Gianpaolo Zambonini (Ministero dell'Interno) alla Cyber Crime Conference 2026: attacchi alle infrastrutture critiche italiane, governance integrata e sfide aperte.

Il nemico in casa: dentro gli attacchi alle infrastrutture critiche italiane

A cura di:Redazione Ore

Intervento dell’Ing. Gianpaolo Zambonini Dirigente Superiore Ingegnere della Polizia di Stato, Direttore del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno, alla 14ª Cyber Crime Conference, Auditorium della Tecnica, Roma, 7 maggio 2026

Una superficie d’attacco ampia e permanente

L’ingegner Gianpaolo Zambonini, alla guida del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno sin dalla sua istituzione (circa un anno e mezzo prima dell’intervento) ha aperto il proprio contributo illustrando la complessità strutturale che caratterizza la difesa del perimetro informatico di uno dei dicasteri più strategici del Paese. Si tratta di un’infrastruttura critica per eccellenza, che coordina ambiti tanto eterogenei quanto il soccorso pubblico, la pubblica sicurezza, il sistema elettorale e la gestione dell’immigrazione.

Questa eterogeneità funzionale si riflette nella composizione del personale: poliziotti, vigili del fuoco e civili convivono all’interno della medesima architettura organizzativa, generando una pluralità di sistemi, servizi e beni che rende la superficie d’attacco fra le più estese ed eterogenee del Paese. I numeri parlano chiaro: circa 150.000 operatori e 90.000 sistemi informativi compongono il perimetro che il Servizio è chiamato a presidiare quotidianamente.

Gianpaolo Zambonini (Ministero dell'Interno) alla Cyber Crime Conference 2026: attacchi alle infrastrutture critiche italiane, governance integrata e sfide aperte.
Gianpaolo Zambonini Dirigente Superiore Ingegnere della Polizia di Stato, Direttore del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno, alla Cyber Crime Conference 2026.

Difendere una simile architettura, ha osservato Zambonini con un’efficace metafora calcistica, equivale per una squadra di calcio ad arrivare in finale di Champions League: una sfida che il Ministero affronta ogni giorno, senza pause.

Attacchi alle infrastrutture critiche italiane – Il nemico: chi, come, perché, quando

Il Ministero dell’Interno è uno dei principali bersagli del cybercrime nazionale. Non esiste un solo giorno, ha sottolineato il direttore, in cui i sistemi informativi non generino alert, in cui le collaborazioni istituzionali (Polizia Postale, servizi di intelligence, Agenzia per la Cybersicurezza Nazionale) non producano segnalazioni, o in cui non venga rilevato un tentativo di intrusione.

Le motivazioni alla base degli attacchi si articolano lungo tre direttrici principali, riprese chiaramente nelle slide dell’intervento:

  • il cyberwarfare, ovvero la guerra ibrida di matrice statuale o filo-statuale, dimensione che Zambonini ha individuato come la più complessa e dannosa, in piena continuità con il quadro tracciato dal Gen. De Magistris nell’intervento precedente;
  • il cyber hacktivism, spesso a scopo dimostrativo, alimentato dal valore simbolico di poter rivendicare un attacco a un ente di pubblica sicurezza;
  • il cyber terrorism, terza dimensione che la slide affianca alle precedenti per completare la mappa dei vettori motivazionali, accanto al cybercrime di natura più strettamente economica.

Le modalità d’attacco sono altrettanto diversificate: ransomware con cifratura dei dati e richiesta di riscatto (mai pagato, in conformità con la natura di Pubblica Amministrazione del Ministero), esfiltrazione di credenziali poi finite nel darkweb, movimenti laterali, sfruttamento di zero-day anche in sequenza, vulnerabilità note non patchate, phishing personalizzato. La slide di accompagnamento sintetizza il quadro tecnico in nove categorie principali: malware, vulnerabilità e misconfigurazioni o 0-day, phishing e social engineering, account cracking, DDoS, phone hacking, SQL injection, man in the middle e tecniche multiple riconducibili ad APT.

Gianpaolo Zambonini (Ministero dell'Interno) alla Cyber Crime Conference 2026: attacchi alle infrastrutture critiche italiane, governance integrata e sfide aperte.
Gianpaolo Zambonini Dirigente Superiore Ingegnere della Polizia di Stato, Direttore del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno, alla Cyber Crime Conference 2026.

Le attribuzioni, pur con tutta la prudenza che il tema richiede (Zambonini ha ricordato che “ogni attribuzione è sempre relativa”), hanno permesso di ricondurre numerosi attacchi a gruppi noti: NoName057(16), Killnet, LockBit, Akira, ALPHV/BlackCat, Cl0p, Qilin, RansomHub. La galassia comprende sia gruppi cybercriminali ransomware sia formazioni hacktiviste filorusse, filocinesi e filoiraniane.

Il “cigno nero” e la svolta verso una governance integrata

L’esposizione costante e multiforme a queste minacce ha rappresentato per il Ministero quello che Zambonini ha definito un “cigno nero”: l’evento improbabile destinato a cambiare radicalmente la prospettiva di un’organizzazione. La consapevolezza maturata è che non sia più possibile affrontare il problema con una visione frammentata, sistema per sistema: serve una governance integrata.

L’integrazione, ha precisato, deve articolarsi su più livelli. Non solo fra i sistemi di difesa interni al Ministero, ma fra organizzazioni, fra istituzioni politiche, fra Stati. Sul piano interno è stato pertanto attivato un comitato che riunisce gli esperti dei diversi dipartimenti. Non si tratta di un semplice tavolo di information sharing, ma di un organo che analizza i problemi, individua soluzioni, le sottopone al vertice politico e ne coordina l’applicazione trasversale. Una risposta efficace, recita la slide dedicata, richiede collaborazione fra le diverse aree di competenza, attraverso la sinergia tra le diverse professionalità.

I primi risultati

L’approccio integrato ha già prodotto risultati concreti, sintetizzati in cinque direttrici.

Formazione strutturata. I percorsi formativi sono stati unificati a livello ministeriale, portando nella stessa aula poliziotti, vigili del fuoco e personale civile preposto alla sicurezza informatica delle rispettive infrastrutture. Un passaggio fondamentale per costruire un linguaggio comune.

Creazione di strutture operative. Sono stati istituiti un CERT e un Centro di Valutazione (CV): il primo garantisce intervento immediato, digital forensics e canalizzazione delle evidenze al primo segnale di attacco; il secondo permette la valutazione delle vulnerabilità di tecnologie, beni e servizi prima del loro impiego sul Perimetro di Sicurezza Nazionale Cibernetica.

Risposta coordinata agli attacchi. La sinergia fra sistemi di protezione degli endpoint e sistemi di protezione della posta elettronica ha consentito di automatizzare il rilevamento del phishing customizzato. In circa dieci minuti, le sandbox attivano l’analisi dei link sospetti, permettendo di bloccare anche il phishing che supera il primo filtro di threat intelligence.

Creazione di una rete. Il Servizio sta consolidando convenzioni di scambio dati con le eccellenze nazionali, fra cui il CERT della Banca d’Italia e AgID, ampliando la propria postura difensiva.

Deframmentazione delle difese. L’unificazione dei presidi consolida sistemi prima dispersi, secondo la logica che i sistemi di difesa debbano “parlarsi” reciprocamente.

Cosa resta da fare

La strada è ancora lunga. La slide della roadmap individua cinque cantieri prioritari.

Il primo è la definizione di una metodologia uniforme di analisi del rischio, oggi non ancora condivisa fra le diverse articolazioni del Ministero. Il secondo riguarda il rafforzamento dei sistemi di Business Continuity e Disaster Recovery, perché difendersi non basta: occorre garantire che i sistemi vitali per la sicurezza del Paese restino operativi anche di fronte a un evento distruttivo, eventualità che il Viminale non può permettersi. Il terzo è lo sviluppo sicuro degli applicativi, con criteri stringenti applicati a tutti gli sviluppi che il Ministero acquisisce o produce, anche tramite le convenzioni Consip. Il quarto è la nomina dei referenti per la sicurezza nelle articolazioni interne, a garanzia di ruoli e responsabilità ben definiti.

L’ultimo, e culturalmente il più impegnativo, è il passaggio a un modello di difesa proattivo. Su questo punto il direttore si è soffermato con particolare insistenza. La pubblica amministrazione, nel suo complesso, tende a rincorrere: subisce l’attacco, analizza i log, ricostruisce a posteriori. Occorre invece ridurre la superficie d’attacco, recidere quelli che Zambonini ha definito i “rami secchi” delle reti (servizi pubblicati ridondanti, applicativi obsoleti, sistemi non aggiornati) e mappare gli attaccanti per anticiparne le mosse. Il direttore ha citato un caso concreto: l’identificazione dei server di Command & Control utilizzati per attacchi DDoS rivolti al Ministero, intercettati direttamente sui server di origine prima che i comandi raggiungessero gli obiettivi.

In questa nuova ottica, il numero di attacchi cessa di essere la metrica significativa. Conta capire chi attacca, da dove e perché.

Le sfide del sistema Paese

Oltre la scala del singolo Ministero si aprono sfide che riguardano l’intero sistema Paese e che la slide di sintesi rappresenta come tessere di un puzzle: supply chain sicura, comunicazione e condivisione delle informazioni, normativa e regolazione, governance tecnologica, difesa cibernetica, competenze e formazione, continuità operativa.

Gianpaolo Zambonini (Ministero dell'Interno) alla Cyber Crime Conference 2026: attacchi alle infrastrutture critiche italiane, governance integrata e sfide aperte.
Gianpaolo Zambonini Dirigente Superiore Ingegnere della Polizia di Stato, Direttore del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno, alla Cyber Crime Conference 2026.

La supply chain e la sovranità digitale

La prima grande sfida riguarda la sicurezza della filiera tecnologica. Casi ormai storici come SolarWinds e Kaseya hanno dimostrato che è possibile acquistare tecnologie di difesa che incorporano backdoor a monte, mentre restano sul tavolo le questioni aperte sulla cosiddetta sorveglianza di Stato, con i casi che hanno coinvolto Hikvision, Kaspersky e Huawei.

Questi episodi rivelano una dipendenza strutturale del Paese (e dell’Europa) dalle grandi tecnologie americane, da Microsoft a Google fino a OpenAI, che rappresenta uno dei principali ostacoli al raggiungimento di una reale sovranità digitale. Per Zambonini il salto in avanti non può essere fatto al solo livello nazionale: serve una risposta europea. Diversamente, l’Italia potrà al massimo costruire isole protette, ma non un’autonomia piena.

La comunicazione

Un secondo nodo riguarda la comunicazione pubblica del rischio cyber. Zambonini ha richiamato il caso dell’indagine su Equalize e quello del servizio di Report su ECM di Microsoft, segnalando come la narrazione mediatica abbia talvolta enfatizzato elementi suggestivi (la presunta esistenza di “sale operative” per l’estrazione di dati dalle banche dati delle forze di polizia, l’evocazione di software spia di nuova concezione) a scapito della realtà operativa. La verità, ha ricordato il direttore, riconduce quasi sempre alla figura dell’insider threat: il dipendente infedele, dotato di credenziali legittime, capace di accedere ai sistemi e farne uscire informazioni.

Si tratta di una minaccia che non si combatte sul piano della cybersecurity in senso stretto, ma su quello del monitoraggio degli accessi, della consapevolezza interna e della governance dei privilegi. Una comunicazione distorta, ha avvertito, sposta l’attenzione del pubblico da problemi reali a questioni di rilevanza concreta limitata, con un costo non trascurabile in termini di percezione del rischio e di gestione della narrativa istituzionale.

La gestione della tecnologia

Una terza sfida riguarda il rapporto delle istituzioni con la tecnologia investigativa. Negli anni l’investigazione tradizionale si è arricchita di strumenti potenti: intercettazioni, telecamere, analisi dei tabulati telefonici. Oggi, però, le forze di polizia si confrontano con un panorama in cui l’intercettazione tradizionale è limitata dalla diffusione dei criptofonini, dalle transazioni sul darkweb, dall’uso di bitcoin e altre criptovalute.

La sequenza investigativa rappresentata nella slide (raccolta dati, analisi e correlazione, minacce informatiche, prove e indagini, giustizia) attraversa oggi territori molto più complessi rispetto al passato. Inoltre, gli stessi malware che le forze di polizia hanno storicamente impiegato come strumento di intercettazione legale sono oggi utilizzati massivamente dagli attaccanti, anche per il tramite dell’intelligenza artificiale. Per riappropriarsi della gestione della tecnologia, ha sostenuto il direttore, serve una normativa forte, capace di imporre regole stringenti ai provider e di restituire al sistema giustizia la capacità investigativa che rischia di perdere.

I costi del cybercrime

L’ultima sfida è economica. Il cybercrime ha costi elevatissimi, sia per le pubbliche amministrazioni sia per il settore privato, ma con dinamiche differenti. Zambonini ha richiamato un servizio recente de Le Iene dedicato a un attacco contro una piccola azienda: emerge un modello in cui l’attaccante estorce fino al limite di sopportazione economica della vittima e si ferma quando il rapporto costi-benefici non lo premia più. È, di fatto, una traslazione delle dinamiche estorsive tradizionali nel mondo digitale.

I bersagli si articolano in modo diverso a seconda della natura della vittima: dalle PMI si cerca tipicamente di estrarre denaro, dalle grandi amministrazioni informazioni. Le voci di costo, sintetizzate nella slide di chiusura, comprendono ransomware, deepfake, ricatti, estorsioni, blocco dei sistemi e danni reputazionali. Le conseguenze sono comuni a tutte le tipologie di vittime: perdite economiche, interruzione dei servizi, spese legali, ripristino dei sistemi e, soprattutto, crisi di fiducia.

Per le forze di polizia il problema si amplifica ulteriormente. I reati non si sono “trasferiti” nel virtuale lasciando vuote le strade: si sono semplicemente raddoppiati, perché ai reati tradizionali si sommano oggi quelli digitali. Una sfida che richiederebbe risorse umane e finanziarie crescenti, in un contesto storico di vincoli di bilancio.

In chiusura

Il messaggio finale di Zambonini, sintetizzato dalla slide conclusiva (“Restiamo connessi e vigili. La sicurezza cibernetica parte da ciascuno di noi”), riassume la postura culturale che il Servizio per la Sicurezza Cibernetica del Ministero dell’Interno intende promuovere. La difesa di un perimetro come quello del Viminale è una partita che si gioca quotidianamente, su molti tavoli simultanei, e che non può essere vinta senza collaborazione: fra dipartimenti del medesimo ministero, fra amministrazioni dello Stato, fra istituzioni dell’Unione Europea, fra settore pubblico e settore privato.

Il “nemico in casa”, evocato già nel titolo dell’intervento, non è soltanto quello che bussa dall’esterno, ma anche quello che si annida nelle vulnerabilità non gestite, nelle dipendenze tecnologiche non scelte e nelle narrazioni distorte. Mapparlo, comprenderlo e anticiparlo è la sfida che attende non solo il Ministero dell’Interno, ma l’intero sistema Paese.

Guarda il video completo dell’intervento “Il nemico in casa: dentro gli attacchi alle infrastrutture critiche italiane” di Gianpaolo Zambonini Dirigente Superiore Ingegnere della Polizia di Stato, Direttore del Servizio per la Sicurezza Cibernetica del Ministero dell’Interno, alla Cyber crime Conference 2026:

Condividi sui Social Network:

Ultimi Articoli