La guerra ibrida ha trasformato il cyberspazio in un dominio di conflitto permanente. La difesa non basta più: occorre integrare competenze, capacità di deterrenza e strumenti di cyber intelligence.
Dati come valore economico, attacchi alle infrastrutture critiche, vulnerabilità delle PMI e scarsità di capitale umano impongono un cambio di paradigma. Ricostruiamo tale evoluzione, proponendo un modello organico di risposta.
Indice degli argomenti
L’allarme NATO sulla guerra ibrida già in corso
Con un intervento che non ha mancato di suscitare un acceso dibattito politico, l’Ammiraglio Giuseppe Cavo Dragone presidente del comitato militare NATO, ha sintetizzato, qualche mese addietro, con estrema lucidità il contesto attuale affermando: «dobbiamo essere pronti a reagire agli attacchi che ci vengono portati: la guerra ibrida è già in corso». Una posizione che, lungi dal richiamare aggressività, esprimeva una consapevolezza: il conflitto oggi si manifesta in forme non convenzionali, continue, pervasive e spesso invisibili.
Questa affermazione, proveniente da una delle massime autorità militari italiane in ambito NATO, chiarisce il quadro in cui si inserisce l’evoluzione della sicurezza digitale: non più soltanto difesa tecnica, ma postura strategica, anticipazione e capacità di risposta.
Perché la cybersecurity non basta più
Per anni la sicurezza informatica è stata percepita come un insieme di tecnologie difensive: firewall, antivirus, sistemi di monitoraggio. Ma la guerra ibrida ha mostrato un limite evidente: anche il miglior sistema difensivo, da solo, non genera deterrenza. Se l’aggressore non teme conseguenze, continuerà a colpire.
Nel contesto economico italiano questo rischio assume una dimensione ancora più critica. La nostra economia si fonda su caratteristiche uniche in Europa, che la guerra ibrida mette pesantemente sotto pressione:
- infrastrutture critiche vulnerabili, la cui compromissione può determinare interruzioni dei servizi essenziali: sanità, energia, trasporti, logistica, pubblica amministrazione digitale. Un attacco che va a segno può bloccare ospedali, paralizzare catene di approvvigionamento, interrompere servizi pubblici con effetti immediati sulla vita dei cittadini;
- un tessuto industriale basato sul know-how tecnologico, spesso altamente specializzato e di altissimo valore, ma distribuito in aziende medio-piccole che non dispongono di strutture di sicurezza dedicate. Il furto o la distruzione del know-how rappresenta un danno diretto alla competitività nazionale e un vantaggio per attori di Paesi ostili che investono strutturalmente nell’acquisizione illecita di tecnologia.
Catene di fornitura interconnesse, in cui un attacco a un fornitore di piccole dimensioni può generare un effetto domino su player nazionali e internazionali, amplificando l’impatto e moltiplicando la superficie d’attacco.
La dipendenza crescente da piattaforme digitali che, se compromesse, possono generare effetti sistemici su economia, comunicazioni e servizi pubblici.
In questo scenario, la cyber defence, ovvero la capacità di impedire l’attacco, non è più sufficiente: occorre prevederlo, anticiparlo e dissuaderlo. La deterrenza diventa parte integrante della sicurezza, perché senza la percezione di un rischio reale per l’attaccante, la pressione ostile continuerà ad aumentare.
Il cyberspazio come quarto dominio di conflitto
È abbastanza chiaro a tutti che ormai il mondo digitale che sino a qualche anno fa non era considerato un asset strategico oggi è invece, con Aria, Terra e Mare, la quarta dimensione da proteggere; con la guerra in Ucraina il cyberspazio si è rivelato un ambiente operativo dove si combattono attacchi continui, sabotaggi, campagne di disinformazione e intrusioni contro infrastrutture critiche.
Una guerra invisibile che è già in atto. La guerra ibrida non è una minaccia futura.
Dalla difesa alla deterrenza: il salto strategico
Nel dominio digitale la distinzione tra difesa e offesa è molto labile: prevenire un attacco non significa necessariamente “colpire” l’avversario, ma può richiedere la neutralizzazione preventiva della sua capacità offensiva. In molti casi, questo equivale a individuare l’infrastruttura da cui l’attacco sta per partire, disattivarne la connettività, bloccare i server di comando e controllo o impedire la propagazione del malware prima che raggiunga i sistemi nazionali.
Non si tratta di attività offensive in senso tradizionale, ma di misure di interdizione tecnica che diversi Paesi NATO considerano ormai parte integrante della difesa avanzata.
Gli Stati Uniti, ad esempio, nel 2018 hanno introdotto la dottrina “Defend Forward”, secondo cui la sicurezza nazionale richiede di «intercettare e contrastare le minacce informatiche il più lontano possibile dalle infrastrutture domestiche». L’obiettivo è evitare che l’attacco arrivi a destinazione, non reagire quando il danno è già prodotto.
Anche l’Unione Europea, nei più recenti rapporti ENISA, ha riconosciuto che la deterrenza non è più solo un concetto militare, ma un elemento essenziale della sicurezza delle infrastrutture critiche. Già nel report Threat Landscape 2023, l’Agenzia aveva sottolineato come gli attacchi distruttivi e di spionaggio fossero cresciuti rispettivamente del 57% e del 30% nell’ultimo biennio, rilevando che «la difesa passiva non è sufficiente contro attori statuali altamente strutturati».
Il concetto è stato ribadito anche nel Report Threat Landscape 2025 dell’agenzia europea che, oltre a indicare un trend di crescita degli attacchi, evidenzia che non sono più eventi isolati, ma componenti di campagne persistenti e convergenti che colpiscono soprattutto strutture e servizi critici, con phishing, DDoS e ransomware tra i vettori prevalenti. Questo spiega perché una sola difesa passiva non basta più: occorre adottare un approccio che unisca monitoraggio avanzato, prevenzione proattiva, attribuzione rapida e resilienza strutturata, come richiesto anche dalla Direttiva NIS2.
In questo quadro, dissuadere l’aggressore diventa parte integrante della strategia. La deterrenza digitale può assumere diverse forme:
- capacità di identificazione rapida e credibile degli attacchi e della loro attribuzione;
- cooperazione internazionale che può ridurre lo spazio di manovra di attori ostili;
- risposta tecnica immediata (takedown, isolamento, blocco dell’infrastruttura);
- comunicazione chiara verso cittadini e imprese per ridurre l’impatto psicologico dell’attacco e impedire la destabilizzazione.
Pur nel pieno rispetto delle norme internazionali e delle regole di ingaggio, è necessario passare da una logica puramente difensiva a un modello orientato alla deterrenza e alla resilienza attiva. Nella guerra ibrida, infatti, la mera protezione dei perimetri non basta: occorre dimostrare che il costo dell’attacco, per l’aggressore, sarà superiore al beneficio atteso. Lo ripetiamo: il limite è sottile: prevenire un attacco può richiedere la neutralizzazione della capacità offensiva dell’avversario.
Il dato come nuovo capitale: perché vale più dell’oro
Ciò che non si comprendeva sino a qualche tempo fa, oggi è conoscenza comune: i social non sono gratuiti: paghiamo con i nostri dati. Informazioni che, aggregate, hanno un valore economico enorme, spesso superiore a quello di beni materiali.
Proteggere i dati significa proteggere ricchezza. Il dato è ormai assurto ad asset finanziario, e come tale richiede misure di tutela, governance e controllo.
Quando il furto di dati diventa atto di guerra
Nel contesto della guerra ibrida, infatti, il furto o la compromissione dei dati non è necessariamente un atto di criminalità comune: può essere un’azione ostile contro un Paese, finalizzata a indebolirlo, destabilizzarlo o ricattarlo. La sottrazione dei dati può, dunque diventare un atto di guerra quando ad esempio, si colpiscono infrastrutture sanitarie, sottraendo cartelle cliniche, o più in generale, dati sensibili o particolari, di cittadini fragili o vittime di violenza. La diffusione di queste informazioni può minare la fiducia nella sanità pubblica, generare panico e indebolire l’immagine delle istituzioni.
O ancora se si sottrae know how industriale dalle PMI italiane, spesso leader in nicchie tecnologiche e ingegneristiche.
Il 95% del tessuto produttivo italiano, ricordiamolo, è costituito da piccole e medie imprese. Sono spesso prive di personale dedicato alla sicurezza e, per questo, diventano bersagli ideali. Proteggere le PMI significa proteggere l’intero sistema economico.
La perdita del know how comporta un danno diretto alla competitività nazionale e un vantaggio immediato per potenze estere che utilizzano i gruppi hacker come strumenti economici e geopolitici.
Dati personali come arma nella guerra ibrida
Si raccolgono dati energetici e infrastrutturali: conoscere in anticipo il funzionamento di reti elettriche, impianti idrici, trasporti e sistemi SCADA consente a un attore ostile di pianificare blackout, sabotaggi o interruzioni di servizi essenziali. Un attacco di questo tipo può produrre effetti analoghi a un atto di guerra convenzionale.
Nella guerra ibrida le informazioni ed i dati personali sono il mezzo per operazioni non convenzionali. Ad esempio lo sfruttamento di dati personali con la profilatura di milioni di cittadini permette di realizzare campagne di disinformazione mirate, polarizzare il dibattito pubblico, orientare le scelte elettorali e indebolire la coesione democratica. È una forma di attacco psicologico e cognitivo, perfettamente coerente con strategia di guerra ibrida.
E, aldilà delle tecnologie a disposizione, essa non è una novità. Gli Stati Maggiori, tradizionalmente organizzati in una serie di strutture di staff (G1-ordinamento – G2 – informazioni – G3 operazioni – G4 – logistica), hanno già da tempo aggiunto ulteriori G, quali, ad esempio, la comunicazione (G5).
Da tempo la guerra psicologica, prima forma di guerra ibrida, ha fatto il suo ingresso già con la prima guerra mondiale. Con la propaganda di massa, i volantini lanciati sulle trincee, la disinformazione organizzata. Nella Seconda guerra mondiale, diventa una funzione strutturata degli Stati Maggiori. Gli Stati Uniti creano l’Office of War Information (OWI) e il Regno Unito l’unità Political Warfare Executive (PWE). Si punta a minare morale, coesione sociale e capacità di comando del nemico.
È qui che la guerra psicologica cessa di essere un fenomeno episodico e diventa un dominio operativo.
Non deve quindi sorprendere questa rapida evoluzione della guerra ibrida, oggi che i dati personali e le informazioni sono così pesantemente disponibili.
Proteggere i dati significa dunque proteggere ricchezza, stabilità, sovranità e capacità competitiva del Paese. In questo scenario, il dato non è più solo un bene economico: è una leva di potere. E come tale richiede misure di tutela, governance e controllo che siano all’altezza delle minacce sistemiche e persistenti che caratterizzano il contesto attuale: paghiamo con i nostri dati. Informazioni che, aggregate, hanno un valore economico enorme, spesso superiore a quello di beni materiali.
Il dato è ormai un asset finanziario, e come tale richiede misure di tutela, governance e controllo.
Siamo tutti terminali: la superficie d’attacco universale
Ma noi che ruolo abbiamo? In questo scenario ognuno è attore principale della sicurezza. Smartphone, auto connesse, dispositivi IoT, sensori industriali: ognuno di noi è un punto di accesso potenziale. La sicurezza digitale non riguarda più specialisti e grandi aziende: riguarda ogni cittadino e ogni impresa.
La nostra quotidianità è ormai intrecciata, in simbiosi con la rete: lavoriamo, comunichiamo, ci informiamo, accediamo a servizi pubblici e privati attraverso dispositivi costantemente connessi. Ogni scelta, anche apparentemente banale – cliccare su un link, installare un’app, condividere un’informazione, usare una password debole – può diventare un varco sfruttabile da un attore ostile. È la logica della superficie d’attacco distribuita, in cui la vulnerabilità non è concentrata in pochi punti critici, ma diffusa in milioni di terminali.
E gli attori della guerra ibrida lo sanno bene: anziché tentare attacchi diretti contro infrastrutture protette, preferiscono infiltrarsi attraverso le persone, sfruttando errori, distrazioni o comportamenti inconsapevoli. La compromissione di un singolo smartphone può portare all’accesso a un’intera rete aziendale; un dispositivo IoT non aggiornato può essere trasformato in un nodo di un attacco DDoS; un’auto connessa può diventare il punto di ingresso per interferire con una smart city.
Ognuno di noi è, al tempo stesso, potenziale bersaglio e potenziale vettore. Questo conferisce ai cittadini un ruolo centrale nella sicurezza nazionale: un Paese è tanto più sicuro quanto più lo sono le sue persone e le sue imprese. Senza consapevolezza diffusa, nessuna tecnologia può bastare.
Rinviare la consapevolezza fino all’incidente grave significa esporsi a un rischio sistemico. È come lasciare aperta la porta di casa in un quartiere pericoloso: non si tratta di fatalismo, ma di ignorare un pericolo, un rischio reale, permanente e strutturale.
Le infrastrutture critiche: l’esempio del settore sanitario
Gli attacchi alle strutture ospedaliere sono emblematici: non mirano al riscatto, essendo evidente che Enti pubblici non possono aderire a richieste estorsive, ma alla distruzione della fiducia istituzionale. Blocchi operativi, diffusione di cartelle cliniche, paralisi dei servizi essenziali: l’obiettivo è destabilizzare.
Negli ultimi anni, il settore sanitario è diventato uno dei bersagli privilegiati degli attori della guerra ibrida. Secondo i dati ENISA e dell’Health Information Sharing and Analysis Center (H-ISAC), gli attacchi contro le strutture sanitarie europee sono cresciuti di oltre il 160% tra il 2020 e il 2024, con un incremento costante di tecniche finalizzate non al profitto economico, ma all’interruzione dei servizi critici.
Alcuni casi recenti mostrano chiaramente la portata di questa minaccia. Basterà ricordare l’attacco ransomware alla Regione Lazio che ha paralizzato per settimane il sistema di prenotazione vaccinale durante la fase più delicata della campagna Covid-19. L’obiettivo non era il riscatto, ma generare sfiducia nella gestione pubblica dell’emergenza.
O la violazione massiva con furto e pubblicazione online di cartelle cliniche, comprese quelle di vittime di violenza alla ASL Abruzzo nel 2024. Il danno reputazionale e la perdita di fiducia nei servizi sanitari hanno avuto un impatto sociale enorme.
Ma è anche emblematico l’attacco ransomware alla Irish Health Service Executive – HSE del 2021 che ha portato al blocco totale del sistema sanitario nazionale per oltre sei settimane. La stima ufficiale dei danni ha superato i 600 milioni di euro.
Anche negli USA tra il 2023 ed il 2024 si sono registrati attacchi ripetuti contro ospedali e provider sanitari, con interruzioni dei servizi di pronto soccorso, spostamento di pazienti, ritardi nelle diagnosi. In diversi casi, le autorità hanno ipotizzato un coinvolgimento di gruppi allineati a Stati ostili.
Spesso si tratta di attività preparatorie, carotature, finalizzate a saggiare le capacità difensive di potenziali nemici, in vista di inasprimenti dei rapporti.
Sottrarre o manipolare dati sanitari, lo ripetiamo, significa colpire il cuore del patto di fiducia tra cittadino e istituzione. Senza considerare le conseguenze fisiche, operative e psicologiche paragonabili a quelle di un attacco convenzionale. Per questo il comparto sanitario è oggi considerato un obiettivo primario nella guerra ibrida, non per profitto ma per la sua capacità simbolica, sociale e destabilizzante.
Dai pirati ai corsari digitali: la nuova minaccia
Gli hacker autonomi si sono trasformati in corsari digitali, che si pongono al servizio mercenario di Stati che offrono protezione, anonimato, risorse tecnologiche e basi operative sicure.
Il parallelismo con i corsari della storia non è solo una metafora letteraria, ma un vero un modello operativo. Così come nel XVII secolo la Corona inglese o quella francese autorizzavano i corsari a colpire le navi nemiche senza impegnarsi in un conflitto aperto, oggi molti Stati utilizzano gruppi di hacker come forza non dichiarata, capace di colpire obiettivi strategici garantendo al mandante la negabilità politica.
Questi gruppi non agiscono più per mero profitto. Gli attacchi moderni combinano guadagno economico, spionaggio, sabotaggio e destabilizzazione istituzionale. La logica è duplice: ottenere un beneficio immediato (denaro, dati, tecnologia) e, contemporaneamente, minare la sicurezza, la reputazione o la stabilità dell’avversario.
E la storia recente ne offre esempi concreti. Nella Corea del Nord, Lazarus Group, è considerato responsabile di operazioni ibride che spaziano dal furto di criptovalute al sabotaggio industriale, finanziando così programmi militari nazionali tramite attività illecite digitali. Per non parlare del gruppo criminale russo Sandworm, considerato tra i più pericolosi gruppi state-sponsored. Ha firmato attacchi come NotPetya nel 2017, definito dall’ONU «il più distruttivo attacco informatico della storia», con danni globali stimati oltre i 10 miliardi di dollari. O il gruppo cinese APT10 (Cina), specializzato nello spionaggio tecnologico su larga scala condotto tramite il programma “Cloud Hopper”, che ha colpito provider IT globali infiltrando migliaia di aziende contemporaneamente.
Ciò che accomuna questi attori è il modello di impiego: non eserciti regolari, ma unità irregolari digitali che operano fuori dai vincoli della diplomazia tradizionale. E gli Stati che li sostengono possono fruire di tre elementi di vantaggio:
a. negabilità: possono negare il loro coinvolgimento, evitando così escalation militari; b. asimmetria: ottengono danni enormi a costi relativamente bassi; c. possibilità di colpire in modo costante e imprevedibile, senza mai essere ufficialmente in guerra.
Questa trasformazione rende il cyberspazio il luogo ideale per operazioni ibride: un ambiente in cui attori non statali, corsari digitali, appunto, protetti da Stati ostili, possono condurre attività che nessuno Stato oserebbe rivendicare apertamente ma da cui molti traggono vantaggio strategico. Come i corsari di un tempo univano bottino ed effetti strategici, oggi gli attacchi combinano guadagno e destabilizzazione.
Il fattore umano: creare una riserva nazionale di competenze STEM
La guerra ibrida richiede competenze che non si improvvisano: matematica, informatica, ingegneria, crittografia, analisi dei dati, sicurezza dei sistemi, elettronica avanzata.
Oggi la dimensione cyber è così complessa che la tecnologia, da sola, non basta: servono donne e uomini capaci di progettare difese, anticipare minacce, attribuire attacchi e interpretare segnali deboli.
La creazione di una riserva nazionale di giovani con competenze STEM (nda Science, Technology, Engineering, Mathematics), non è solo un progetto formativo: è una misura di sicurezza nazionale. Paesi come Israele, Stati Uniti, Regno Unito e Francia hanno investito da anni nella costruzione di bacini di talenti da cui attingere per la difesa e la cyber intelligence.
Qualche dato significativo aiuta a comprendere il divario:
- Secondo il World Economic Forum (2024), il fabbisogno globale di professionisti cyber supera di 4 milioni le disponibilità attuali.
- L’Unione Europea registra un deficit strutturale di 500.000 esperti ICT, di cui almeno 200.000 con competenze specifiche nel settore sicurezza.
- In Italia, il Rapporto DESI indica che solo il 3,6% dei laureati proviene da percorsi STEM, contro una media UE del 6%.
I principali head-hunter del recruiting tecnologico in Italia (Michael Page Digital, Hays, Wyser, Randstad Tech, Experis, ecc.) segnalano già da diversi anni che la domanda di profili STEM cresce del 25–30% annuo a fronte di una disponibilità reale molto inferiore (alcuni settori hanno tassi di vacancy > 50%) e che i tempi medi di selezione sono raddoppiati rispetto ai profili gestionali o amministrativi. Segnalano altresì che le RAL sono in aumento anche del 20–40% negli ultimi 24 mesi per cyber, ingegneria software, AI e data analyst.
Si parla apertamente di una vera e propria “guerra dei talenti” e di “impossibilità per molte aziende italiane di attrarre profili competitivi rispetto ad aziende estere” e di Paesi ove le figure STEM sono decisamente più valorizzate.
I Paesi con sistemi di cyber-difesa considerati più maturi (Israele, Stati Uniti, Estonia) investono da anni in programmi di formazione integrata scuola-forze armate-settore privato.
Un esempio emblematico è la Unit 8200 israeliana, da cui provengono molte delle menti più brillanti del settore cyber mondiale: un modello che combina addestramento avanzato, selezione precoce dei talenti e collaborazione costante con il settore civile. Negli Stati Uniti, programmi come il Cyber Corps Scholarship for Service, formano migliaia di studenti che entrano poi nelle agenzie federali.
La conclusione è chiara: senza capitale umano qualificato, nessuna tecnologia, nessuna normativa, nessun investimento può garantire un livello adeguato di sicurezza. La tecnologia può essere acquistata; le competenze no. Vanno coltivate, selezionate e trattenute nel Paese.
Per questo la creazione di una riserva nazionale STEM non è un’iniziativa accademica, ma una infrastruttura di difesa a tutti gli effetti.
Verso la cyber intelligence: il nuovo paradigma
L’evoluzione naturale della sicurezza informatica è la cyber intelligence, che può consentire la raccolta informativa, l’analisi delle minacce, l’identificazione dell’origine degli attacchi ma soprattutto le capacità predittive ed il supporto alle decisioni strategiche.
E qui si ritorna all’integrazione pubblico/privato. In carenza di competenze umane adeguate, avvalersi di strutture nazionali specializzate – come Intelligence Inside – dotate di team di analisti e di supporti tecnologici d’avanguardia, come deep search, può rappresentare una soluzione sia per le corporate operanti nel settore delle infrastrutture critiche, sia quella necessaria integrazione con le agenzie di sicurezza nazionale e forze armate. Perché nella guerra ibrida non esiste neutralità. Non reagire non significa essere terzi: significa subire.
Ma la transizione da cybersecurity a cyber intelligence non è un upgrade tecnologico, ma un salto politico e culturale. Chi controlla il flusso informativo, protegge i dati e anticipa le minacce, controlla il futuro.
