La storia è abbastanza nota, per noi di Matrice Digitale, perché l’ultima volta che abbiamo raccontato qualcosa che faceva riferimento ad AWS, a NIS2 e al sistema di monitoraggio e controllo di ACN, ci è stato chiuso il canale YouTube. E allora, visto che il canale YouTube è ancora chiuso, poco ci importa nel raccontare questa notizia. In questi ultimi quindici giorni sono successe due cose molto interessanti in Italia dal punto di vista della porosità del sistema informatico, del perimetro cibernetico e delle “buone intenzioni” dell’Agenzia per la Cybersicurezza Nazionale. Un’agenzia che potrebbe risultare, per qualcuno, inutile come è stato considerato per anni lo stesso CERT, ma su un punto possiamo affermarlo senza giri di parole: vista la portata degli investimenti sostenuti, con fondi pubblici, quello che emerge è grave. E lo è ancora di più perché è passato ormai quasi un anno dalla disposizione di NIS2 e dalle categorizzazioni dei soggetti interessati e di quelli di pertinenza pubblica. Nel caso delle storie che stiamo raccontando, ci troviamo davanti a un fatto che non si può liquidare con una nota tecnica o con l’ennesimo comunicato generico, perché qui non si parla di teoria, si parla di resilienza reale e di responsabilità pubblica.
Sapienza di Roma: ransomware, Infostud e il ritorno forzato all’analogico
Alla Sapienza di Roma il punto non è “un sito giù”. Il punto è un blackout digitale che, tra la notte del 1° e il 2 febbraio 2026, blocca portali, servizi, rete interna e pezzi dell’operatività quotidiana, con disagi che si trascinano per giorni e con una gestione d’emergenza che costringe studenti e personale a muoversi fuori dai flussi normali. In un Paese che pretende disciplina, audit e compliance, il messaggio che passa è brutale: quando l’attacco colpisce un grande apparato pubblico, la resilienza non si misura con gli slogan ma con ciò che resta in piedi.
Infostud, esami e amministrazione: quando il digitale si spegne
Il cuore della crisi, per chi vive l’università, si chiama Infostud: la piattaforma che tiene insieme prenotazioni d’esame, consultazione della carriera, pagamenti e certificazioni. Quando Infostud va in blocco, il domino travolge anche le mail interne e la comunicazione ordinaria, e la comunità si ritrova a tamponare con canali informali, infopoint fisici, passaparola e gestione “a mano” di ciò che prima era tracciato e verificabile in tempo reale. Gli esami proseguono, ma la verbalizzazione si inceppa; le scadenze amministrative vengono rinviate e la macchina si arrangia come può, con la consapevolezza che la sospensione del digitale non è solo scomodità: è perdita di controllo su processi che, per definizione, dovrebbero essere robusti e verificabili.
BabLock e la logica del ricatto: la pressione del tempo e del bitcoin
Qui entra la parte che trasforma un incidente in un caso politico: la dinamica tipica del ransomware BabLock, con sistemi bloccati, istruzioni lasciate agli amministratori e la richiesta di aprire una trattativa per la decrittazione, fino a un riscatto in bitcoin che, nelle ricostruzioni, può arrivare a cifre molto alte. Il dettaglio che pesa non è solo il denaro, ma il metodo: l’ultimatum, il conto alla rovescia, la minaccia di rendere pubblici i dati. E anche quando non è immediatamente chiaro cosa sia stato davvero portato via, l’effetto è lo stesso: l’istituzione viene spinta a scegliere tra tempi tecnici, reputazione e timore di una fuga di informazioni che può colpire studenti, docenti e personale.
La crepa reputazionale: quando sul dark web circola l’idea del falso
Dentro la stessa vicenda si innesta un elemento che, anche solo come provocazione o come sfruttamento dell’onda mediatica, diventa veleno: la comparsa di offerte di documenti attribuiti alla Sapienza su circuiti accessibili via Tor, con promesse di “titoli” e pacchetti che imitano l’identità formale dell’ateneo. Non è il folklore del dark web. È l’attacco alla credibilità di un’istituzione pubblica: perché quando qualcuno prova a monetizzare la tua identità, non sta parlando solo di dati. Sta parlando di potere e di fiducia, cioè delle due valute con cui uno Stato dovrebbe tenere in piedi i propri sistemi.
Ripristino progressivo e la domanda che resta: cosa è successo ai dati
La ripartenza, quando arriva, passa da bonifica, backup e test di sicurezza, con un ritorno graduale dei servizi e una fase di riallineamento che deve assorbire tutto ciò che è accaduto nel periodo di indisponibilità. Ma anche quando Infostud torna accessibile e l’università prova a ricucire la normalità, resta la domanda che in questi casi non puoi liquidare con una frase: quali dati sono stati davvero esfiltrati, in che quantità, e con quali possibili usi futuri. Perché il danno operativo finisce quando riaccendi i sistemi; il danno strategico finisce solo quando sai, con precisione, cosa è uscito dalla tua casa digitale.
Quando la regola diventa costo e lo Stato non la rispetta
Il punto non è solo “cosa è successo”, ma cosa succede dopo. Perché se la macchina normativa impone costi, adempimenti, procedure, audit, aggiornamenti, reportistiche e un intero ecosistema di responsabilità, allora quello stesso ecosistema deve reggere anche quando l’incidente colpisce dentro la pubblica amministrazione e dentro i luoghi che dovrebbero essere più preparati, più protetti, più controllati. Altrimenti, il perimetro cibernetico rischia di diventare una cornice perfetta sulla carta e fragile nella realtà, un recinto che esiste nei documenti ma non nei sistemi, e quindi non esiste davvero. E qui si apre la seconda notizia, ancora più interessante, perché collega il presente a un percorso che Matrice Digitale porta avanti dal 2017, con la pubblicazione del libro La prigione dell’umanità. A distanza di anni, certe dinamiche non si attenuano: cambiano forma, cambiano strumenti, cambiano pretesti, ma la sostanza è sempre la stessa, ed è sempre la stessa la domanda: chi controlla l’informazione, chi controlla le infrastrutture, chi controlla le vulnerabilità, chi decide cosa si può dire e cosa si deve tacere.
Secondo caso: Digos, Viminale e l’ombra cinese
A distanza di dieci anni emerge quello che, per noi, è il vero rischio per la sicurezza cibernetica del Paese. Molti si soffermano sulla propaganda e sul rischio che viene indicato nei russi, ma solo in pochi fanno riferimento alla pericolosità degli attori cinesi. E non è un dettaglio, se pensiamo che, nel corso delle Olimpiadi, Matrice Digitale ha già criticato Frattasi, il direttore di ACN, e lo stesso ministro, per aver messo in piedi un impianto olimpico che rappresenta un rischio di iper-penetrazione, tra pezzi di intelligence straniera e quella italiana. In parallelo, resta un’altra caratteristica che era già stata denunciata a suo tempo: il tema delle telecamere di sorveglianza cinesi presso i palazzi dell’intelligence italiana che acquisivano informazioni, e il sospetto che nessuno si fosse davvero preoccupato di sapere se veniva applicato quello “stretto protocollo” che interessa le aziende cinesi e che impone la trasmissione dei dati, in determinate forme, al governo cinese. Qui non si parla di un dettaglio tecnico, si parla di cultura istituzionale: se non ti chiedi dove finiscono i flussi informativi, prima o poi quei flussi ti presentano il conto. E arriva un’altra notizia pubblicata su Repubblica da Lirio Abbate, che racconta l’ennesima défaillance di un perimetro cibernetico che, nella sostanza, serve a fissare regole e ad aumentare costi, ma che la pubblica amministrazione non rispetta assolutamente. Qui il cuore non è un’aula, non è un sistema universitario, non è un archivio amministrativo: qui parliamo del Viminale, cioè del ministero dell’Interno, e parliamo di Digos, cioè di un presidio operativo che, nel nostro Paese, vive sulla prevenzione e sulla discrezione.
Perimetro cibernetico e NIS2 alla prova: Sapienza, Digos e la crepa nel Viminale
La storia non è un esercizio teorico e non è una discussione da convegno. Negli ultimi quindici giorni, due episodi messi uno accanto all’altro diventano una radiografia impietosa della porosità del sistema informatico italiano e di quel perimetro cibernetico che, sulla carta, dovrebbe essere il recinto di protezione del Paese. Il punto non è negare la complessità, né pretendere l’infallibilità. Il punto è un altro: mentre fuori si chiede a imprese, enti e filiere critiche di adeguarsi a una norma rigida, dentro le istituzioni si accumulano segnali che raccontano una fragilità strutturale. Una fragilità che, a certe latitudini, non viene letta come incidente. Viene letta come opportunità.
La frattura tra regole e realtà: quando il perimetro diventa una promessa
NIS2 non è una parola di moda, non è un logo da mettere su un convegno e non è l’ennesimo esercizio di compliance. NIS2 è sangue e fatica, perché nella pratica significa processi, responsabilità, investimenti, audit, aggiornamenti, tracciabilità, gestione del rischio e soprattutto la pretesa che l’incidente non sia più un tabù. E infatti NIS2, in Italia, viene percepita da molti come una richiesta durissima: non basta “dire” di essere sicuri, bisogna dimostrarlo.Il problema nasce quando il Paese chiede sacrifici a chi non ha fondi pubblici e non ha consulenze gratuite, mentre dentro la macchina pubblica emergono episodi che segnalano un’infrastruttura ancora troppo vulnerabile. Non è moralismo: è la fotografia del corto circuito. Perché se lo Stato pretende disciplina digitale, allora la disciplina deve essere prima di tutto un’abitudine interna, non un sermone esterno.
Viminale violato: 5.000 agenti Digos, identità e sedi operative nelle mani di Pechino
Il secondo caso riguarda l’identità e i profili operativi di circa 5.000 agenti Digos, finiti nelle mani di hacker riconducibili alla Cina dopo una intrusione avvenuta tra il 2024 e il 2025. Qui la dimensione cambia: non è più un’università, è la struttura che ospita l’ossatura amministrativa della sicurezza interna. L’idea stessa che qualcuno penetri la rete del Viminale e scarichi dati riservati sul personale in servizio nelle questure italiane non è un “incidente IT”. È un fatto politico, operativo, strategico. Dentro quei dati ci sono nomi, incarichi, sedi operative. Non un elenco generico, ma profili di investigatori impegnati nei dossier più sensibili: dall’antiterrorismo al monitoraggio delle comunità straniere, fino all’attività legata al tracciamento dei dissidenti di Pechino rifugiati in Italia. In un solo gesto, la violazione trasforma chi lavora nell’ombra in un bersaglio potenziale, perché la protezione si regge anche sul fatto che non tutti possano ricostruire la mappa delle priorità e delle persone.
Perché quei dati valgono più di un sabotaggio
Chi continua a leggere la cybersicurezza come “computer che non funziona” non capisce la differenza tra un attacco rumoroso e uno silenzioso. Il sabotaggio lo vedi. Lo misuri. Lo dichiari. L’esfiltrazione informativa, invece, spesso la scopri tardi, e quando la scopri devi chiederti quanto tempo è passato, quante volte è successo, cosa è stato copiato davvero, come viene usato. Nel caso della Digos, il valore informativo è evidente: se un attore ostile ottiene identità, ruoli e collocazioni, può tentare di ricostruire priorità investigative, associare nomi a territori, leggere movimenti e attenzioni della sicurezza come se fossero pedine. E se dentro quei dossier c’è anche la dimensione dei dissidenti cinesi presenti in Italia, la questione diventa ancora più delicata, perché quei dissidenti non sono un tema astratto: sono persone. Persone che cercano protezione e che, in molti casi, vivono già sotto la paura di reti di influenza, sorveglianza e pressione transnazionale.
E allora, quando si parla di “nemici della patria”, il nodo vero non è la retorica. Il nodo vero è questa domanda: chi sta proteggendo davvero il Paese, e chi sta facendo finta di proteggerlo mentre accumula incarichi, consulenze e narrativa?
La cooperazione con la Cina e la “trappola” politica: Piantedosi, Wang Xiaohong e il corto circuito
Il caso Digos non esplode nel vuoto. Esplode dentro un contesto politico e giudiziario che, negli stessi anni, prova a costruire una cooperazione con Pechino. Nel 2024 il ministro dell’Interno Matteo Piantedosi incontra a Pechino il suo omologo Wang Xiaohong. Il quadro di lavoro è un piano triennale di collaborazione su temi pesantissimi: droga, cybercrime, tratta di esseri umani, criminalità organizzata. E in parallelo emerge un elemento che, in Italia, viene letto come un evento quasi eccezionale: la Cina risponde, per la prima volta, a una rogatoria italiana. In Toscana, la Procura di Prato guidata da Luca Tescaroli riceve una risposta che fino a quel momento non era arrivata. Qui la storia diventa tossica, perché la tempistica si sovrappone al sospetto. Da un lato, si costruisce cooperazione. Dall’altro, tra 2024 e 2025 qualcuno entra nei sistemi del Viminale e si prende un archivio che vale oro. La lettura che emerge è brutale: mentre si tenta una collaborazione per colpire criminalità e reti, l’Italia espone se stessa a un rischio di contro-mossa informativa. Ed è qui che la narrazione della “trappola” prende forma, perché ogni apertura, se non è blindata da una sicurezza reale, può essere trasformata in vantaggio strategico da chi ha obiettivi diversi. Non a caso, dopo la scoperta dell’intrusione, si parla di una decisione netta: l’interruzione di ogni forma di collaborazione diretta con le autorità cinesi da parte delle autorità di pubblica sicurezza italiane. È un gesto che racconta quanto il danno venga percepito come strategico, non come “incidente IT”.
Prato, la guerra nel distretto e la posta in gioco dell’investigazione
Dentro questa storia, Prato non è un dettaglio geografico. Prato è il luogo dove, dal 2024, si descrive un conflitto per il controllo di settori del distretto e dei suoi satelliti: produzione, logistica, trasporti, economia parallela, sfruttamento. Quando una procura prova a forzare la mano e ottenere cooperazione, quando lavoratori sfruttati trovano il coraggio di denunciare, il tema diventa ancora più sensibile: chi controlla l’informazione controlla il territorio. Perché, in questi contesti, l’inchiesta non è solo un fascicolo. L’inchiesta è un rischio per chi ha potere. E se un attore esterno può ottenere una mappa degli investigatori, può tentare di anticipare, disinnescare, intimidire, deviare. L’acquisizione informativa non serve solo a conoscere. Serve a governare la reazione dell’avversario.
Perimetro cibernetico costantemente violato e consulenze come schermo
Tanti consulenti vengono pagati per stabilire che cosa sia, in principio, un perimetro cibernetico che ancora si deve formare. E intanto quel perimetro risulta costantemente violato. Un perimetro che, nella sua forma, avrebbe anche l’esigenza di essere un collante, di produrre cooperazione e responsabilità condivise. Ma l’aspetto più grave della vicenda è proprio quello dell’informazione sulla cybersicurezza. Un’informazione che diventa “governante”, governata, amministrata. Le voci obiettive non vengono aggiunte nella mailing list dell’Agenzia per la Cybersicurezza. Oppure, allo stesso tempo, vengono spenti i profili di giornalisti che raccontano le cose per quello che sono. In un mondo giusto i nemici della patria non sono coloro che fanno luce sui fatti di chi con i soldi pubblici dovrebbe risolvere i problemi che puntualmente persistono.
Nel frattempo cresce una pletora di consulenti, di esperti e di figure che vedono il nemico sempre altrove, ma vengono pagati lautamente e arricchiscono i loro curriculum pubblici per descrivere una realtà che non esiste. Anzi, una realtà che appare l’opposto delle criticità che esistono nel nostro Paese. E proprio per questo, quando l’ennesimo incidente esplode, la reazione istintiva non è l’assunzione di responsabilità:
è la gestione dell’immagine, la ricerca del colpevole esterno, il tentativo di spostare il focus, come se il problema fosse sempre “altrove” e mai dentro.
Il precedente dei russi e la memoria corta del Paese
C’è un altro passaggio, ancora più “sorprendente”, perché richiama un campanello d’allarme già paventato e guardato proprio con i russi: quelli che vennero per il COVID, acquisirono molte informazioni all’interno degli ospedali e lavorarono a stretto contatto con strutture militari del Paese. Anche lì, la lezione appariva chiara: quando si spalancano porte operative in una fase critica, il rischio informativo non è mai neutro. Non è questione di simpatia o antipatia geopolitica: è questione di capire che ogni presenza, ogni accesso, ogni canale tecnico può diventare un vettore di raccolta. E allora: dove vogliamo arrivare con questa denuncia? Non vogliamo arrivare a nulla di “teatrale”. Vogliamo semplicemente dire che ciò che il pubblico sta facendo in questo momento, cioè una politica di esposizione, di scansione, di divulgazione, non trova riscontro nei fatti. Perché il problema non è raccontare la cybersicurezza. Il problema è farla esistere nei sistemi, nei processi e nelle scelte, anche quando costa, anche quando è scomoda, anche quando mette in discussione equilibri e carriere.
La prigione dell’umanità, la linea politica e il “rischio cinese”
Il caso dei cinesi è eclatante. Quando uscì La prigione dell’umanità, si denunciavano gli attacchi cinesi, così come si denunciava la censura dei social e una linea politica che si stava intraprendendo. In quel periodo preciso, l’Italia non aveva nemmeno tanto a cuore il problema della disinformazione, pur ampiamente trattata. Ma soprattutto era un’Italia che aveva “il vaso cinese” dentro il ministero degli Esteri di Luigi Di Maio. In quella fase, la criticità del pericolo cinese non poteva essere avallata, perché i rapporti tra Cina ed Europa erano talmente ottimi da rendere scomodo, persino culturalmente, sollevare un allarme. E così, come al solito, coloro che si arricchiscono con le consulenze e si pavoneggiano all’interno delle piattaforme professionali come LinkedIn, e occupano ruoli importanti, blasonati e altisonanti nel mondo giornalistico, si sono trovati a fare i conti con un’altra dura verità: fin quando i rapporti tra USA e Cina erano “illustri”, non avevano interesse a sollevare l’allarme cinese.
Adesso che Cina e Stati Uniti d’America si sono fatti una guerra non solo commerciale ma anche infrastrutturale, visto il bando che c’è stato su apparati cinesi dentro l’Unione Europea e soprattutto dentro gli Stati Uniti d’America con il caso Huawei, diventa chiaro ed evidente che coloro che oggi popolano ancora i palazzi dell’agenzia per la cybersicurezza nazionale hanno dovuto cambiare idea. E magari li troviamo oggi ad allarmarsi sul rischio cinese, dopo anni di silenzi, sottovalutazioni e posture opportunistiche. Matrice Digitale, da anni, racconta la guerra cibernetica senza filtri, senza dire “bravo”, e lo fa in un modo che vuole essere accademico. Dobbiamo implementare un atlante: potete leggere qualsiasi operazione svolta dal governo cinese e soprattutto dovete studiare. Perché qui non si esprimono idee né opinioni: qui ci sono fatti. Eppure il governo si avvale di persone che o quei fatti li conoscono e non raccontano la verità, oppure non li conoscono proprio, perché vengono pagate per raccontare una storia. E oggi viviamo, come da tempo, i primi attacchi “degli hacktivisti russi” che poi hanno sbugiardato tutti, tranne coloro che dicevano che qualcosa non funzionava nell’ACN, tanto che poi il direttore Baldoni si è dovuto dimettere.
La narrazione, la macchina e il nodo Digos
Ci troviamo davanti a una verità che non è in linea con una narrazione che regge non per la professionalità e l’istituzionalità, né per la perfezione di un ente che può essere sicuramente imperfetto, ma per i soldi che vengono spesi e per le possibilità di lavoro che vengono offerte nel nostro Paese. E certamente non per altre ragioni. Non è che gli investimenti scompariranno: è chiaro che la cybersicurezza è un investimento strategico che durerà per sempre. Il problema, però, a questo punto non è solo “il pericolo”. Il problema è che i cittadini, guidati e raggiunti, vengono violati e nulla si fa. Qui potremmo citare tanti fatti che riguardano il Garante della privacy e le multinazionali americane, che hanno lasciato passare violazioni sul nostro territorio da vent’anni a questa parte. Ma ci troviamo anche davanti a un’altra verità: la sicurezza informatica nel nostro Paese rischia di essere per sempre un subappalto di logiche maggiori.
E oggi, a rimetterci, rischia di rimetterci anche uno dei presidi più delicati: la Digos. Forse l’unica divisione che fa attività di prevenzione da sempre sul nostro territorio. In silenzio, con qualche macchia, non lo escludiamo, ma con un dato che resta: ha garantito all’Italia l’assenza di un rischio islamico strutturato e ha tenuto un lavoro continuo di prevenzione.
Se quel presidio entra dentro questa storia, allora il punto non è più soltanto “una violazione”. Il punto diventa la misura reale della distanza tra ciò che si racconta sulla cybersicurezza e ciò che accade quando i sistemi, le istituzioni e le filiere pubbliche vengono colpite. E se in quindici giorni una grande università pubblica viene messa in ginocchio e il Viminale scopre di avere un buco che tocca identità e sedi operative, allora non stiamo osservando episodi isolati: stiamo osservando un sistema che pretende disciplina, ma fatica a dimostrare disciplina, e che prova a governare la narrativa quando dovrebbe governare i fatti.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
