Un gruppo hacktivista pro-cinese sostiene di aver violato il sistema anti-allagamento della Basilica di San Marco il 10 marzo 2026. Quasi un mese dopo, rivendica ancora l’accesso. Il caso riapre la questione della sicurezza delle infrastrutture OT italiane.
Il 7 aprile 2026, i sistemi di monitoraggio del team DarkLab di Red Hot Cyber intercettano un messaggio su Telegram. Un gruppo che si firma Infrastructure Destruction Squad rivendica l’accesso completo al sistema di controllo anti-allagamento della Basilica di San Marco, sotto la responsabilità diretta del Ministero delle Infrastrutture e dei Trasporti. L’accesso viene messo in vendita per 600 dollari. Gli screenshot pubblicati mostrano il pannello sinottico del sistema, con la planimetria della Basilica e lo stato delle valvole in tempo reale.
Pochi giorni dopo, le autorità conducono verifiche e test sull’infrastruttura. I risultati sono positivi. Il caso sembra chiudersi. Poi, il 13 aprile 2026, il gruppo torna sui propri canali con un messaggio diretto: sono ancora dentro.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
La cronologia dell’attacco
Dai log raccolti dai team di sicurezza, emerge che il 10 marzo 2026, sullo stesso canale Telegram, era comparso un post diverso: una rivendicazione generica della violazione dei sistemi del MIT italiano, con il logo istituzionale e la dicitura “The breach was carried out by exploiting security vulnerabilities in the current systems”. Nessuna prova tecnica, nessuno screenshot operativo. Il post viene cancellato in poche ore, abbastanza in fretta da non generare rumore, ma non abbastanza da sfuggire al monitoraggio.
Il collegamento tra i due eventi emerge dagli stessi screenshot pubblicati il 7 aprile: il pannello dell’HMI riporta come timestamp il 10 marzo 2026, ore 01:40. Il gruppo è entrato nei sistemi durante quella notte, ha documentato l’accesso e ha aspettato quasi un mese prima di passare alla fase della monetizzazione e della propaganda. Una scelta che rivela un’organizzazione tutt’altro che improvvisata.
Il 13 aprile 2026, dopo le verifiche tecniche condotte nel periodo pasquale, il gruppo rompe nuovamente il silenzio. Pur riconoscendo che i test sui sistemi hanno dato esito positivo, nega che i controlli siano stati sufficienti a espellerlo dall’infrastruttura. Il messaggio pubblicato sul canale è inequivocabile: “Siamo qui da mesi e continueremo a rimanerci”. Il gruppo annuncia inoltre lo sviluppo di uno strumento dedicato ai settori energetico e idrico, già testato, a suo dire, sui sistemi italiani. Minaccia infine ritorsioni contro i media che coprono la notizia senza “comprenderne la verità”.
Infrastructure Destruction Squad, noto anche come Dark Engine, è monitorato dai principali vendor di threat intelligence dall’inizio del 2025. Nel secondo trimestre dello stesso anno ha rivendicato 26 attacchi mirati a sistemi ICS, con operazioni documentate in Europa, Asia e America Latina. Il profilo ideologico del gruppo è pro-cinese, orientato a colpire infrastrutture di Paesi percepiti come ostili agli interessi di Pechino. I messaggi vengono pubblicati in doppia lingua, inglese e cinese, con due audience distinte: i potenziali acquirenti internazionali e una platea asiatica di riferimento. L’Italia, secondo i dati di Cyble, è il Paese più colpito tra i target degli hacktivisti ICS a livello globale.
Come è avvenuta la compromissione
Il sistema di protezione anti-allagamento della Basilica di San Marco è un’infrastruttura da circa 4 milioni di euro, realizzata a partire dal 2018 dal Provveditorato alle Opere Pubbliche del Triveneto nell’ambito dei fondi per la Salvaguardia di Venezia. Il sistema comprende valvole pneumatiche nei gatoli sotterranei, pompe di rilancio e sensori di livello marea. Il controllo avviene tramite un’HMI (Human-Machine Interface) installata fisicamente al primo piano del Campanile di San Marco.
Secondo l’analisi di Red Hot Cyber, il vettore più probabile è l’esposizione diretta di questa interfaccia su internet, senza un’adeguata segregazione di rete. Si tratta di un pannello di supervisione accessibile dalla rete pubblica, senza che ciò implichi necessariamente la penetrazione della rete OT segmentata sottostante. È una distinzione tecnica rilevante: l’accesso all’HMI permette di visualizzare e potenzialmente modificare lo stato del sistema, ma non equivale automaticamente al controllo completo dell’infrastruttura fisica.
Il prezzo di 600 dollari per l’accesso root è anomalo rispetto al valore di un’infrastruttura critica governativa. Questa cifra suggerisce due letture possibili: o l’accesso è più limitato di quanto dichiarato dal gruppo, oppure la priorità non è la monetizzazione ma la massimizzazione della propagazione del messaggio, come avviene tipicamente nelle operazioni di hacktivismo e propaganda. Il fatto che il gruppo abbia aspettato un mese prima di rendere pubblica la compromissione, e che stia ora contestando attivamente le verifiche condotte dalle autorità, è coerente con la seconda ipotesi.
Rimane aperta la questione su come il gruppo abbia ottenuto le credenziali di accesso: le ipotesi più probabili sono un account con password predicibile o un set di credenziali raccolto tramite infostealer, uno degli strumenti più diffusi nelle fasi di accesso iniziale delle campagne hacktiviste più strutturate.
Il problema delle infrastrutture OT in Italia
Il caso della Basilica di San Marco è la principale manifestazione di un problema che riguarda le infrastrutture OT italiane nel loro insieme. I sistemi Operational Technology controllano impianti fisici: valvole, pompe, sensori, linee di produzione, reti elettriche. A differenza dei sistemi IT tradizionali, sono progettati per la continuità operativa e per cicli di vita molto lunghi, spesso decennali. Questo significa che molti di questi sistemi girano su software in End of Life, privi di aggiornamenti di sicurezza, e che la loro integrazione con reti IP moderne è avvenuta spesso senza una progettazione della sicurezza adeguata.
L’interfaccia esposta su internet del Campanile di San Marco è l’esempio più evidente di questa logica: un sistema pensato per essere accessibile ai tecnici da remoto, configurato senza la necessaria segmentazione tra la rete di supervisione e la rete pubblica. Un errore che, nel contesto OT, apre la porta non a una violazione di dati, ma alla possibilità concreta di manipolare infrastrutture fisiche con conseguenze reali.
Il Rapporto CLUSIT 2026 fotografa con precisione il contesto. In Italia, gli attacchi di matrice hacktivista sono cresciuti del 145% rispetto all’anno precedente, raggiungendo il 38,7% di tutti gli incidenti documentati nel Paese. L’Italia concentra il 64% di tutti gli attacchi hacktivisti registrati a livello mondiale, una quota che riflette la visibilità geopolitica del Paese e la vulnerabilità percepita delle sue infrastrutture digitali pubbliche. Il settore manifatturiero e quello delle infrastrutture critiche sono i comparti più esposti, con sistemi OT che rappresentano ancora oggi uno dei fronti meno presidiati della sicurezza informatica nazionale.
Come proteggere le infrastrutture OT
La difesa delle infrastrutture OT richiede un approccio diverso rispetto alla sicurezza IT tradizionale, perché i vincoli operativi sono diversi: non si può interrompere il funzionamento di una valvola o di una pompa per installare una patch, come si farebbe con un server aziendale. Tuttavia, esistono misure concrete che ogni organizzazione che gestisce infrastrutture critiche può e deve adottare.
- Segregare fisicamente le reti IT e OT.
La regola fondamentale è che i sistemi di controllo industriale non devono essere accessibili dalla rete pubblica, né direttamente collegati alla rete IT aziendale senza un’architettura di separazione dedicata. L’uso di DMZ industriali, firewall specifici per ambienti OT e connessioni unidirezionali tramite data diode riduce drasticamente la superficie di attacco esposta. - Eliminare o proteggere gli accessi remoti non controllati.
Le interfacce HMI accessibili da internet sono uno dei vettori di compromissione più frequenti negli attacchi ICS. Ogni accesso remoto deve passare per gateway VPN con autenticazione multifattore, con monitoraggio attivo delle sessioni e revoca immediata delle credenziali non più necessarie. - Censire e gestire i sistemi in End of Life.
La presenza di software obsoleto nei sistemi OT è endemica. Il primo passo è costruire un inventario completo dei componenti in uso, identificare quelli privi di supporto e definire un piano di mitigazione che, dove l’aggiornamento non è possibile, preveda compensazioni come la segmentazione aggiuntiva e il monitoraggio intensivo. - Implementare il monitoraggio continuo del traffico OT.
I sistemi di rilevamento delle anomalie specifici per ambienti industriali analizzano il traffico dei protocolli OT (Modbus, DNP3, IEC 104) e segnalano comportamenti anomali come comandi inusuali, accessi fuori orario o variazioni nei pattern di comunicazione tra dispositivi. - Definire e testare piani di risposta agli incidenti specifici per OT.
Un piano di risposta agli incidenti pensato per l’IT non funziona in un ambiente OT, dove la priorità è la continuità operativa del processo fisico. I piani devono prevedere procedure di isolamento selettivo, modalità di operazione manuale di emergenza e catene di notifica che includano sia i team IT che i responsabili operativi.
In conclusione
Il caso della Basilica di San Marco non è ancora chiuso. Non sappiamo con certezza se il gruppo sia ancora all’interno dei sistemi, né quale sia la reale profondità dell’accesso ottenuto. Quello che sappiamo è che un’interfaccia di controllo di un’infrastruttura critica italiana era esposta su internet, che un gruppo hacktivista pro-cinese l’ha raggiunta senza particolari difficoltà, e che la vicenda è diventata uno strumento di propaganda attiva contro le istituzioni del Paese.
Il vero problema non è questo singolo episodio. È che la Basilica di San Marco non è un caso eccezionale: è il caso più visibile di una condizione diffusa. Le infrastrutture OT italiane portano con sé anni di integrazioni non pianificate, sistemi obsoleti e accessi remoti configurati per la comodità operativa, non per la sicurezza. Finché questa condizione non cambia, episodi come questo continueranno a ripetersi, con bersagli sempre più simbolici e messaggi sempre più difficili da ignorare.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.