Per due settimane, i server che gestiscono i dati previdenziali di milioni di italiani sono stati sotto il controllo di un gruppo hacker legato alla Cina. Nessun ransomware, nessuna richiesta di riscatto: solo raccolta silenziosa e sistematica di informazioni. L’obiettivo di Salt Typhoon — questo il nome del gruppo — non è il denaro. È sapere tutto di tutti. La notizia è uscita nei primissimi giorni di maggio 2026 e riguarda Sistemi Informativi, una società controllata da IBM che gestisce l’infrastruttura digitale di INPS, INAIL, ministeri e parte del sistema sanitario nazionale.
Se hai un contributo versato, una pratica previdenziale, un infortunio sul lavoro registrato — i tuoi dati erano lì.
Cosa è successo: due settimane invisibili
Salt Typhoon è classificato come APT (Advanced Persistent Threat): non entra, colpisce ed esce. Entra, si nasconde, resta. Per settimane, a volte mesi. L’obiettivo non è distruggere dati o chiedere riscatti, ma esfiltrarli silenziosamente — copiarli, mandarli da qualche parte, e sparire senza lasciare tracce evidenti.
In questo caso, gli attaccanti sarebbero rimasti attivi per circa due settimane prima che i tecnici interni, supportati dall’Agenzia per la Cybersicurezza Nazionale (ACN), si accorgessero dell’intrusione. Come sono entrati? Secondo le prime ricostruzioni, attraverso una chiave API compromessa associata a un sistema cloud. Non un attacco sofisticato in stile hollywoodiano: una porta lasciata socchiusa nell’architettura IT di un fornitore che gestisce dati di Stato.
Sistemi Informativi lavora con INPS, INAIL, il cloud nazionale della PA, i progetti PNRR digitali e il sistema sanitario. È, in pratica, il cuore informatico della pubblica amministrazione italiana. E per due settimane, qualcuno ci ha vissuto dentro.
Cosa rischi tu, concretamente
La domanda che tutti si fanno è: i miei dati sono stati rubati? La risposta onesta, al momento, è che nessuno lo sa con certezza. L’ACN ha dichiarato di star lavorando per definire “l’origine e il possibile impatto dell’attacco”. I sistemi sono stati stabilizzati e i servizi ripristinati. Ma nessuno è in grado di dire con precisione quali dati siano stati esfiltrati.
Quello che sappiamo è la tipologia di dati a cui questi sistemi avevano accesso:
- Dati INPS: contributi versati, posizione lavorativa, situazione reddituale, storico contrattuale, informazioni su pensioni e ammortizzatori sociali.
- Dati INAIL: infortuni sul lavoro, malattie professionali, informazioni mediche e assicurative.
- Dati ministeriali e sanitari: a seconda di quali nodi siano stati effettivamente compromessi.
Salt Typhoon non agisce per il mercato nero dei dati. Agisce per lo Stato cinese, con obiettivi geopolitici: profilazione di funzionari pubblici, lavoratori in settori sensibili, persone con ruoli istituzionali. Ma in un sistema dove i dati di 60 milioni di italiani sono aggregati in un’unica infrastruttura, anche i “normali cittadini” diventano potenzialmente interessanti come vettori indiretti.
Il problema sistemico: i tuoi dati non sono tuoi
Questo attacco solleva una questione che va molto oltre Salt Typhoon: il modello con cui la pubblica amministrazione italiana gestisce i dati dei cittadini è intrinsecamente vulnerabile. Centralizzare tutto in un’unica infrastruttura, affidata a un fornitore privato (IBM, nel caso specifico), crea un bersaglio enorme. Un singolo punto di fallimento che, se compromesso, espone milioni di persone contemporaneamente.
Non hai scelto di affidare i tuoi dati previdenziali a Sistemi Informativi. Non hai firmato nulla. Eppure i tuoi dati erano lì, e ora potrebbero essere in mani sconosciute.
Questo è il paradosso della sovranità digitale assente: lo Stato raccoglie i tuoi dati per obblighi di legge, li delega a soggetti privati, e quando questi vengono violati — tu non sei parte in causa. Sei semplicemente l’interessato che riceverà, forse, una notifica tardiva.
Cosa puoi fare (anche se non puoi “proteggerti” da questo)
Essere onesti è importante: non esiste nulla che tu possa fare per impedire a INPS di conservare i tuoi dati contributivi. Sono obbligatori per legge. Ma ci sono alcune azioni concrete che ha senso prendere:
Monitora la tua identità digitale. Usa servizi come HaveIBeenPwned per verificare se le tue email sono apparse in breach precedenti. Non risolve questo caso, ma ti dà visibilità generale sulla tua esposizione.
Attiva l’autenticazione a due fattori ovunque. Se i tuoi dati sono stati rubati e qualcuno tenta di usarli per accedere ai tuoi account, il 2FA è la tua ultima linea di difesa.
Sii scettico verso comunicazioni inaspettate. Dopo un breach di questa portata, aumentano i tentativi di phishing mirato (spear phishing): email o SMS che usano informazioni reali su di te per sembrare credibili. Non cliccare su link in comunicazioni che non hai richiesto.
Separa la tua identità digitale dove puoi. Usa email alias per i servizi online, non riusare le stesse credenziali, considera un password manager come Vaultwarden (ne parleremo nella nostra serie self-hosting).
Conclusione
L’attacco Salt Typhoon a Sistemi Informativi IBM non è un episodio isolato: è un segnale di come la cybersecurity della PA italiana sia strutturalmente fragile, e di come i dati dei cittadini siano esposti a rischi che nessuno ha mai chiesto loro di accettare. Non puoi uscire dal sistema previdenziale. Ma puoi iniziare a costruire attorno a te una igiene digitale che limita i danni quando — non se — il prossimo breach arriverà.
Fonti:
- Hacker cinesi Salt Typhoon attaccano IBM Italia – Il Fatto Quotidiano
- Maxi attacco hacker cinese: rubati dati di Inps e Inail – Il Giornale
- IBM Italia colpita da Salt Typhoon: il cyberspionaggio cinese entra nella PA – ICT Security Magazine
- Attacco a Sistemi Informativi: la PA italiana è fragile – Cyber Security 360
- Personal data breaches in Europe reach 443 per day – DLA Piper