Il 18 febbraio 2026, La Repubblica riporta un’ipotesi di compromissione della rete informatica del Ministero dell’Interno, con conseguente sottrazione di un elenco di circa 5.000 identità di agenti Digos (nomi, incarichi, sedi operative), attribuendo l’azione di esfiltrazione a “hacker cinesi”.

L’articolo, a firma del giornalista Marco Fattorini), indica come finestra temporale dell’intrusione il 2024–2025.

Ecco cosa sappiamo e perché il data breach diventa un problema di sicurezza reale.

Questo tipo di fuga dati è diversa dalle altre

Quando si parla di “data breach” il pensiero corre subito a frodi, phishing e GDPR.
Qui c’è un livello ulteriore di rischio:

• profiling e targeting: sapere chi fa cosa e dove abilita operazioni di pressione, intimidazione, social engineering mirato, “doxxing” selettivo;
• compromissione operativa: la sottrazione di identità (anche senza credenziali) può compromettere procedure, coperture, relazioni e attività;
• escalation: un elenco “organizzato” (ruoli + sedi) è un acceleratore per campagne future (phishing per ruolo, vishing a reparti specifici, spoofing credibile verso uffici periferici).

Quindi, non è “solo privacy”. È invece superficie d’attacco.

Identità Digos esfiltrate: incognite tecniche (e perché contano)

Senza dettagli ufficiali, ogni ricostruzione tecnica deve essere dichiarata come ipotesi.

Le domande giuste, però, sono standard e aiutano a capire dove si rompe
quasi sempre la catena:

• il dataset da dove arriva? (HR, directory, portale intranet, documentale, CRM interno);
• è stato un furto “una tantum” o un accesso prolungato? (dwell time, accessi ripetuti, query/esportazioni);
• è coinvolta una compromissione di identità/credenziali? (phishing, password spraying, infostealer, reuse);
• c’erano account privilegiati coinvolti? (helpdesk, admin, service account)
• come è avvenuta l’esfiltrazione? (HTTPS “normale”, cloud storage, tunnel,
  canali cifrati).

Queste incognite non sono curiosità: determinano che controlli avrebbero fermato l’attacco e quali invece erano irrilevanti.

Anatomia “tipica” di un furto di identità interno a una PA

Quando l’obiettivo è un elenco strutturato di personale, spesso il pattern non è “0-day hollywoodiano”, ma una catena identity-centric:

• accesso iniziale: l’identità come grimaldello;
• pivot verso i sistemi “di verità”;
• estrazione silenziosa

Accesso iniziale: l’identità come grimaldello:

• Phishing mirato / vishing;
• Password spraying su servizi esposti;
• Credenziali già rubate (infostealer) riutilizzate.

Pivot verso i sistemi “di verità”:

• Directory (AD/LDAP/Entra) e rubriche;
• Sistemi HR / gestione personale;
• Portali intranet con export/reportistica.

Estrazione silenziosa:

• Export legittimo (CSV/PDF/report) abusato;
• Query ripetute “a basso volume”;
• Uso di strumenti nativi (meno rumore, più difficile distinguere da attività lecita).

Il motivo per cui funziona così spesso è semplice: i controlli sono forti “sul
perimetro”, ma deboli sull’uso delle identità e sui privilegi.

MFA come deterrente: utile sì, ma quale MFA e dove

Qui è il punto chiave: la MFA riduce tantissimo l’Account Takeover, ma non tutte le MFA sono uguali e non basta metterla “da qualche parte”.

Dove la MFA fa davvero la differenza:

• VPN / accessi remoti
• SSO / IdP
• Webmail e console amministrative
• Portali con dati sensibili e funzioni di export.

Se l’ingresso è credenziale rubata, la MFA è un muro molto concreto.

Dove la MFA “base” può non bastare:

• Furto di sessione/token (cookie hijacking);
• Endpoint già compromesso (l’utente approva perché è lui a essere bucato);
• Service account / integrazioni senza MFA;
• Abuso di privilegi interni già acquisiti.

Quale MFA, quindi?

La direzione che emerge anche nelle analisi di casi recenti è: MFA phishing-
resistant (FIDO2/WebAuthn, smartcard/certificati) + policy contestuali (device compliance, rischio, geografia, impossibile travel).

È esattamente il tipo di lezione che emerge dal caso Odido (febbraio 2026, telco olandese, 6,2 milioni di clienti coinvolti): gli attaccanti non hanno rotto la MFA — hanno ottenuto le credenziali via phishing, poi hanno chiamato telefonicamente i dipendenti spacciandosi per l’IT interno, inducendoli ad approvare il login fraudolento. Non la rompi, te la fanno consegnare.

Cosa fare subito: controlli pratici e misurabili (90 giorni)

Anche senza conoscere la catena esatta, ci sono azioni “no regret” che aumentano molto la resilienza:

• MFA phishing-resistant su: VPN / IdP / webmail / admin console (priorità 1);
• Hardening privilegi (PAM): account admin separati, JIT/JEA; vaulting
  credenziali e session recording dove possibile;
• Riduzione superficie dati: l’elenco “personale operativo” deve stare in pochi
  sistemi, con pochi ruoli abilitati; applicare least privilege e segregazione (HR ≠ IT ≠ operations);
• Alert su export e query anomale: “chi esporta cosa”, “quante righe”, “a che
  ora”, “da quale host”;
• Controlli su email compromise e thread hijacking: pattern attivi e molto
  sfruttati per muovere fiducia. ACN/CSIRT ha pubblicato alert su queste
  tecniche (utile come riferimento operativo);
• Vulnerability & exposure management: seguire bollettini e priorità (es.
  “Settimana Cibernetica” di ACN/CSIRT) per ridurre l’“open window” su
  prodotti critici.

Lezioni per CISO e responsabili IT

Ecco quali sono le lezioni possono trarre i CISO e i responsabili IT:

• Le identità sono il perimetro. Se l’identità cade, il “dentro/fuori” non esiste più.
• MFA sì, ma resistente al phishing e accompagnata da controllo
  dispositivo/rischio.
• I privilegi uccidono la sicurezza più delle vulnerabilità: PAM e
  segregazione fanno la differenza.
• Export e report sono “data exfiltration features” se non li controlli e non li
  monitori.
• La trasparenza tecnica (quando possibile) è un acceleratore di difesa:
  anche un set minimo di TTP/IOC aiuta il resto dell’ecosistema.