Tra il 2024 e il 2025 attori malevoli riconducibili all’intelligence della Repubblica Popolare Cinese hanno condotto un attacco APT (Advanced Persistent Threat) contro l’infrastruttura IT del Ministero dell’Interno italiano. L’operazione, rimasta silenziosa per mesi, ha portato all’esfiltrazione di un database contenente i dati di circa 5.000 agenti della DIGOS, la Divisione Investigazioni Generali e Operazioni Speciali della Polizia di Stato.
I dati sottratti includerebbero nomi, incarichi operativi e sedi di servizio degli investigatori impegnati in attività di antiterrorismo, monitoraggio delle comunità straniere e tracciamento dei dissidenti cinesi rifugiati in Italia. Un payload di intelligence ad alto valore strategico.
L’obiettivo non era sabotare i sistemi, ma raccogliere informazioni (intelligence gathering): capire chi indaga, dove opera, con quali priorità.
Il vettore diplomatico come copertura
L’attacco si inserisce in un contesto geopolitico complesso. Nel 2024 il Ministro dell’Interno Piantedosi aveva siglato a Pechino un piano triennale di cooperazione su cybercrime, traffico di esseri umani e criminalità organizzata. Una partnership che prevedeva scambio di informazioni, formazione congiunta di agenti e pattugliamenti nelle città italiane ad alta presenza cinese.
Il 25 novembre 2025, una delegazione del Ministero della Pubblica Sicurezza cinese si è presentata alla Procura di Prato — impegnata in decine di indagini su criminalità organizzata sinoitaliana — dichiarando la volontà di collaborare. I cinesi hanno offerto intelligence, specialisti, interpreti e accesso incrociato ai fascicoli investigativi.
Il momento della rottura
La crisi esplode durante un incontro ad alto livello con il capo della Polizia italiana Vittorio Pisani. La delegazione cinese chiede di discutere dell’intrusione informatica al Viminale, dimostrando di essere a conoscenza dei dettagli della violazione. La risposta non arriva. I diplomatici cinesi non forniscono chiarimenti.
L’Italia reagisce immediatamente:
- Congelata la cooperazione operativa con la controparte cinese
- Sospesi i pattugliamenti congiunti nelle città
- Interrotta la formazione di agenti cinesi sul territorio italiano
- Chiusi i canali informativi costruiti negli anni
La strategia multi-livello
Gli analisti di intelligence interpretano quanto accaduto come una classica dual-track strategy: da un lato la cooperazione ufficiale come vettore di accesso legittimo alle informazioni, dall’altro operazioni cyber offensive per raccogliere dati che non sarebbero mai stati condivisi nei canali formali.
È un pattern già documentato in altri contesti — attribuito a gruppi APT legati a Pechino come APT40 o APT41 — dove la cooperazione bilaterale viene usata come schermo per operazioni di intelligence collection parallele.
Il caso Prato
Sullo sfondo c’è la guerra criminale in corso nel distretto tessile pratese: tentati omicidi, incendi dolosi, estorsioni legate al controllo di settori come logistica, imballaggi e trasporti. Un conflitto con proiezioni europee, con episodi registrati anche in Francia e Spagna.
Il tentato omicidio dell’imprenditore Changmeng Zhang nel luglio 2024 ha segnato una svolta investigativa: Zhang sopravvive e collabora con la magistratura, permettendo di ricostruire un commando di killer arrivato dalla Cina. Centinaia di lavoratori sfruttati hanno poi trovato il coraggio di denunciare.
Il nodo irrisolto
Il dossier è diventato nazionale e investe sicurezza, relazioni diplomatiche e intelligence. La domanda che rimane aperta è strutturale: fino a che punto la cooperazione può coesistere con la competizione strategica? E soprattutto: quali garanzie di compartimentazione delle informazioni può offrire un partner che ha già dimostrato di usare entrambi i livelli simultaneamente?
Fonte: Repubblica