Attacco a Sistemi Informativi (IBM): sotto pressione un nodo critico della PA

Attacco a Sistemi Informativi (IBM): sotto pressione un nodo critico della PA.

Un attacco informatico colpisce Sistemi Informativi, snodo tecnologico per PA e grandi aziende. Le prime informazioni parlano di sistemi stabilizzati, ma mancano ancora indicazioni su dati e perimetro della violazione. In gioco c’è un’infrastruttura diffusa e profondamente integrata nei servizi pubblici

Nella giornata di ieri il quotidiano La Repubblica ha pubblicato un’esclusiva destinata a incidere sul tema della sicurezza digitale del Paese: Sistemi Informativi, società del gruppo IBM attiva nella gestione di infrastrutture IT per la Pubblica amministrazione e grandi aziende, sarebbe stata oggetto di un attacco informatico protratto per diversi giorni.

Secondo quanto riportato dalla stessa la Repubblica e ripreso anche da Adnkronos, IBM avrebbe confermato di aver identificato e contenuto un incidente di sicurezza, attivando i protocolli di risposta e coinvolgendo specialisti interni ed esterni. Sempre secondo queste fonti, i sistemi sarebbero stati stabilizzati e i servizi interessati ripristinati, mentre sono ancora in corso le attività di monitoraggio e analisi.

Il possibile ruolo di Salt Typhoon e la logica del cyberspionaggio

Secondo le informazioni riportate da la Repubblica, dietro l’operazione ci sarebbe Salt Typhoon, un gruppo classificato come Advanced Persistent Threat (APT), già emerso in diversi report internazionali per campagne di cyberspionaggio ad alto valore strategico, in particolare nel settore delle telecomunicazioni e delle infrastrutture critiche. In più occasioni, attività riconducibili a questo gruppo sono state associate – da fonti occidentali – a interessi statali cinesi, un collegamento che Pechino ha sempre respinto ufficialmente.

A differenza degli attacchi più visibili – come ransomware o sabotaggi operativi – le APT seguono una logica radicalmente diversa: non cercano l’impatto immediato, ma la permanenza. L’obiettivo è entrare nei sistemi, restarci il più a lungo possibile senza essere rilevati, muoversi lateralmente tra ambienti e credenziali e costruire nel tempo una mappa dettagliata delle infrastrutture. È in questa fase che avviene la raccolta di informazioni: dati, configurazioni, accessi, relazioni tra sistemi.

Nel caso specifico, sempre secondo le fonti, gli attaccanti potrebbero aver mantenuto l’accesso per circa due settimane. Un arco temporale che, in ambienti complessi come quelli gestiti da Sistemi Informativi, può essere sufficiente non solo per individuare asset critici, ma anche per comprendere flussi operativi, interconnessioni e punti di vulnerabilità lungo l’intera filiera digitale.

Un nodo sensibile per la PA e le infrastrutture critiche

Il profilo di Sistemi Informativi rende l’episodio particolarmente rilevante e, per certi versi, sistemico. La società opera infatti come uno dei principali bracci operativi di IBM in Italia per la gestione di progetti complessi su larga scala, occupandosi di infrastrutture, piattaforme e servizi che stanno alla base del funzionamento quotidiano di amministrazioni pubbliche e grandi organizzazioni private.

La sua presenza si estende in modo trasversale su diversi ambiti critici: dalla Pubblica amministrazione centrale e locale ai grandi gruppi nei settori finanziario, telecomunicazioni ed energia. Tra le collaborazioni figurano enti come INPS e INAIL, oltre a numerosi progetti legati alla sanità digitale, al cloud nazionale e alle iniziative connesse al PNRR.

È proprio questa capillarità a rendere più delicata la valutazione dell’incidente. In contesti di questo tipo, il rischio riguarda proprio la possibilità di accedere a ecosistemi complessi, fatti di interconnessioni tra sistemi, fornitori e servizi. In assenza, al momento, di indicazioni precise sui dati coinvolti, è questo livello “infrastrutturale” a determinare il potenziale impatto dell’attacco.

Le attività delle autorità e i punti ancora da chiarire

Sul fronte istituzionale, secondo quanto riportato da la Repubblica, Agenzia per la Cybersicurezza Nazionale sarebbe già al lavoro per analizzare l’incidente e definirne origine e impatto. Indicazioni analoghe emergono anche da Adnkronos, che riporta come le autorità competenti abbiano attivato le procedure previste per la gestione dell’evento e la tutela dei dati, con l’obiettivo di garantire la continuità dei servizi.

Accanto alle informazioni ufficiali – tutte ancora parziali – restano però diversi elementi di contesto che contribuiscono a delineare un quadro ancora in evoluzione. Al momento della pubblicazione, il sito di Sistemi Informativi non risulta accessibile, mentre sui canali social della società non compaiono comunicazioni pubbliche relative all’incidente.

Restano inoltre aperte le principali questioni tecniche e operative: la natura e l’estensione dei sistemi coinvolti, l’eventuale esfiltrazione di dati, i tempi effettivi di permanenza degli attaccanti e il perimetro reale dell’incidente, inclusa la possibile estensione ad altre entità collegate.

Da parte nostra, abbiamo contattato IBM per ottenere un commento ufficiale e ulteriori dettagli sull’accaduto. Al momento siamo in attesa di un loro riscontro.