestisce l'infrastruttura tecnologica per la pubblica amministrazione italiana, oltre che quella di banche, assicurazioni e grandi aziende private. A seguito dell’attacco, il sito di Sistemi Informativi è rimasto irraggiungibile per alcune ore durante le operazioni di contenimento. I sistemi sono tornati stabili in poco tempo e i servizi ripristinati. Le notizie sono frammentarie, ma stando alle ricostruzioni della stampa nazionale gli attaccanti sarebbero rimasti all'interno dei sistemi aziendali per circa due settimane prima di essere individuati, raccogliendo informazioni senza produrre danni immediatamente visibili. 

Il gruppo non è nuovo, ha già colpito diversi obiettivi europei, fra cui Viasat, società canadesi delle telecomunicazioni, reti dell'U.S. Army National Guard ed enti governativi olandesi. In Italia, pochi mesi prima di questo episodio, un attacco ai sistemi del Viminale aveva esposto i dati di circa 5.000 agenti della Digos. Gli analisti occidentali collegano Salt Typhoon agli apparati statali cinesi, benché Pechino abbia sempre respinto ogni addebito. L'FBI ha stimato che questo gruppo abbia finora compromesso almeno 200 organizzazioni distribuite in 80 paesi. Al contrario degli attaccanti interessati al profitto, l'obiettivo in questo caso è sempre la raccolta silente di informazioni ad alto valore strategico. 

La frammentarietà delle informazioni non permette una ricostruzione esaustiva dell’accaduto nel caso di Sistemi Informativi. Gli esperti non escludono lo sfruttamento di una vulnerabilità zero-day in un software di gestione remota utilizzato per la manutenzione dei server della PA. È una tecnica già usata dal gruppo in passato, ma non esclude un percorso di accesso meno oneroso sotto l’aspetto tecnico, come l’uso di una credenziale valida estorta a un dipendente tramite ingegneria sociale.

Al momento non ci sono informazioni circa l'effettiva quantità e qualità di dati eventualmente sottratti durante le due settimane di accesso non autorizzato. Oggi il Ministro per la Pubblica Amministrazione Paolo Zangrillo ha dichiarato che tutte le parti istituzionali competenti stanno portando avanti le procedure previste dalla normativa per definire i contorni degli attacchi ai vari sistemi interessati, con l'obiettivo di tutelare i dati e garantire i servizi. 

Il caso Sistemi Informativi riporta in primo piano una vulnerabilità strutturale che riguarda tutto il Vecchio Continente: la concentrazione di infrastrutture critiche nelle mani di pochi grandi fornitori IT crea punti di accesso ad altissima resa per gli APT, perché compromettere un solo gestore consegna la visibilità su decine di enti pubblici, banche e infrastrutture strategiche senza doverli violare separatamente. È un moltiplicatore di forza che Salt Typhoon ha già sfruttato altrove, e anche per questo è un buon candidato all’attribuzione.

L'aspetto forse più rilevante riguarda la permanenza: due settimane di accesso indisturbato sono un tempo sufficiente per mappare architetture, esfiltrare credenziali e dati. Il danno di un'operazione di questo tipo non si misura nel blocco produttivo o dei servizi forniti, ma nel valore dei dati a cui gli attaccanti hanno avuto accesso, che per definizione non emerge nelle prime ore di incident response. Purtroppo quanto accaduto non è un’eccezione e gli addetti ai lavori lo sanno benissimo.