La Francia ha attribuito formalmente alla Russia una serie di cyberattacchi condotti contro interessi strategici francesi attraverso Turla, il gruppo di intrusione associato al 16esimo Centro del Servizio federale di sicurezza russo, il FSB. La dichiarazione del ministero francese degli Esteri del 13 luglio 2026 indica in particolare l’unità 61240 come struttura incaricata del targeting della Francia e richiama compromissioni che riguardano ministeri, diplomazia, giustizia, difesa e ricerca sensibile.
Indice degli argomenti
Gli attacchi cyber da Russia a UE e le sanzioni
L’Unione europea e il Regno Unito hanno annunciato misure restrittive contro nove individui e quattro entità dell’ecosistema cyber russo, mentre il Regno Unito ha varato un pacchetto parallelo contro 24 soggetti collegati a intelligence, cybercrime, proxy e operazioni ibride.
Il governo britannico ha affermato che le sanzioni – il primo pacchetto congiunto con l’UE in materia di sicurezza informatica – “mirano ai tentativi persistenti e sempre più sconsiderati dello Stato russo di seminare caos e divisione in tutta Europa”.
Tra le persone soggette al congelamento dei beni e al divieto di visto figurano funzionari dell’agenzia di intelligence militare russa GRU e presunti «criminali informatici» che collaborano con lo Stato russo.
L’UE e il Regno Unito hanno anche affermato che un recente tentativo di attacco informatico contro infrastrutture critiche in Polonia, compresa la rete elettrica, è stato l’ultimo di una serie di azioni simili condotte dal Centro 16, il centro di spionaggio dell’FSB.
«Questo attacco sconsiderato è fallito, ma avrebbe potuto causare l’interruzione dell’elettricità a 500.000 cittadini nel pieno dell’inverno», ha dichiarato il Ministero degli Esteri britannico.
«Si tratta di un altro esempio dei tentativi irresponsabili dello Stato russo di seminare il caos in tutta Europa».
Il ministro degli Esteri francese Jean-Noël Barrot ha dichiarato che gli attacchi hanno preso di mira ministeri governativi, aziende e operatori di servizi, con l’obiettivo «di acquisire informazioni o di sabotare le operazioni, ad esempio le infrastrutture ferroviarie, come è avvenuto in Polonia».
Il ministero degli Esteri francese ha aggiunto che tra gli obiettivi sanzionati figurava «un gruppo che ha rivendicato azioni destabilizzanti contro le Olimpiadi di Parigi 2024».
L’UE ha affermato che “tra gli altri, Francia, Germania, Polonia, Cipro, Paesi Bassi, Austria, Slovacchia, Romania e Finlandia sono stati presi di mira” in una campagna che risale a diversi anni fa.
Il Centro 16 dell’FSB è già stato accusato in passato dalle agenzie di intelligence occidentali di utilizzare da decenni malware per cercare di ottenere l’accesso e spiare paesi in tutto il mondo.
Adesso la minaccia è più chiara. Da parte della Russia non c’è solo spionaggio di Stato, ma una combinazione di intelligence, sabotaggio, infrastrutture criminali, furto di credenziali e gruppi di facciata.
Turla cyberattacchi russi: cosa ha attribuito la Francia
La dichiarazione francese ricostruisce una linea di attività lunga. Secondo Parigi, il FSB ha preso di mira account di posta del ministero delle Forze armate dal 2017, la rete del ministero degli Esteri presso l’ambasciata francese a Mosca nel 2018 e, nel 2019, un server appartenente a un’entità del settore giudiziario . Nel febbraio 2025, un istituto di ricerca specializzato in tecnologie sensibili e attivo per l’industria della difesa francese sarebbe stato colpito con esfiltrazione di un volume significativo di dati.
La nota ANSSI/C4 CERTFR-2026-CTI-004, pubblicata il 13 luglio 2026 dal CERT-FR, amplia il quadro: il Centro di coordinamento delle crisi cyber francese afferma di aver osservato dal 2010 il targeting e la compromissione di entità francesi attraverso Turla. La vittimologia include settori diplomatici, difesa, giustizia, tecnologie e vittime intermedie usate come relay nelle infrastrutture malevole del gruppo
Il dettaglio delle vittime intermedie è rilevante per le aziende potenziali vittime.
L’attaccante non cerca solo l’obiettivo finale: compromette sistemi terzi per costruire infrastrutture di appoggio, rendere più difficile l’attribuzione e preparare nuove operazioni.
È una dinamica che rende insufficienti controlli limitati al perimetro aziendale e spinge verso monitoraggio delle dipendenze, segmentazione, logging persistente e threat hunting orientato agli scenari di lungo periodo.
Dal cyberespionaggio al sabotaggio: il salto di rischio
Il Consiglio UE, nella dichiarazione dell’Alto rappresentante del 13 luglio 2026, attribuisce al 16esimo Centro del FSB attività che includono infiltrazione di reti governative e sabotaggio di infrastrutture critiche. Tra i Paesi indicati come bersaglio figurano Francia, Germania, Polonia, Cipro, Paesi Bassi, Austria, Slovacchia, Romania e Finlandia .
La Polonia è il caso più delicato perché sposta la lettura dal furto informativo alla continuità dei servizi. Londra afferma che un attacco contro la rete energetica polacca attribuito al Centro 16 del FSB avrebbe potuto lasciare senza elettricità 500mila cittadini durante l’inverno . Anche quando l’operazione fallisce, la sua logica è chiara: testare accessi, procedure e impatti su settori essenziali.
Il punto per le organizzazioni europee è che spionaggio e sabotaggio possono condividere accessi, infrastrutture e fasi preparatorie. Una campagna nata per raccogliere intelligence può lasciare persistenze sfruttabili in seguito per disservizi, cancellazione di dati o pressione geopolitica. La risposta difensiva deve quindi trattare credenziali, sistemi esposti, ambienti OT e fornitori come parti dello stesso rischio, non come domini separati.
L’ecosistema russo: intelligence, proxy e cybercrime
La novità politica delle sanzioni è la descrizione di un ecosistema ibrido. L’UE denuncia l’uso da parte russa di attori statali e non statali: servizi di intelligence, gruppi cybercriminali, hacktivisti e società private . Il Regno Unito aggiunge un elemento pratico: secondo il Foreign, Commonwealth & Development Office, la Russia avrebbe usato credenziali rubate tramite Lumma Stealer per operazioni di cyberespionaggio globali a sostegno degli obiettivi del Cremlino; la National Crime Agency ha rilevato almeno 2.100 vittime di Lumma nel Regno Unito negli ultimi sei mesi .
Questa convergenza cambia il modello di minaccia. Malware e servizi nati nel mercato criminale possono diventare strumenti di raccolta per apparati statali; gruppi sedicenti hacktivisti possono amplificare o coprire campagne di destabilizzazione; società e hosting compiacenti possono fornire infrastrutture a più attori. Per la difesa aziendale, la distinzione tra minaccia “criminale” e minaccia “statale” perde valore se le stesse credenziali, gli stessi accessi e gli stessi server possono servire entrambe.
Le implicazioni per le aziende italiane
Per le organizzazioni italiane, soprattutto nei settori energia, trasporti, sanità, digitale, ricerca, manifattura avanzata e PA, il caso Turla rafforza tre priorità.
La prima riguarda le identità: il furto di credenziali tramite infostealer, phishing mirato o compromissione di terze parti resta una via rapida per entrare in ambienti complessi. MFA resistente al phishing, rotazione delle credenziali privilegiate, controllo delle sessioni e rilevazione degli accessi anomali diventano misure di base.
La seconda priorità è la visibilità. Le campagne attribuite a Turla sono descritte dalle autorità francesi come sofisticate e difficili da rilevare anche per l’uso di risorse noleggiate o già compromesse. Questo richiede telemetria su endpoint, posta, identità, traffico di rete e sistemi esposti, con retention sufficiente per ricostruire compromissioni lente. Nei contesti OT e industriali, la visibilità deve includere asset inventory, flussi tra reti IT e operative e procedure di isolamento.
La terza priorità è la governance.
L’Italia ha recepito la direttiva NIS2 con il decreto legislativo 4 settembre 2024, n. 138, in vigore dal 16 ottobre 2024. La minaccia descritta da Francia, UE e Regno Unito rende più concreta la responsabilità degli organi di gestione: valutazione del rischio cyber, continuità operativa, sicurezza della supply chain e capacità di notifica non sono adempimenti separati dalla difesa, ma strumenti per ridurre l’impatto di campagne ibride.
Sanzioni cyber e deterrenza: cosa possono fare davvero
Le sanzioni non fermano da sole un gruppo come Turla. Servono però a tre scopi: attribuire pubblicamente, aumentare il costo operativo degli attori coinvolti e rendere più rischiosi rapporti economici, infrastrutturali o logistici con soggetti inseriti nelle liste. Il regime UE per gli attacchi informatici prevede congelamento dei beni, divieto di viaggio per le persone fisiche e divieto di mettere fondi o risorse economiche a disposizione dei soggetti sanzionati.
Per le aziende questo produce un effetto indiretto: due diligence su fornitori, hosting, servizi gestiti, canali di pagamento e controparti tecniche deve includere anche il profilo cyber e sanzionatorio. Un provider apparentemente periferico può diventare un rischio legale, reputazionale e operativo se associato a infrastrutture malevole o a gruppi collegati a intelligence ostili.
La lezione del caso Turla è che la cyberdifesa europea sta entrando in una fase più integrata: attribution, sanzioni, intelligence tecnica e compliance procedono insieme. Le organizzazioni che trattano la sicurezza come sola protezione tecnologica rischiano di arrivare tardi. La minaccia russa mostra che accessi, dati, continuità dei servizi e fiducia nelle istituzioni sono ormai parti dello stesso campo d’attacco.













Partecipa alla community