IBM e PA italiana: l’incidente di sicurezza che espone dati sensibili

IBM ha confermato un incidente di sicurezza che ha coinvolto infrastrutture critiche della Pubblica amministrazione italiana. La notizia, emersa nelle ultime ore, solleva interrogativi profondi sulla resilienza dei sistemi informatici statali e sulla catena di responsabilità quando i servizi pubblici vengono esternalizzati a fornitori privati internazionali.

Cosa sappiamo dell’incidente

Secondo le prime ricostruzioni, la violazione avrebbe interessato sistemi gestiti da IBM nell’ambito di contratti di outsourcing con enti della PA italiana. L’azienda ha rilasciato una dichiarazione in cui conferma di aver rilevato attività anomale su alcune infrastrutture e di aver immediatamente attivato i protocolli di incident response.

I dettagli tecnici restano parziali, ma fonti vicine alla vicenda indicano che l’attacco potrebbe aver sfruttato vulnerabilità nella supply chain software, un vettore sempre più comune secondo il ENISA Threat Landscape 2024. Non è ancora chiaro se siano stati esfiltrati dati personali di cittadini italiani o informazioni classificate.

Il contesto: PA italiana e dipendenza dai vendor esterni

L’Italia ha storicamente affidato porzioni significative della propria infrastruttura digitale a grandi system integrator internazionali. IBM, insieme a player come Accenture, Leonardo e Engineering, gestisce contratti pluriennali che spaziano dai data center alla manutenzione applicativa, passando per servizi cloud ibridi.

Questa architettura presenta vantaggi evidenti in termini di competenze e scalabilità, ma introduce anche rischi sistemici. Quando un singolo fornitore gestisce servizi per decine di enti pubblici, una compromissione può propagarsi rapidamente. È il principio del single point of failure applicato su scala nazionale.

L’Agenzia per la Cybersicurezza Nazionale (ACN), operativa dal 2021, ha più volte sottolineato la necessità di rafforzare i controlli sui fornitori terzi. Il Perimetro di Sicurezza Nazionale Cibernetica impone già obblighi stringenti, ma l’enforcement resta una sfida.

Anatomia di un attacco alla supply chain

Gli attacchi alla supply chain software rappresentano una delle minacce più insidiose nel panorama attuale. Il caso SolarWinds del 2020 ha dimostrato come un singolo componente compromesso possa garantire accesso a migliaia di organizzazioni. Più recentemente, la vulnerabilità in MOVEit Transfer ha colpito centinaia di aziende e governi nel 2023.

Il meccanismo è relativamente semplice nella sua logica:

• L’attaccante identifica un fornitore software o di servizi con accesso privilegiato ai sistemi target
• Compromette l’ambiente del fornitore, spesso sfruttando vulnerabilità zero-day o credenziali rubate
• Utilizza i canali di aggiornamento o accesso remoto legittimi per infiltrarsi nei clienti finali
• Stabilisce persistenza e inizia l’esfiltrazione o altre attività malevole

Per la PA italiana, questo scenario è particolarmente critico. I dati gestiti includono informazioni fiscali, sanitarie, giudiziarie e anagrafiche di milioni di cittadini, oltre a comunicazioni interne potenzialmente sensibili.

Le implicazioni per la sicurezza nazionale

Non tutti gli incidenti di sicurezza hanno rilevanza strategica, ma quando sono coinvolte infrastrutture della PA, la valutazione cambia radicalmente. L’ACN classifica come operatori di servizi essenziali numerosi enti pubblici, sottoponendoli a obblighi rafforzati di notifica e risposta.

Il rischio principale non è solo la perdita di dati, ma la possibilità che attori statali ostili acquisiscano informazioni utilizzabili per:

• Operazioni di intelligence mirate contro funzionari pubblici
• Campagne di disinformazione basate su documenti autentici
• Preparazione di attacchi futuri più sofisticati
• Ricatti o pressioni su individui con accesso a informazioni sensibili

Il contesto geopolitico attuale, con le tensioni legate al conflitto in Ucraina e la crescente assertività di gruppi APT legati a Russia e Cina, rende queste preoccupazioni tutt’altro che teoriche.

La risposta istituzionale e i suoi limiti

L’ACN ha confermato di essere stata informata dell’incidente e di stare coordinando le attività di analisi forense insieme a IBM e agli enti coinvolti. Il CSIRT Italia ha emesso alert interni per sollecitare verifiche su sistemi potenzialmente esposti.

Tuttavia, emergono criticità strutturali. La PA italiana soffre di una cronica carenza di competenze cyber interne. Secondo dati del Dipartimento della Funzione Pubblica, meno del 5% del personale IT pubblico ha certificazioni in ambito sicurezza informatica. Questo squilibrio amplifica la dipendenza dai fornitori esterni e riduce la capacità di controllo effettivo.

La sovranità digitale non si costruisce solo con investimenti in tecnologia, ma richiede capitale umano qualificato e processi di governance robusti.

Il PNRR ha stanziato risorse significative per la cybersicurezza pubblica, ma la trasformazione richiede anni. Nel frattempo, il divario tra la sofisticazione degli attaccanti e le capacità difensive della PA resta preoccupante.

Cosa deve cambiare

Questo incidente dovrebbe accelerare alcune riflessioni già in corso. Primo: i contratti con i fornitori esterni devono includere clausole di sicurezza più stringenti, con audit indipendenti regolari e penali significative in caso di negligenza. Secondo: la PA deve investire nella costruzione di competenze interne, riducendo la dipendenza totale dall’outsourcing per funzioni critiche.

Terzo, e forse più importante: serve una cultura della sicurezza che permei tutti i livelli dell’amministrazione. Gli attacchi più devastanti spesso iniziano con un’email di phishing o una password debole. La tecnologia da sola non basta se il fattore umano resta l’anello debole.

IBM, dal canto suo, dovrà dimostrare trasparenza nella gestione dell’incidente. La fiducia dei clienti pubblici si ricostruisce solo con comunicazioni chiare, tempestive e complete. Il silenzio o le minimizzazioni sarebbero errori strategici gravi.

Guardando avanti

L’incidente IBM-PA italiana si inserisce in un trend globale di attacchi sempre più mirati alle infrastrutture governative. La risposta non può essere solo tecnologica: richiede scelte politiche, investimenti sostenuti e una visione strategica di lungo periodo sulla sovranità digitale.

Nei prossimi giorni emergeranno probabilmente nuovi dettagli sulla portata effettiva della compromissione. Quello che già sappiamo, però, basta a confermare che la sicurezza informatica della PA italiana non è un problema risolto, ma un cantiere aperto che richiede attenzione costante.