L’episodio del furto dei dati di circa 5.000 agenti della Divisione Investigazioni Generali e Operazioni Speciali (Digos) del Ministero dell’Interno italiano da parte di cybercriminali collegati alla Cina non è una semplice vicenda di criminalità informatica. Un caso che attraversa i nervi scoperti della cybersicurezza nazionale, dei rapporti diplomatici tra Roma e Pechino e del ruolo strategico che l’Italia occupa nel confronto globale su infrastrutture digitali, intelligence e cooperazione internazionale. 

L’attacco, avvenuto nell’arco di tempo tra il 2024 e il 2025, è stato scoperto grazie ai controlli di routine delle autorità italiane sui sistemi informatici del ministero: gli aggressori sono riusciti a penetrare le difese e a esfiltrare dati estremamente sensibili, come nomi, ruoli e sedi operative di agenti impegnati in attività delicate come il contrasto al terrorismo, il monitoraggio delle comunità straniere e il tracciamento dei dissidenti cinesi rifugiati nel nostro Paese. 

La natura di quest’attacco rivela due ordini di problemi: da un lato, l’ampiezza e la profondità delle vulnerabilità nei sistemi di difesa digitale di infrastrutture statali; dall’altro, la dimensione geopolitica di una violazione che, pur non avendo causato sabotaggi o interruzioni operative, ha esposto un patrimonio di informazioni che va ben oltre la mera “lista di nomi” e tocca la struttura stessa della sicurezza interna italiana. 

In termini tecnici, la sottrazione di dati così sensibili indica che gli aggressori avevano obiettivi ben più raffinati del semplice guadagno economico. La precisione della scelta degli obiettivi (agenti coinvolti in antiterrorismo e controllo delle attività di gruppi considerati a rischio) suggerisce un interesse mirato alla conoscenza delle priorità investigative italiane, potenzialmente utile per soppesare, adattare o influenzare le scelte strategiche di una potenza straniera. 

L’episodio si inserisce in un contesto diplomatico particolarmente delicato. Nel 2024 l’allora ministro dell’Interno Matteo Piantedosi aveva incontrato il suo omologo cinese Wang Xiaohong a Pechino per avviare un piano triennale di cooperazione su criminalità organizzata, traffico di droga e cybercrime. Questo sforzo di collaborazione, accolto con un certo ottimismo nei circoli istituzionali italiani, è stato inspiegabilmente accompagnato da segnali di conoscenza di dettagli operativi italiani da parte dei funzionari cinesi, un fatto che ha portato gli inquirenti italiani a sospettare che qualcosa di più stesse accadendo. 

La scoperta del furto ha congelato parte della cooperazione operativa con Pechino, almeno temporaneamente, proprio perché mina uno dei pilastri fondamentali di qualsiasi accordo di sicurezza: la fiducia reciproca. In un sistema internazionale basato su norme e trattati, la cooperazione nella lotta alla criminalità transnazionale richiede che ciascuna parte condivida informazioni con la certezza che queste non saranno sfruttate per fini contrastanti con gli interessi comuni. Il sospetto di una raccolta sistematica di informazioni sensibili da parte del partner cinese mette in discussione questo equilibrio. 

Sul piano più ampio della geopolitica digitale, il caso italiano riflette un fenomeno ormai globale: Stati e attori collegati a Stati utilizzano la guerra cibernetica come strumento di influenza e raccolta di informazioni. Il cyber-spionaggio non opera più soltanto attraverso servizi segreti formalmente riconosciuti, bensì anche tramite gruppi criminali sofisticati i cui legami con agenzie statali sono spesso difficili da dimostrare, ma non impossibili da sospettare. Nel corso degli anni sono emersi diversi casi, come la campagna di hacking nota come Shadow Network, che coinvolse reti governative indiane e istituti legati all’ufficio del Dalai Lama, rivelando l’uso di piattaforme Internet per la diffusione di malware e archivi di dati strategici. 

Questa evoluzione pone ai governi occidentali una duplice sfida. La prima riguarda la difesa tecnica: rafforzare le capacità di protezione delle infrastrutture critiche, migliorare i sistemi di deterrenza digitale e sviluppare risposte rapide per identificare e neutralizzare le intrusioni prima che causino danni strategici. La seconda riguarda un campo più sottile ma altrettanto cruciale: la capacità di negoziare relazioni internazionali in un contesto in cui le linee tra criminalità digitale, spionaggio statale e competizione geo-economica sono sempre più sfumate.

L’Italia, come parte dell’Unione Europea e della NATO, si trova in una posizione sensibile in questo palcoscenico. Le istituzioni comunitarie stanno lavorando da anni per armonizzare le normative sulla cybersicurezza ed elevare gli standard di protezione di dati e infrastrutture, anche grazie all’attuazione di direttive come NIS2. Tuttavia, la sola normativa non basta: è necessario tradurre le direttive in risorse, competenze e una cultura diffusa di difesa digitale, soprattutto in ambiti strategici quali ministeri, apparati di sicurezza e settori industriali critici.

La vicenda della Digos non è solo un monito tecnico, ma anche un segnale politico forte: la competizione per il controllo delle informazioni non conosce confini, né pause. La conoscenza di chi vigila, di come si struttura e di dove opera può essere sfruttata da potenze straniere per influenzare non solo le operazioni di sicurezza, ma anche il processo decisionale politico in situazioni future. Se nel sentire comune i dati sono diventati (giustamente) una risorsa strategica di prima grandezza, ogni violazione, anche silenziosa e non distruttiva, è un colpo diretto alla sovranità di uno Stato. Va da se, che anche per l’Italia la risposta a questa sfida richiede non solo investimenti tecnici, ma una visione geopolitica che consideri la cybersicurezza come elemento integrato delle relazioni estere, della difesa e della resilienza interna.

Stefano Lovi – PhD Candidate