Punti chiave
Nel silenzio dei data center governativi, tra il 2024 e il 2025, qualcuno è entrato nelle reti del Viminale senza farsi notare. Non ha puntato ai siti vetrina, agli obiettivi simbolici, ma alla parte più sensibile dell’infrastruttura digitale del Ministero dell’Interno. Da lì, secondo le ricostruzioni giornalistiche e investigative, ha prelevato la lista di circa 5.000 agenti della Digos, il braccio investigativo chiamato a occuparsi di terrorismo, estremismo politico e dissidenti stranieri.
Si tratta di nomi, incarichi, sedi operative, dettagli di servizio che compongono la mappa interna di una parte della sicurezza italiana. Un patrimonio informativo che, una volta uscito dal perimetro protetto dell’amministrazione, diventa vulnerabilità. Secondo più testate italiane e internazionali, dietro l’operazione ci sarebbero gruppi di hacker riconducibili all’orbita della Repubblica Popolare Cinese.
In questa storia, la cybersicurezza dello Stato non è un tema astratto, ma il punto in cui si incontrano geopolitica, intelligence e la vita concreta di migliaia di funzionari in carne e ossa.
La sottrazione dei dati e il ruolo della Digos
Il colpo, per come viene descritto, è chirurgico. Attraverso un’intrusione nella rete del Ministero dell’Interno, gli aggressori riescono a scaricare file riservati che contengono i profili di circa 5.000 agenti della Digos. Nell’elenco compaiono in particolare gli operatori impegnati nel monitoraggio del terrorismo e soprattutto nel tracciamento dei dissidenti cinesi presenti in Italia.
Questo dettaglio è cruciale. Se confermato, significa che chi ha eseguito l’operazione non si è limitato a dimostrare di poter violare un’infrastruttura, ma ha mirato a un segmento ben preciso dell’apparato di sicurezza italiano: chi guarda dentro le comunità cinesi, chi indaga sulle reti economiche e criminali legate a Pechino, chi raccoglie testimonianze di lavoratori sfruttati o imprenditori sotto pressione.
Le ricostruzioni parlano di una finestra temporale ampia, con attività malevole distribuite tra il 2024 e il 2025, in un periodo in cui l’Italia e la Cina discutevano di cooperazione su droga, cybercrime e criminalità organizzata. È in quella fase che, secondo le fonti mediatiche, sarebbero transitati nei server del Viminale i flussi di dati poi intercettati dagli intrusi.
Le fonti dell’attribuzione a Pechino
L’attribuzione alla Cina non deriva da un comunicato tecnico dettagliato pubblicato da un’agenzia nazionale di cybersicurezza, ma da un insieme di elementi raccolti da giornali e fonti investigative. La Repubblica, che ha per prima raccontato la vicenda, viene ripresa da altri media italiani che parlano esplicitamente di “hacker cinesi”.
In parallelo, siti di analisi in lingua inglese ricostruiscono la storia: un attacco che espone i dati di 5.000 ufficiali italiani impegnati nell’antiterrorismo e nella sorveglianza dei dissidenti cinesi. Il quadro viene ulteriormente rilanciato da aggregatori internazionali, che riferiscono di pirati informatici ritenuti vicini alla Cina con accesso a dati sensibili di investigatori italiani.
Nel linguaggio della sicurezza informatica, la Cina è da anni associata a gruppi di minaccia avanzata, le cosiddette APT, che combinano capacità tecniche e mandato politico. L’episodio italiano, se inserito in questa cornice, si colloca in un pattern di operazioni mirate a obiettivi governativi, infrastrutture critiche e centri di ricerca, in Europa e negli Stati Uniti.
Qui sta uno dei nodi sensibili del racconto: il termine apparato di intelligence emerge di continuo nelle analisi, ma finora senza un dossier pubblico che esponga indicatori di compromissione, log, vettori di attacco. Ciò rende l’attribuzione forte sul piano politico, ma ancora opaca sul piano tecnico per l’opinione pubblica.
Diplomazia, cooperazione e brusca frenata
L’attacco informatico non esplode in un vuoto diplomatico. Secondo diverse ricostruzioni, nel 2024 il ministro dell’Interno Matteo Piantedosi si era recato a Pechino per incontrare il suo omologo Wang Xiaohong, avviando un piano triennale di cooperazione su droga, cybercrime, tratta di esseri umani e criminalità organizzata. Sul tavolo c’erano anche le richieste italiane di supporto nelle indagini su reti criminali cinesi attive in Toscana e in altre regioni, tra sfruttamento lavorativo, estorsioni e violenze.
Nello stesso periodo, i magistrati italiani lanciavano appelli pubblici che hanno portato centinaia di lavoratori sfruttati e imprenditori cinesi sotto minaccia a collaborare con le autorità. In parallelo, Roma e Pechino avviavano pattugliamenti congiunti nelle aree a forte presenza cinese e progetti di formazione per agenti cinesi sul territorio italiano.
Sarebbe proprio a ridosso di questa fase che, secondo le ricostruzioni giornalistiche, l’Italia avrebbe chiesto spiegazioni a Pechino per l’intrusione informatica nei sistemi del Viminale, senza ottenere risposte soddisfacenti. Da lì, l’inaridimento del dialogo, la sospensione delle pattuglie congiunte e la decisione di congelare parte della cooperazione.
Per Roma, l’idea che un partner in materia di sicurezza possa nel frattempo sondare le sue reti interne e mappare chi indaga sulle sue comunità rappresenta una frattura profonda. Per Pechino, le accuse di cyber‑spionaggio sono ormai quasi sistemiche: la risposta standard, in casi analoghi, è la smentita e l’accusa di “politicizzazione” del tema.
In questo intreccio, la diplomazia della sicurezza diventa un esercizio di equilibrio tra necessità operative e sospetto reciproco.
I rischi concreti per gli agenti e per le indagini
Al centro della vicenda ci sono gli agenti, non i server. I dati sottratti non riguardano semplici account di posta o credenziali tecniche, ma l’identità e il ruolo operativo di funzionari che vivono sotto vincoli di riservatezza e, spesso, di esposizione personale. L’elenco delle persone coinvolte equivale a una mappa di chi, nello Stato, è incaricato di osservare e intervenire su fronti sensibili.
Se qualcuno conosce il nome di un investigatore, il suo incarico e la sua sede, può incrociare questi elementi con informazioni raccolte su strada, intercettazioni, fonti aperte. Può cercare di identificarne i contatti, ricostruire la rete di relazioni, capire chi incontra, chi interroga, quali ambienti frequenta. In casi estremi, può valutare se esercitare pressioni su persone a lui vicine, anche solo in forma di intimidazione indiretta.
Per gli investigatori impegnati sul fronte dei dissidenti cinesi, il rischio è duplice. Da un lato, l’esposizione personale nei confronti di apparati di sicurezza stranieri che potrebbero seguirne i movimenti anche fuori dall’Italia. Dall’altro, la possibilità che chi ha parlato con loro, confidando nella discrezione dello Stato italiano, si senta improvvisamente smascherato e vulnerabile.
Si tratta di un effetto che va oltre la singola operazione informatica. Se la percezione di sicurezza delle fonti viene meno, l’intero circuito di raccolta di informazioni su reti criminali e politiche legate alla Cina può indebolirsi, rallentare, chiudersi.
In questo senso, l’esposizione dei dati non è solo un danno alla privacy degli agenti, ma un potenziale colpo alla capacità investigativa italiana su uno dei dossier più delicati dell’agenda interna.
Una falla che si inserisce in un pattern
L’attacco al Viminale non è un episodio isolato nel panorama italiano. Negli ultimi anni, diverse inchieste hanno documentato intrusioni in istituzioni pubbliche, fughe di dati di massa e campagne di spionaggio prolungate. In un caso recente, è emerso un maxi data breach con informazioni su centinaia di migliaia di persone, compresi vertici istituzionali, finiti in mani private.
Sul versante specificamente legato alla Cina, analisi tecniche e procedimenti giudiziari internazionali hanno più volte collegato individui e aziende cinesi a operazioni di cyber‑spionaggio su larga scala. In Italia, un cittadino cinese è stato arrestato in esecuzione di un mandato statunitense, accusato di aver collaborato con gruppi APT vicini agli apparati di sicurezza di Pechino in campagne contro agenzie governative e università americane.
In questo contesto, l’episodio dei 5.000 agenti Digos appare come un tassello ulteriore di una partita che si gioca su più livelli: vulnerabilità infrastrutturali, presenza di fornitori esterni, complessità delle catene di manutenzione, ritardi nell’adozione di standard di sicurezza aggiornati. Una partita in cui gli attaccanti sembrano spesso avere un vantaggio di tempo, risorse e libertà d’azione rispetto alle difese.
Il termine “cyber‑resilienza” è ormai onnipresente nei documenti ufficiali, ma casi come questo mostrano quanto sia difficile tradurre concetti e linee guida in pratiche quotidiane robuste, soprattutto all’interno di amministrazioni ampie e stratificate.
La fragilità strutturale delle reti pubbliche, quando tocca direttamente gli apparati di sicurezza, diventa anche fragilità politica.
Il fronte politico interno e le domande senza risposta
La rivelazione del furto dei dati Digos ha immediatamente aperto un fronte politico interno. Le opposizioni hanno chiesto chiarimenti al ministro dell’Interno e al governo nel suo complesso, domandando come sia stato possibile un attacco a quel livello e quali misure siano state adottate per proteggere gli agenti coinvolti. Diverse interrogazioni parlamentari, riportate dai media, puntano su due aspetti: la trasparenza verso l’opinione pubblica e la concretezza delle contromisure.
L’esecutivo si muove in un equilibrio delicato. Da un lato, la necessità di rassicurare i cittadini, le forze di polizia e i partner internazionali sulla tenuta dei sistemi di sicurezza. Dall’altro, il timore che una comunicazione troppo dettagliata possa esporre ulteriormente le falle, offrendo informazioni preziose a chi volesse replicare l’attacco.
Nel frattempo, la narrazione pubblica resta affidata in larga parte alle inchieste giornalistiche e alle analisi di think tank e media specializzati. Alcuni di questi sottolineano l’asimmetria tra la portata dell’episodio e la relativa scarsità di spiegazioni tecniche diffuse dalle istituzioni. Altri insistono sul rischio che la vicenda sia assorbita nel flusso della cronaca senza diventare davvero un punto di svolta nelle politiche di cybersicurezza.
Resta aperta una domanda di fondo: quanto a lungo un Paese può convivere con una superficie d’attacco così ampia senza ripensare radicalmente i propri sistemi, le proprie priorità e il modo di concepire la sicurezza, digitale e umana. È una domanda che non riguarda solo l’Italia, ma che in questo caso passa, in modo molto concreto, per la vita e il lavoro di 5.000 persone, e per la credibilità complessiva delle istituzioni chiamate a proteggerle.
