La deterrenza è il nuovo strumento introdotto dalla UE per contrastare le operazioni FIMI (Foreign Information Manipulation and Interference, manipolazione delle informazioni e ingerenza da parte di attori stranieri).
Lo prevede il quarto rapporto del Servizio europeo per l’azione esterna (SEAE) istituito per rendere efficace la politica estera dell’UE e rafforzarne l’influenza nel mondo. Secondo il manuale, inserito nel rapporto, la deterrenza “è la capacità di modificare il calcolo costi-benefici di un attore in modo che questi decida di non intraprendere un’azione”. Mediante essa si implementa un approccio che mira alle vulnerabilità dell’autore della minaccia.
Indice degli argomenti
Perché la Ue cambia passo davanti alla crescita delle FIMI, il rapporto Seae
Invece di rimanere prevalentemente reattivi agli incidenti, replicando alle condizioni imposte, la deterrenza sposta l’attenzione dalla reazione all’anticipazione.
Così facendo limita in modo proattivo le capacità degli attori della minaccia, sfruttandone le vulnerabilità e guidando la traiettoria dell’attività ostile prima che possa manifestarsi su vasta scala.
Nel 2025 sono stati rilevati dal SEAE 540 incidenti a livello globale. Gli obiettivi sono stati più di 100 Paesi, ma il principale è stato sempre l’Ucraina, seguita da Francia, Moldavia e Germania. Gli attacchi sono aumentati in frequenza e intensità, ma anche in grado di sofisticazione. In sostanza, si è verificato un costante adeguamento ai progressi tecnologici, in particolare, manco a dirlo, nell’utilizzo dell’intelligenza artificiale.
Che cosa sono le FIMI e quali obiettivi colpiscono
Le condotte FIMI, secondo il rapporto, non consistono semplicemente in disinformazione diversamente battezzata. Siamo invece di fronte a comportamenti:
- manipolativi;
- intenzionali;
- coordinati.
I fini perseguiti sono quelli di indebolire:
- la fiducia nelle istituzioni;
- i processi decisionali
- la coesione sociale.
La caratteristica più rilevante di tali azioni risiede nella loro intenzionalità. Non si tratta di errori, opinioni contrastanti o propaganda, ma di operazioni deliberate condotte da attori statali o parastatali con obiettivi predeterminati. Gli strumenti esistenti – sanzioni, attività delle forze dell’ordine, regolamentazione digitale e rafforzamento della resilienza – vengono usati per aumentare i costi, limitare lo spazio operativo e ridurre la probabilità di futuri attacchi. Il manuale di deterrenza contribuisce a dare un impulso decisivo agli sforzi dell’UE per contrastare tale attività, segnando un passaggio da un approccio prevalentemente reattivo a uno proattivo e preventivo.
In un contesto di continua escalation, la deterrenza diventa essenziale per generare un impatto concreto e positivo.
Il ruolo dell’intelligenza artificiale nelle operazioni FIMI
Audio e video sintetici e testi, generati dall’IA, sono diventati uno strumento quotidiano ed economico per i soggetti impegnati nell’attività FIMI. Inoltre, mediante l’IA si ottiene una più ampia e rapida diffusione in tante lingue, con un impatto che è facile immaginare.
Le operazioni stanno poi divenendo sempre più occulte e distribuite negli spazi informativo, fisico e cibernetico. Per nascondere meglio l’origine delle attività, gli attori malevoli creano costantemente organi di notizie non autentici, profili falsi sui social media e identità online fittizie.
Nel 2025, il 27% degli incidenti rilevati dal SEAE ha riguardato tattiche, tecniche e procedure (TTP) legate all’intelligenza artificiale: un aumento significativo rispetto al 2024 (da 41 a 147 casi, +259%). I testi utilizzano modelli quasi identici, con uno stile uniforme in tutte le lingue. Post e commenti originali generati dall’IA vengono spesso diffusi da account di “comportamento inautentico coordinato” (Coordinated Inauthentic Behaviour, CIB) sui social media, mentre gli articoli generati dall’IA vengono promossi da siti di notizie falsificati (vedi la rete russa RRN).
Gli strumenti di IA vengono utilizzati anche per riformulare, tradurre e adattare testi esistenti provenienti da altre fonti. Nel 2025, molti incidenti FIMI hanno coinvolto l’impersonificazione di testate giornalistiche occidentali, i cui contenuti sono stati rimodellati in narrazioni di parte e distribuiti attraverso reti non autentiche, come Storm-1516. L’audio sintetico è diventato una tecnica standard nella produzione di video nel 2025, passando dalle voci fuori campo generate dall’IA a tecniche avanzate di clonazione vocale.
I video basati sull’intelligenza artificiale, generati con l’ausilio dell’IA o con essa interamente creati per impersonare individui specifici, stanno diventando sempre più sofisticati e credibili. Questa tecnica è stata utilizzata durante le elezioni moldave. Allo stesso modo, i gruppi di hacker hanno fatto ampio ricorso a immagini sintetiche per creare contenuti emozionali e rafforzare la credibilità visiva di profili falsi. Fotografie, cartoni animati o loghi generati dall’IA hanno migliorato la qualità estetica e l’autenticità percepita di siti web e account sui social media falsi.
Durante le elezioni legislative tedesche, gli account russi hanno ampiamente condiviso immagini generate dall’IA che ritraevano paesaggi tedeschi invasi nel caos e preda della criminalità, con l’obiettivo di screditare i partiti di centrosinistra a favore della destra. Gli strumenti di IA vengono implementati su larga scala per garantire un flusso costante di contenuti. L’obiettivo non è la precisione, ma la presenza assidua, anche in assenza di target chiaramente definiti.
In un primo momento si procede all’individuazione dei nodi critici nelle infrastrutture, negli intermediari e nelle catene di approvvigionamento; successivamente si prendono di mira i veicoli delle operazioni FIMI – intermediari, proxy e fornitori di servizi – in modo da indebolire la struttura che li sostiene.
Le reti occulte dietro le operazioni FIMI
Nell’ultimo anno sono stati coinvolti 10.500 canali: siti web di notizie falsificate, account di social media e blog. Il 9,5% di questi canali è direttamente collegato a un attore statale (fonti ufficiali o controllate dallo Stato). La stragrande maggioranza (90,5%) è costituita da risorse occulte collegate o allineate a un attore della minaccia. In altre parole, la parte più grande delle infrastrutture FIMI è nascosta o non autentica (incluse, ad esempio, le reti CIB). Pertanto, smascherare le connessioni dietro le fonti FIMI occulte rimane fondamentale per mitigarne l’impatto.
Il 29% degli incidenti è stato attribuito alla Russia e il 6 alla Cina. I due sistemi facenti capo alle due autocrazie sono riusciti ad allargare lo spettro dei loro interventi, e a renderne più complicata l’attribuzione della paternità, “esternalizzando” i servizi a reti clandestine e fittizie. In rare occasioni, le infrastrutture FIMI russe e cinesi hanno operato in sinergia, principalmente amplificando reciprocamente i contenuti. Il 65% degli incidenti non è stato attribuito, ma presenta indicatori di coordinamento con risorse FIMI collegate a infrastrutture di Russia o Cina.
Le risorse coinvolte sono per loro natura ingannevoli, in quanto nascondono operatori e finanziamenti. Di conseguenza, identificare e indagare sui comportamenti e sulle infrastrutture che si celano dietro le risorse FIMI non attribuite è fondamentale per smascherare la minaccia sottostante. Il rapporto ha accertato l’esistenza di una spina dorsale operativa composta da un gruppo di canali digitali, collegati a hub regionali per le operazioni in determinate aree: Africa subsahariana, Medio Oriente, Nord Africa, Moldavia e Armenia.
Le tornate elettorali in Germania, Polonia, Romania, Moldavia, Repubblica Ceca e Costa d’Avorio sono state al centro delle operazioni russe. È plausibile che i prossimi target siano le elezioni in Slovenia, Ungheria, Bulgaria, Cipro, Estonia, Svezia, Lettonia, Danimarca e Armenia. In quest’ultimo Stato, gli schemi sono molto simili a quelli utilizzati per la Moldavia, ambedue repubbliche ex sovietiche.
Come agiscono le FIMI tra piattaforme, viralità e target
Dalle TTP osservate è stato possibile rilevare come l’informazione costituisca una componente chiave dell’arsenale ibrido. Evidente è poi l’elevato livello di adattabilità, con campagne calibrate su specifici contesti pur nell’ambito di obiettivi strategici globali. Esemplare il riorientamento dell’attenzione russa dalle elezioni parlamentari moldave del 2025, a quelle armene previste per giugno 2026.
Nel 2025 sono stati registrati circa 43.000 contenuti (come testi, audio e video) su 19 piattaforme diverse. I social media e le piattaforme di messaggistica rimangono i mezzi più efficaci in termini di costi. La maggior parte degli episodi riguarda la pubblicazione incrociata di contenuti da parte di più account su diverse piattaforme. L’obiettivo è la viralizzazione per ampliare la visibilità e la credibilità percepita dei contenuti, prendendo di mira specifici segmenti di pubblico sulla base di fattori sociodemografici e geografici.
Ad esempio, molti episodi che hanno come oggetto Ucraina ed Europa orientale si trovano su Telegram, molto usata in quest’area. Gruppi e pagine Facebook sono spesso utilizzati per paesi africani. L’88% dei casi si è concentrato su X. Quasi la metà degli incidenti registrati è stata innescata da eventi specifici, in particolare notizie dell’ultima ora o processi elettorali. Manifestazioni popolari e rivolte sono state sfruttate per amplificare la percezione di caos, paura e disordine.
Circa 200 diverse organizzazioni sono state prese di mira negli attacchi FIMI: governi e figure politiche, istituzioni internazionali, media tradizionali e giornali, organizzazioni non governative, mondo accademico. Forze armate europee, agenzie di intelligence e forze di polizia sono state particolarmente colpite, al fine di minare la fiducia nelle capacità di difesa. Il settore dei media è stato ritenuto cruciale per le democrazie ed è stato bersagliato con narrazioni denigratorie, tentativi di impersonificazione o campagne diffamatorie dirette.
Nel 2025, quasi 140 persone sono state prese di mira. Tra essi, capi di Stato e di istituzioni pubbliche come Maia Sandu, Volodymyr Zelensky, Emmanuel Macron, Friedrich Merz, Ursula von der Leyen e Kaja Kallas.
La strategia russa resta il fronte principale delle FIMI
Nel 2025, le priorità della Russia sono rimaste la guerra contro l’Ucraina e gli attacchi ai suoi partner. Attività FIMI sono state affiancate con incursioni di droni, sabotaggi e attacchi a infrastrutture critiche in Polonia, Romania, Lituania ed Estonia. Le azioni FIMI servono in questi casi per gestire la percezione pubblica e testarne le reazioni. Le campagne russe sono state maggiormente concentrate sull’Europa rispetto agli USA.
L’apparato FIMI del Cremlino combina mezzi palesi e occulti, basandosi in larga misura sull’adattamento delle operazioni a specifici destinatari. L’approccio è seminare nuove divisioni o approfondire quelle esistenti, e acuire il sentimento anti-establishment, minando la fiducia nell’UE dipingendola come antidemocratica e aggressiva, oppure debole. Le elezioni sono rimaste un obiettivo primario. Nella Repubblica Ceca, centinaia di account anonimi su TikTok hanno diffuso narrazioni filorusse in vista delle elezioni parlamentari.
All’interno, il Cremlino continua i suoi sforzi per rafforzare la legittimità del regime e il sostegno militare alla guerra contro l’Ucraina. Le autorità hanno anche introdotto multe per la ricerca online di contenuti “estremisti”. Il Cremlino ha continuato a consolidare il controllo sull’ambiente informativo interno attraverso la promozione di piattaforme sponsorizzate dallo Stato come Max e RuTube, mentre l’ultima serie di restrizioni su WhatsApp, YouTube e Telegram ha ulteriormente isolato i cittadini russi.
Le istituzioni statali continuano a svolgere un ruolo chiave nelle attività FIMI. Il Servizio di intelligence estera (SVR) ha assunto un ruolo più visibile, rilasciando dichiarazioni ufficiali, contenenti affermazioni false o infondate, che vengono poi amplificate attraverso le reti FIMI. Nel 2025, ciò ha incluso false accuse di complotti sostenuti dall’UE e dalla NATO per destabilizzare Moldavia, Serbia e Georgia. Nel 2026, è probabile che le attività FIMI russe si intensifichino nelle regioni del Mar Baltico e dell’Artico. Inoltre, è altamente probabile che la Russia continuerà a impegnarsi per rafforzare il proprio ruolo in diverse regioni del mondo.
Le nuove vulnerabilità aperte dall’IA nello spazio informativo
La crescente qualità, portata e credibilità della manipolazione delle informazioni tramite IA mettono a dura prova la capacità dei cittadini di distinguere le informazioni affidabili da quelle false. Esporre ripetutamente gli utenti a immagini generate dall’IA, cariche di emotività, amplifica il caos cognitivo ed erode il principio stesso di fiducia nell’ambiente informativo. Una particolarità: alcuni strumenti di IA ampiamente utilizzati stanno diventando a loro volta bersaglio di attacchi.
Una delle infrastrutture FIMI russe più prolifiche, Portal Kombat, è sospettata di condurre attività di manipolazione di modelli linguistici di grandi dimensioni (LLM), inondando lo spazio informativo con contenuti multilingue di bassa qualità nel tentativo di influenzarne i dati di addestramento e di iniettare affermazioni false o manipolative. Nonostante questa espansione, gran parte del materiale generato dall’IA nel 2025 rimane di bassa qualità perché viene privilegiata la quantità. Ad esempio, Storm-1516 e Overload utilizzano video generati dall’IA facilmente identificabili come non autentici dagli spettatori medi.
Come la Russia ha manipolato le elezioni nel 2025
Infine, le condotte FIMI si manifestano in eventi concreti (le elezioni), e spesso dirette a specifici gruppi socio-demografici o di individui. Le operazioni in quest’ambito si sono articolate sempre, nonostante i contesti diversi, in tre fasi:
Fase 1: controllo dello spazio informativo e delegittimazione preventiva
La Russia lancia campagne mesi prima delle elezioni per screditare i candidati filoeuropei o i politici in carica e minare la fiducia nella loro leadership. Queste campagne si basano su accuse di corruzione, repressione politica, problemi sanitari o presentando i leader come subordinati agli interessi dell’UE. Ciò è stato rilevato in Moldavia, dove i bersagli sono stati la presidente Maia Sandu e il primo ministro Dorin Recean. Stesso schema per le elezioni tedesche, con attacchi contro Olaf Scholz, Robert Habeck e Friedrich Merz, in Polonia e Romania. Le campagne “contro” sono state affiancate da attività “pro”, per formazioni antieuropee.
Fase 2: Sfruttare le divisioni interne durante le campagne elettorali
In Germania, l’attenzione si è concentrata sull’immigrazione; in Polonia, sul sentimento anti-immigrati; in Moldavia, su accuse di censura, proteste e scioperi, e su false affermazioni di una guerra imminente con la Russia.
Fase 3: attacchi alla credibilità dei procedimenti elettorali nelle fasi finali
Si sviluppa nelle settimane precedenti e si intensifica durante il voto, cercando di screditare la credibilità delle elezioni e incoraggiando l’astensione. In Germania e Polonia, i contenuti allarmistici hanno amplificato gli avvertimenti su minacce alla sicurezza e presunti attacchi terroristici il giorno delle elezioni.
La deterrenza come banco di prova per l’Ue
il 4° rapporto del Servizio europeo per l’azione esterna (SEAE) si segnala principalmente per due elementi nell’ambito dell’azione di contrasto alle operazioni FIMI. Nell’analisi, emerge prepotentemente il ruolo sempre più determinante dell’utilizzo dell’IA nell’attività FIMI. Un problema enorme, che richiede una sorveglianza e un aggiornamento continui per tentare di stare al passo con le costanti e dirompenti innovazioni in questo campo.
Nell’ambito delle proposte, il ruolo assegnato alla deterrenza per scoraggiare o ostacolare gli attori malevoli nell’implementazione delle loro pratiche destabilizzanti. Sembra chiaro che l’efficacia dell’azione di difesa della democrazia nell’UE dipende molto dalle risposte legate a questi elementi.
