Siamo davvero in guerra cibernetica con la Russia?

di PAOLO POLETTI ♦  

Nel dibattito pubblico italiano ed europeo si sente sempre più spesso affermare che siamo già in una guerra cibernetica con la Russia. È un’espressione che colpisce, perché richiama un immaginario bellico immediato: blackout, infrastrutture paralizzate, ospedali bloccati, sistemi finanziari in tilt. Ma proprio per la sua forza evocativa rischia di produrre più confusione che comprensione.

Il problema non è negare l’esistenza della minaccia, che è reale e quotidiana, ma chiamarla con il nome giusto. Parlare di “guerra cibernetica” in senso classico significa usare categorie del Novecento per descrivere un fenomeno che appartiene a un’altra logica. Quella che stiamo vivendo non è una guerra dichiarata, con un fronte e un nemico formalmente identificabile, ma una competizione permanente sottosoglia, che utilizza il cyberspazio come moltiplicatore di pressione politica, economica e sociale.

Una “guerra” che resta sotto la soglia del conflitto armato.

Nel dominio digitale, l’uso della forza non si manifesta con attacchi risolutivi, ma con azioni continue, ambigue e difficilmente attribuibili. Il cyberspazio consente di colpire senza esporsi apertamente, di sfruttare attori intermedi, di negare plausibilmente ogni responsabilità. È per questo che la dottrina strategica parla sempre più di “guerra ibrida”: un insieme di strumenti – cyberattacchi, disinformazione, sabotaggi, coercizione economica – che non mirano a distruggere uno Stato con un colpo solo, ma a logorarne nel tempo la resilienza.

In questo contesto, la dimensione cyber non è isolata. È il punto di raccordo tra operazioni tecniche e pressione politica. Ed è proprio qui che nascono molti equivoci.

Che cos’è davvero un ransomware (e perché è così centrale).

Per comprendere la natura della minaccia, occorre partire da uno degli strumenti più diffusi: il ransomware.

Con il termine ransomware si indica un malware progettato per bloccare l’accesso ai dati o ai sistemi informatici di una vittima, generalmente tramite cifratura, e per richiedere un riscatto (ransom) in cambio del ripristino. Nelle sue forme più evolute, il ransomware non si limita a cifrare i dati, ma li esfiltra preventivamente, minacciandone la pubblicazione o la vendita se il riscatto non viene pagato. È il modello della cosiddetta doppia o tripla estorsione.

Questo tipo di attacco è diventato centrale perché colpisce direttamente la continuità operativa di organizzazioni pubbliche e private: sanità, enti locali, imprese, università. Non è un’arma “militare”, ma è perfettamente coerente con una strategia di pressione sottosoglia, perché genera danni economici, sociali e reputazionali immediati senza mai configurare un atto di guerra formale.

Il ransomware come industria: il modello Ransomware-as-a-Service

Il ransomware, che non è più l’opera di singoli hacker ma di gruppi criminali altamente strutturati (le cybergang), oggi funziona come una filiera criminale industriale, secondo il modello del ransomware-as-a-service (RaaS).

In questo modello, una cybergang sviluppa il malware, gestisce le infrastrutture tecniche (server, sistemi di cifratura, portali di pubblicazione dei dati rubati) e offre il ransomware come un servizio. Gli affiliati – criminali che non hanno competenze di sviluppo – acquistano o affittano questo servizio e lo utilizzano per colpire le vittime sul campo. A completare la filiera intervengono gli Initial Access Brokers, soggetti specializzati nel fornire l’accesso iniziale alle reti compromesse, sfruttando credenziali rubate, VPN non aggiornate o sistemi esposti.

Il risultato è un sistema altamente scalabile, efficiente e resiliente, che abbassa enormemente le barriere di ingresso nel crimine informatico e rende il ransomware uno strumento ideale anche in contesti geopolitici ambigui. In molti casi, infatti, queste infrastrutture criminali operano in Paesi che le tollerano o le utilizzano indirettamente come strumenti di pressione.

Che cosa sono davvero gli APT.

Accanto al cybercrime organizzato operano gli APT – Advanced Persistent Threat. L’acronimo non indica un singolo gruppo, ma una categoria di minacce.

Un APT è un attore – tipicamente statuale o sponsorizzato da uno Stato – che conduce operazioni cyber caratterizzate da tre elementi fondamentali: tecnica avanzata, persistenza e obiettivo strategico. Gli APT non cercano il guadagno immediato, ma l’accesso prolungato ai sistemi, lo spionaggio, la preparazione di future azioni di sabotaggio o influenza.

La persistenza è l’elemento chiave: un APT può restare nascosto per mesi o anni all’interno di una rete, utilizzando strumenti legittimi, credenziali valide e tecniche di offuscamento che rendono la rilevazione estremamente difficile. È questo che distingue una minaccia avanzata da un attacco criminale “rumoroso”.

La zona grigia dell’attribuzione.

È proprio questa convivenza tra criminalità organizzata e attori statuali che alimenta la “zona grigia” più delicata del conflitto contemporaneo.

Gli ultimi tre anni mostrano con particolare evidenza un fenomeno già noto agli analisti: nelle situazioni di conflitto mondiale o regionale è spesso quasi impossibile distinguere un attacco criminale da un attacco statuale. Un ransomware che colpisce un ospedale può avere un fine puramente economico, ma può anche inserirsi in una strategia di pressione più ampia; un attacco DDoS contro un ministero può essere opera di hacktivisti autonomi oppure di servizi di intelligence che si mascherano dietro l’attivismo digitale; una fuga di dati può nascere come attività criminale o diventare un’operazione di pressione geopolitica. Le tensioni internazionali amplificano questa zona grigia, aumentando l’incertezza, rendendo più complessa l’attribuzione e accrescendo il rischio di escalation involontarie, proprio perché l’azione resta formalmente “sotto soglia”.

Il senso del “non paper” Crosetto e le parole di Cavo Dragone

Alla luce di questo quadro, il senso del non paper presentato dal Ministro della Difesa Guido Crosetto al Consiglio Supremo di Difesa nel novembre 2025 diventa più chiaro. Un non paper non è un atto normativo, ma un documento di indirizzo strategico, utilizzato – nella prassi NATO – per orientare il dibattito politico.

Il documento non parla di “guerra cyber” in senso stretto, ma descrive la minaccia ibrida come fenomeno permanente, multidominio e sottosoglia, che mira a colpire la fiducia, la coesione sociale e la capacità istituzionale dello Stato. Il cyberspazio è visto come il moltiplicatore che rende più efficaci disinformazione, spionaggio e sabotaggi.

Anche le dichiarazioni dell’Ammiraglio Giuseppe Cavo Dragone, Presidente del Comitato Militare della NATO, vanno lette in questa chiave. Quando parla di “colpire le centrali da cui partono gli attacchi cyber”, non evoca una guerra offensiva, ma una difesa attiva: identificare, interrompere e neutralizzare le infrastrutture ostili per ridurne l’efficacia.

La minaccia non è solo russa (e non nasce oggi).

Attribuire la minaccia cyber esclusivamente alla Russia è, prima ancora che una semplificazione politica, un errore analitico. Mosca è certamente uno degli attori più visibili e aggressivi nello spazio digitale europeo, ma non è né l’unico né, in alcuni ambiti, il più pervasivo. La realtà che emerge dai dati, dai report di intelligence e dalle analisi istituzionali è quella di una competizione multipolare, in cui più Stati utilizzano il cyberspazio come strumento ordinario di proiezione di potenza.

La Cina, ad esempio, impiega il dominio cyber come leva strutturale di spionaggio industriale, tecnologico e scientifico, con un approccio orientato alla persistenza e alla raccolta di vantaggi competitivi di lungo periodo. L’Iran utilizza il cyberspazio come strumento di destabilizzazione regionale, integrandolo con operazioni di influenza e sabotaggio. La Corea del Nord ha trasformato il cybercrime avanzato in una vera e propria fonte di finanziamento statale, aggirando sanzioni internazionali attraverso furti digitali e ransomware.

Ciò che accomuna questi attori non è solo la capacità tecnica, ma la logica strategica: il cyberspazio consente di colpire senza esporsi, di esercitare pressione senza escalation formale, di sfruttare l’ambiguità tra criminalità e azione statuale. È qui che la distinzione tradizionale tra “attacco criminale” e “operazione geopolitica” si dissolve. Non perché tutto sia geopolitica, ma perché il crimine informatico diventa funzionale alla competizione tra Stati.

In questo senso, la minaccia cyber non è affatto nuova. Ciò che è nuovo è il contesto in cui opera: una società completamente digitalizzata, interconnessa, dipendente da infrastrutture informatiche e da catene di approvvigionamento globali. È questa maturazione del contesto che rende oggi la minaccia più efficace, più pervasiva e più destabilizzante di quanto non fosse dieci o quindici anni fa.

Danni sistemici: quando il cyber colpisce lo Stato attraverso la società.

Un errore ricorrente nell’analisi della minaccia cyber è considerare i danni come una semplice somma di incidenti tecnici: un server cifrato, un servizio temporaneamente indisponibile, una violazione di dati. In realtà, nella logica della guerra ibrida, il danno non è quasi mai solo tecnico. È, piuttosto, sistemico.

Quando un ransomware colpisce un ospedale, non interrompe soltanto un servizio informatico: mette sotto pressione il diritto alla salute, la continuità delle cure, la capacità dello Stato di garantire prestazioni essenziali e, in ultima analisi, la fiducia dei cittadini nelle istituzioni. Quando un ente locale viene paralizzato, non si tratta solo di un disservizio amministrativo, ma di una frattura nel rapporto tra Stato e comunità. Quando una campagna di disinformazione si innesta su un attacco informatico, il danno non è immediatamente misurabile, ma si manifesta nel tempo, sotto forma di sfiducia, polarizzazione, delegittimazione.

È in questo punto che si colloca ciò che il Prof. Herbert Lin, della Stanford University (Center for International Security and Cooperation; Hoover Institution), definisce Cyber-Enabled Information Operations. Con questa espressione non si indica una generica attività di propaganda o di disinformazione, ma operazioni condotte nel cyberspazio che utilizzano strumenti digitali, dati, piattaforme e infrastrutture informatiche per influenzare percezioni, emozioni, convinzioni e comportamenti collettivi. Il bersaglio non è il sistema informatico in quanto tale, ma la dimensione cognitiva e sociale della sicurezza.

Nelle Cyber-Enabled Information Operations, l’attacco informatico e l’operazione informativa non sono eventi separati, ma parti di un’unica strategia. La compromissione di dati, la loro manipolazione o diffusione selettiva (hack-and-leak), l’uso di deepfake, bot e micro-targeting algoritmico servono a costruire narrazioni, amplificare conflitti latenti, minare la credibilità delle istituzioni e ridurre la capacità dello Stato di governare il consenso. In questo senso, il cyber diventa uno strumento particolarmente adatto alla pressione ibrida, perché agisce sui punti di fragilità del sistema, non sui suoi simboli militari.

Il bersaglio finale non è quindi il server, ma la capacità dello Stato di funzionare come Stato, ossia di garantire servizi, produrre decisioni legittime, mantenere coesione sociale. La dimensione economica completa questo quadro. Ai costi diretti degli attacchi – riscatti, ripristini, perdite di produttività – si sommano costi indiretti ben più profondi: aumento dei premi assicurativi, perdita di competitività, rallentamento dell’innovazione, maggiore dipendenza da fornitori esterni e, soprattutto, erosione progressiva della resilienza economica e istituzionale. Anche qui, l’obiettivo non è la distruzione immediata, ma il logoramento nel tempo.

Perché la risposta non può essere solo militare.

Se questa è la natura della minaccia, allora diventa evidente perché una risposta esclusivamente militare sia insufficiente. Le Forze armate e le capacità cyber militari sono indispensabili per la deterrenza, per la difesa degli asset strategici e per il contrasto alle minacce statuali più avanzate. Ma non possono proteggere da sole ciò che costituisce il vero terreno della competizione ibrida: la società civile.

Nessun reparto militare può garantire l’aggiornamento dei sistemi di migliaia di enti locali, la formazione di milioni di cittadini, la sicurezza quotidiana delle PMI che compongono la spina dorsale economica del Paese. Nessuna capacità offensiva può compensare un tessuto civile fragile, disorganizzato e inconsapevole. È per questo che parlare di “risposta militare” come soluzione principale significa confondere il livello del problema con quello della risposta.

La protezione civile digitale come risposta razionale alla guerra ibrida.

La nozione di protezione civile digitale non è uno slogan né una metafora suggestiva, ma una vera e propria categoria analitica, che consente di comprendere quale tipo di risposta sia razionalmente adeguata alla minaccia ibrida contemporanea. Così come la protezione civile tradizionale non elimina terremoti o alluvioni, ma riduce i danni, coordina le risposte e accelera il ritorno alla normalità, allo stesso modo una protezione civile digitale non ha l’obiettivo irrealistico di “impedire” ogni attacco cyber, ma quello di neutralizzarne gli effetti più destabilizzanti sul funzionamento dello Stato e della società.

Questo approccio muove da un presupposto di realismo strategico: gli incidenti accadranno. La questione decisiva non è come evitarli tutti, ma come impedire che si trasformino in crisi sistemiche. In questo senso, la cybersicurezza non può essere ridotta a una somma di strumenti tecnologici, ma deve essere pensata come un insieme integrato di resilienza operativa, continuità dei servizi, capacità di coordinamento e governance del rischio. È qui che emerge con chiarezza il carattere culturale del problema: la sicurezza digitale è una postura, non una funzione tecnica isolata.

In una società profondamente digitalizzata, ogni cittadino rappresenta un potenziale punto di accesso, ogni impresa un anello della catena di fornitura, ogni amministrazione un nodo critico per l’erogazione di servizi essenziali. Di conseguenza, la sicurezza non può che essere diffusa, partecipata e multilivello. La protezione civile digitale implica la costruzione di una capacità civile, preventiva e organizzativa, che coinvolga individui, pubbliche amministrazioni e sistema produttivo, analogamente a quanto avviene nella gestione dei rischi naturali.

Ciò significa investire in consapevolezza diffusa e formazione strutturata, a partire dalle scuole e dalle università, per sviluppare competenze digitali di base e capacità critica nell’uso degli strumenti informatici. Significa, per le amministrazioni pubbliche e le imprese, dotarsi di programmi di cybersicurezza conformi alle normative europee, fondati su politiche chiare, procedure standardizzate, tecnologie adeguate e piani di continuità operativa realmente testati. Significa, inoltre, disporre di meccanismi di coordinamento non militari per la gestione delle emergenze cyber, capaci di garantire comunicazione chiara, evitare il panico e preservare la fiducia dei cittadini anche in presenza di incidenti gravi.

Tutto questo non richiede “armi digitali” né posture aggressive, ma educazione, organizzazione e cultura istituzionale. È in questa capacità di preparazione civile, preventiva e resiliente che si gioca la risposta più efficace alla guerra ibrida: non nel tentativo di colpire l’avversario sul suo stesso terreno, ma nel rendere il sistema-Paese capace di assorbire l’urto, adattarsi e continuare a funzionare.

La vera forza: continuare a funzionare. Resilienza come criterio ordinatore della sicurezza europea.

Questo cambio di paradigma non è solo teorico, né affidato alla sensibilità dei singoli Stati. È ormai esplicitamente incorporato nell’architettura normativa dell’Unione europea, che ha ridefinito la sicurezza digitale non come difesa episodica, ma come capacità strutturale di resilienza. La Direttiva NIS2 sposta l’asse dalla mera protezione delle reti alla gestione del rischio, imponendo a soggetti pubblici e privati l’adozione di misure organizzative, di continuità operativa e di risposta agli incidenti, oltre a una chiara responsabilizzazione degli organi di vertice. La sicurezza non è più delegabile al solo livello tecnico, ma diventa una funzione di governance.

In modo complementare, la Direttiva CER (Critical Entities Resilience) estende il concetto di resilienza oltre il dominio digitale, richiedendo che le infrastrutture critiche siano in grado di assorbire e superare eventi avversi, siano essi di natura fisica, cyber o ibrida. L’attenzione non è rivolta all’eliminazione del rischio – obiettivo irrealistico – ma alla capacità di garantire la continuità delle funzioni essenziali anche in condizioni di stress prolungato. La sicurezza, in questa prospettiva, coincide con la tenuta complessiva del sistema.

Il Regolamento DORA applica lo stesso principio al settore finanziario, rendendo la resilienza operativa digitale un requisito giuridico vincolante. Anche qui, il focus non è sulla prevenzione assoluta dell’incidente, ma sulla capacità delle organizzazioni di resistere, reagire e riprendersi, inclusa la gestione delle dipendenze critiche e dei fornitori tecnologici. Ne emerge una visione coerente: la forza non sta nell’invulnerabilità, ma nella capacità di funzionare sotto pressione.

Nel loro insieme, NIS2, CER e DORA traducono sul piano normativo ciò che la minaccia ibrida ha già imposto sul piano strategico: la sicurezza non è un muro, ma una proprietà sistemica, che nasce dall’integrazione tra tecnologia, organizzazione, responsabilità istituzionale e cultura del rischio. È su questa base che la resilienza diventa il vero indicatore della forza di uno Stato nell’era della cyberwarfare.

Conclusione: governare la fragilità nell’era della guerra ibrida.

La questione posta dalla cyberwarfare contemporanea non è, in ultima analisi, una questione tecnologica. È una questione di governo della fragilità.

Il cyberspazio non introduce la conflittualità nella vita degli Stati, ma ne espone e accelera le vulnerabilità: organizzative, istituzionali, cognitive, sociali. È per questo che la minaccia ibrida non si manifesta come rottura improvvisa, bensì come pressione continua, che sfrutta ciò che già esiste – interconnessione, dipendenza, complessità – trasformandolo in leva strategica.

In questo scenario, la distinzione tra sicurezza interna ed esterna, tra difesa militare e ordine civile, tra crisi tecnica e crisi politica tende a sfumare. Un attacco cyber, un’operazione di disinformazione o una compromissione della supply chain non producono effetti rilevanti perché “colpiscono la rete”, bensì interrompono funzioni essenziali, alterano la percezione della legittimità, mettono in discussione la capacità delle istituzioni di garantire continuità e affidabilità. È qui che la minaccia diventa sistemica.

Le Cyber-Enabled Information Operations, come evidenziato da Herbert Lin, rendono questa dinamica ancora più evidente: il cyberspazio non è soltanto il mezzo dell’attacco, ma il contesto in cui si costruisce una pressione cognitiva permanente, orientata a condizionare comportamenti collettivi e processi decisionali senza mai oltrepassare la soglia del conflitto armato. La forza di queste operazioni sta proprio nella loro normalità: non paralizzano, ma logorano; non impongono, ma influenzano; non distruggono, ma disorganizzano.

Da qui discende una conseguenza cruciale: nessuna risposta fondata esclusivamente sulla dimensione militare può essere adeguata. Non perché la difesa armata non sia necessaria, bensì non è strutturalmente proporzionata al problema. La minaccia opera attraverso la società, e attraverso la società deve essere assorbita e contenuta. Questo implica spostare l’asse della sicurezza verso la resilienza, la continuità operativa, la capacità istituzionale di funzionare anche in condizioni degradate.

La nozione di protezione civile digitale va intesa esattamente in questo senso: come capacità di prevenire la trasformazione dell’incidente in crisi, del disservizio in instabilità, dell’attacco in perdita di fiducia. È una risposta che non si misura in termini di superiorità tecnologica, ma di maturità organizzativa e culturale. Dove la cybersicurezza diventa parte integrante della governance pubblica, delle strategie aziendali e dei comportamenti individuali, la minaccia ibrida perde gran parte della sua efficacia.

In definitiva, la cyberwarfare non mette in discussione solo la sicurezza delle reti, ma la qualità dello Stato e delle sue istituzioni. La capacità di governare sistemi complessi, di comunicare in modo credibile, di mantenere coesione sociale sotto pressione è oggi parte integrante della sicurezza nazionale. Ed è su questo terreno – meno visibile, ma decisivo – che si gioca il futuro delle democrazie nell’era digitale.

PAOLO POLETTI