Russia: il conflitto digitale, il ruolo dei Servizi segreti e gli obiettivi strategici per creare sempre di più tensioni con l’Occidente

Di Giuseppe Gagliano

MOSCA (nostro servizio particolare). Negli ultimi anni, le tensioni tra Russia e Paesi occidentali si sono estese al cyberspazio, dando vita a quella che molti definiscono una vera e propria guerra informatica.

In pratica, al posto di carri armati e missili, entrano in gioco hacker, malware e campagne di disinformazione.

In questa analisi esploreremo in tono informale ma dettagliato le origini e gli episodi salienti di questo conflitto digitale, il ruolo dei Servizi segreti russi (FSB, GRU, SVR), gli obiettivi strategici di Mosca, l’impatto politico delle operazioni e le reazioni dell’Occidente.

Agenti dell’FSB russo

Faremo anche un focus sul caso Italia, per capire come queste dinamiche abbiano toccato da vicino il nostro Paese, e infine daremo uno sguardo alle possibili evoluzioni future di questa cyberwar.

Storia della cyberwar tra Russia e Occidente

Per capire il presente, facciamo un passo indietro e ripercorriamo i principali attacchi informatici attribuiti alla Russia contro obiettivi occidentali negli ultimi decenni.

Si va dai primi episodi “pionieristici” di fine anni 2000 fino alle operazioni più recenti:

• 2007 – Attacchi in Estonia: nell’aprile 2007, dopo una disputa diplomatica, siti governativi e bancari estoni subirono attacchi DDoS (cioè bombardati da traffico malevolo fino a renderli irraggiungibili). È considerato uno dei primi casi di cyber-attacco su scala nazionale. Queste offensive furono di natura punitiva e mirate a creare panico e disordini, più che a supportare operazioni militari. L’episodio scosse la NATO, che proprio dopo il caso Estonia riconobbe la necessità di rafforzare le difese informatiche collettive.
• 2008 – Guerra in Georgia: durante il conflitto armato tra Russia e Georgia dell’agosto 2008, si assistette per la prima volta a cyber-attacchi coordinati con un’operazione militare tradizionale. Nei giorni dell’invasione russa dell’Ossezia del Sud, molti siti governativi georgiani furono messi KO e defacciati (pagine web alterate con messaggi propagandistici) da hacker filo-russi. Questa integrazione tra guerra convenzionale e attacchi online rappresentò un precedente storico, dimostrando che gli attacchi cibernetici potevano diventare *”una componente importante della guerra convenzionale”*. L’obiettivo era aiutare le Forze Armate russe sul campo: ad esempio mandare in tilt comunicazioni e siti governativi georgiani per creare un “vuoto informativo” e imporre la narrazione russa del conflitto.
• 2015 – Blackout in Ucraina: con la crisi in Ucraina orientale, la guerra informatica ha fatto un salto di qualità. Nel dicembre 2015, hacker russi sferrarono un attacco senza precedenti alla rete elettrica ucraina, causando blackout in varie regioni. Fu la prima volta che un cyber-attacco ebbe un effetto fisico così evidente: un malware avanzato sabotò i sistemi di controllo, lasciando centinaia di migliaia di persone senza corrente per ore. L’anno successivo ci fu un secondo attacco simile a Kiev. Questi episodi dimostrarono il potenziale distruttivo delle operazioni cyber russe contro infrastrutture critiche.
• 2016 – Interferenza nelle elezioni USA: il caso forse più famoso di cyberwar russa è l’ingerenza nelle elezioni presidenziali americane del 2016. Da un lato, unità di hacker militari russi (GRU) violarono i server del Partito Democratico e della campagna di Hillary Clinton, rubando email riservate poi pubblicate online tramite alias come “Guccifer 2.0” e “DCLeaks”. Dall’altro, un esercito di troll e bot legati all’Internet Research Agency di San Pietroburgo inondò i social media di contenuti divisivi e fake news per influenzare l’opinione pubblica. La stessa accusa formale del procuratore speciale USA descrisse questa operazione come *”guerra informativa mirata a diffondere sfiducia verso i candidati e il sistema politico”*. In sintesi, Mosca avrebbe cercato sia di hackerare che di manipolare l’ecosistema informativo americano, nel tentativo di condizionare il risultato elettorale e seminare caos politico.
• 2017 – L’attacco globale NotPetya: nel giugno 2017 un malware devastante chiamato NotPetya si diffuse a macchia d’olio, partendo dall’Ucraina ma colpendo aziende e istituzioni in tutto il mondo. Mascherato da ransomware, criptò i dati di migliaia di computer rendendoli inutilizzabili. Stati Uniti e Unione Europea hanno attribuito l’attacco al GRU russo (gruppo Sandworm) come evoluzione della campagna contro l’Ucraina. I danni furono ingentissimi (oltre 10 miliardi di dollari globalmente) e coinvolsero multinazionali dei trasporti, della logistica e della sanità. NotPetya è un esempio eclatante di come un’operazione mirata a un Paese (l’Ucraina) possa sfuggire di mano e colpire indiscriminatamente anche l’Occidente, aumentando le tensioni diplomatiche.
• 2020 – Operazione SolarWinds: un altro episodio chiave è l’hack scoperto nel 2020 ai danni della società americana SolarWinds. In questo caso, hacker affiliati all’SVR (l’intelligence estera russa) inserirono di nascosto una backdoor in un aggiornamento del popolare software di gestione Orion. Installando l’update infetto, Agenzie governative USA (tra cui Tesoro, Dipartimento di Stato, ecc.) e altre organizzazioni occidentali hanno involontariamente aperto le porte agli intrusi russi. Si è trattato di una sofisticata operazione di spionaggio informatico su larga scala – probabilmente tra le più riuscite di sempre – volta a rubare dati sensibili, restata inosservata per mesi. L’attribuzione è ricaduta sul gruppo APT29 (noto come “Cozy Bear”) legato all’SVR, evidenziando la capacità russa di condurre attacchi supply-chain stealth contro anche i bersagli più protetti.
• 2022 – Cyber-attacchi nella guerra in Ucraina: con l’invasione russa dell’Ucraina (febbraio 2022) molti si aspettavano una “cyber guerra totale”. In effetti, alla vigilia e nei primi giorni del conflitto si sono registrati attacchi informatici: ad esempio, il sabotaggio del network satellitare Viasat ha messo fuori uso le comunicazioni internet di utenti in Ucraina e in altri Paesi europei, e numerosi siti governativi ucraini sono stati colpiti da wiper (malware distruttivi) e defacement. Circa 70 siti web istituzionali ucraini (tra cui i ministeri degli Esteri e dell’Istruzione) sono stati messi offline da ondate di attacchi attribuiti a gruppi hacker legati a Mosca e Minsk. Tuttavia, questi cyber-attacchi hanno avuto finora effetti più limitati del previsto: la “prima autentica cyberwar del secolo” si è manifestata a bassa intensità rispetto alla brutalità della guerra sul terreno. Ciò non toglie che il conflitto ucraino in corso resti un banco di prova importante per le capacità cibernetiche russe e le contromisure occidentali (basti pensare al ruolo del collettivo Anonymous che ha dichiarato guerra informatica a Mosca in risposta).

Hacker russi hanno attaccato in tutto il mondo occidentale

Questi esempi evidenziano come la guerra informatica Russia-Occidente sia andata intensificandosi, passando da attacchi sporadici di disturbo a vere campagne strategiche di ampia portata.

Dalle prime DDoS “dimostrative” agli attacchi stealth per rubare segreti, fino al sabotaggio di infrastrutture critiche e all’ingerenza politica attraverso hackeraggi e fake news, il panorama della minaccia russa nel cyber-spazio è in costante evoluzione.

Il ruolo dei servizi segreti russi (FSB, GRU, SVR)

Chi orchestra materialmente queste operazioni cyber per conto del Cremlino? In gran parte, le tre principali A genzie di intelligence russe hanno sviluppato unità specializzate nella guerra cibernetica.

Ognuna con il proprio stile e i propri obiettivi, spesso indicate collettivamente in Occidente come “Russian APTs (Advanced Persistent Threats)”, ovvero gruppi hacker statali russi.

Vediamole nel dettaglio:

• FSB (Servizio Federale per la Sicurezza): erede del KGB, è l’Agenzia che si occupa della sicurezza interna ma anche del controspionaggio all’estero. L’FSB ha proprie unità tecniche dedicate al cyber-spionaggio. Ad esempio, il Centro 16 dell’FSB (Centro per l’intelligence elettromagnetica) è ritenuto responsabile di campagne di hacking di lunga durata note ai ricercatori con nomi in codice come Energetic Bear / Berserk Bear o *Turla (Snake)*. Questi gruppi hanno preso di mira soprattutto reti governative e del settore energetico in Europa e Nord America, rubando informazioni e mantenendo l’accesso nascosto per anni. L’FSB inoltre è sospettato di reclutare hacker criminali per alcune operazioni: emblematico il caso dell’attacco a Yahoo del 2014, per il quale nel 2017 furono incriminati due agenti FSB accusati di aver assoldato dei cybercriminali per violare oltre 500 milioni di account. In sintesi, l’FSB opera principalmente per spiare e trafugare dati strategici, mantenendo un basso profilo e sfruttando spesso malware furtivi.
• GRU (Direttorato Principale per l’Intelligence): è l’intelligence militare russa, e dispone di “truppe” di hacker tra le più aggressive al mondo. Il GRU è associato ai famigerati gruppi APT28 (Fancy Bear) e Sandworm, responsabili degli attacchi più distruttivi e sfacciati. Il team APT28, ad esempio, è accusato di aver hackerato il Comitato Nazionale Democratico negli USA nel 2016 (come abbiamo visto), il Parlamento tedesco nel 2015, l’Agenzia mondiale antidoping WADA e perfino del leak di email del Presidente francese Emmanuel Macron nel 2017. Sandworm (formato dall’unità 74455 del GRU) invece si è specializzato in sabotaggi informatici: a lui sono attribuiti i blackout ucraini del 2015-16, il worm NotPetya del 2017 e persino un tentato attacco informatico alle Olimpiadi di Pyeongchang 2018 come ritorsione per il bando degli atleti russi. Le operazioni GRU spesso combinano hacking & leaking (hack e diffusione di documenti rubati per danneggiare l’avversario a livello mediatico) e cyber-attacks distruttivi. Sono azioni offensive e dirompenti, condotte con audacia quasi “militare” – non a caso il GRU risponde al Ministero della Difesa russo. Da notare che molti hacker del GRU agiscono sotto pseudonimi e collettivi fittizi per mascherare la mano di Mosca, ma a più riprese Stati Uniti ed Europa li hanno smascherati e sanzionati (diversi ufficiali GRU sono stati incriminati in contumacia per queste attività.
• SVR (Servizio di Intelligence Estero): è l’Agenzia deputata allo spionaggio all’estero, quindi le sue operazioni informatiche puntano soprattutto a infiltrarsi in reti altrui senza farsi scoprire, per carpire informazioni di alto valore. Il gruppo hacker noto come APT29 (Cozy Bear) è ricondotto all’SVR ed è considerato altamente sofisticato. Sarebbe stato uno degli attori presenti nelle reti del Dipartimento di Stato e della Casa Bianca USA già nel 2014, ed è reputato responsabile della grande campagna SolarWinds scoperta nel 2020. In quel caso gli hacker SVR hanno dimostrato estrema pazienza e abilità nell’operare sotto il radar, esfiltrando dati per mesi prima di essere rilevati. L’SVR mira dunque a rubare segreti governativi, militari o industriali (ad esempio documenti diplomatici, piani strategici NATO, ricerche tecnologiche) per dare un vantaggio informativo al Cremlino. Opera con tattiche raffinate, zero-day (vulnerabilità sconosciute) e attacchi supply-chain, evitando il clamore mediatico: differentemente dal GRU, raramente “sfoggia” pubblicamente i suoi colpi, preferendo che restino segreti il più a lungo possibile.

In aggiunta a questi tre attori principali, va menzionato che esiste un ecosistema di hacker “patriottici” russi e gruppi criminali che talvolta collaborano con le autorità. Ad esempio, durante crisi geopolitiche spuntano collettivi come Killnet o NoName057(16) – sedicenti hacktivisti filo-russi – che attaccano siti occidentali per protesta o propaganda. Talora il confine tra criminalità informatica e operazioni di Stato è sfumato: ransomware gang come Conti o REvil, ufficialmente motivate da soldi, hanno mostrato vicinanza agli interessi russi (minacciando di attaccare chi ostacola Mosca). Tutto ciò rende la galassia cyber russa molto variegata, una combinazione di agenti governativi, mercenari e volontari digitali, che all’occorrenza il Cremlino può attivare o perlomeno tollerare.

Obiettivi e strategie della cyberwar russa

Perché la Russia investe tanto negli attacchi informatici? In buona sostanza, perché li considera strumenti efficaci (e relativamente economici) per perseguire i propri obiettivi geopolitici senza ricorrere direttamente alla guerra convenzionale.

Già ai tempi dell’Unione Sovietica esisteva la dottrina delle “misure attive” – propaganda, disinformazione, sovversione – per indebolire i rivali dall’interno.

Oggi il Cremlino applica concetti simili nel dominio digitale, integrandoli nella cosiddetta guerra ibrida.

Vladimir Putincon il  Generale Valery Gerasimov

Il Generale Valery Gerasimov (capo di Stato Maggiore russo) nel 2013 aveva teorizzato l’uso combinato di mezzi convenzionali e non convenzionali – informazione, cyber-attacchi, pressione economica, proxy armati – per raggiungere obiettivi politici con meno spargimento di sangue. Questa idea, spesso chiamata “dottrina Gerasimov”, prevede di usare attacchi informatici e campagne mediatiche per indebolire un nemico prima ancora di sparare un colpo. In pratica la Russia mira a vincere battaglie strategiche “senza combattere” oppure ad amplificare l’efficacia delle proprie forze militari quando si arriva al conflitto aperto.

Possiamo individuare diversi obiettivi specifici che motivano le operazioni cyber russe:

• Spionaggio e furto di informazioni: è il motivo più classico. Attraverso l’hacking, l’intelligence russa cerca di ottenere informazioni riservate da governi, forze armate, organizzazioni internazionali e aziende occidentali. Questi dati possono includere segreti diplomatici, militari, economici o tecnologici. Ad esempio, hacker russi hanno spiato per anni istituzioni come il Dipartimento di Stato USA, il Parlamento tedesco, l’Organizzazione per la Proibizione delle Armi Chimiche e molte altre, sottraendo documenti utili a Mosca. Questo vantaggio informativo può poi essere usato per anticipare mosse avversarie, negoziare da posizioni di forza o copiare tecnologie occidentali avanzate. Un caso lampante è il già citato attacco SolarWinds del 2020, orchestrato dall’SVR, che ha fornito ai russi una finestra aperta su decine di reti governative e aziendali occidentali.
• Influenza politica e destabilizzazione: molti attacchi mirano a sovvertire i processi democratici e la coesione sociale dei Paesi rivali. In questo rientrano le interferenze elettorali (come negli USA 2016, in Francia 2017, tentativi in Germania, ecc.) e le campagne di disinformazione online. L’idea è seminare sfiducia nelle istituzioni, alimentare divisioni interne e favorire forze politiche più vicine agli interessi russi. La propaganda digitale russa spazia dalla creazione di fake news sui social (es. falsi account che diffusero bufale durante il referendum per la Brexit o il referendum costituzionale italiano del 2016) fino ad attacchi hacker con rilascio di materiali compromettenti (hack-and-leak) per imbarazzare leader occidentali. Come emerso dalle indagini americane, l’operazione del 2016 puntava proprio a “dividere e conquistare” l’opinione pubblica occidentale sfruttando internet. Questo modus operandi prosegue: ad esempio, durante la pandemia di COVID-19, account riconducibili alla galassia russa hanno diffuso teorie del complotto su vaccini e lockdown per aggravare il caos già esistente in Europa. In sintesi, l’obiettivo è minare dall’interno l’unità e la fiducia nelle democrazie occidentali, sfruttando la libertà di informazione come arma contro di esse.
• Sabotaggio e coercizione: alcune operazioni sono pensate per danneggiare infrastrutture critiche o risorse vitali dell’avversario, inviare un messaggio di forza e scoraggiare determinate azioni. Gli attacchi alla rete elettrica ucraina rientrano in questa categoria: spegnere la luce a centinaia di migliaia di persone in pieno inverno ha anche un effetto psicologico intimidatorio. Altri esempi includono attacchi (sventati) a sistemi industriali occidentali: si pensi al malware Industroyer scoperto nella rete elettrica ucraina nel 2016, che avrebbe potuto causare danni ancora maggiori, o al tentato hack (da parte del GRU) del Wi-Fi di un laboratorio svizzero che indagava sull’avvelenamento dell’ex spia Skripal nel 2018. Inoltre, l’espionage può preludere al sabotaggio: infiltrarsi oggi nei sistemi di controllo ferroviari o energetici di un paese NATO può significare avere un “interruttore” da spegnere in caso di crisi futura. La Russia usa questa leva per ricatto strategico: “so che siete vulnerabili, pensateci due volte prima di ostacolarmi”. Di fatto, Mosca vede le interruzioni cibernetiche come uno strumento di politica estera per influenzare le decisioni altrui, un complemento alle pressioni diplomatiche o economiche più tradizionali.
• Supporto ad operazioni militari (guerra integrata): come visto con l’esempio della Georgia 2008 e in parte in Ucraina, i cyber-attacchi possono essere coordinati con azioni militari sul terreno. In questa ottica, l’obiettivo è accecare e confondere il nemico prima e durante un assalto: ad esempio bloccando comunicazioni, diffondendo false informazioni (defacement di siti con annunci fasulli), sabotando i trasporti o estraendo dati di intelligence in tempo reale. Nel 2014, durante l’annessione della Crimea, gli hacker russi avrebbero intercettato comunicazioni militari ucraine e diffuso SMS intimidatori ai soldati per indurli ad arrendersi. Nel 2022, all’inizio dell’offensiva in Ucraina, i russi hanno colpito un fornitore di internet via satellite (Viasat) utilizzato anche dall’esercito ucraino, tagliando per un po’ le comunicazioni di unità sul campo.
• Tutto ciò risponde alla logica di integrare il fronte cibernetico con quello fisico, massimizzando le chance di successo in combattimento. Come sintetizzato dagli analisti, la Russia vede il cyberspazio come un altro dominio di guerra dove ottenere superiorità informativa e paralizzare il nemico.

In generale, la strategia russa nella cyberwar si distingue per alcuni tratti caratteristici: grande enfasi sull’offesa (attacco) rispetto alla difesa; uso combinato di mezzi occulti (spionaggio silenzioso) e plateali (attacchi dimostrativi); ampio ricorso alla negazione plausibile (far apparire gli attacchi come opera di hacker indipendenti o criminali, rendendo difficile attribuirli ufficialmente allo Stato); scelta attenta dei tempi (spesso gli attacchi avvengono in momenti politicamente delicati, come vigilia di elezioni, vertici internazionali, crisi diplomatiche, ecc., per massimizzare l’impatto).

L’insieme di queste tattiche rientra proprio nella cosiddetta guerra ibrida, dove cyberattacchi, propaganda, pressione economica e militare si fondono in un’unica campagna orchestrata. Come osservato dai servizi di intelligence occidentali, Mosca considera le operazioni cibernetiche una leva di politica estera, da usare costantemente per plasmare le decisioni altrui e avanzare i propri interessi. In altre parole, per la leadership russa gli attacchi informatici sono un mezzo per ottenere risultati strategici reali – che si tratti di un cambiamento di governo favorevole, del rallentamento di un’alleanza ostile, o di imporre una narrativa di potere.

Impatto politico e le reazioni dell’Occidente

Le azioni di cyberwar russe non sono rimaste senza risposta. Man mano che aumentavano in frequenza e gravità, Europa e Stati Uniti hanno preso coscienza del rischio e hanno messo in campo contromisure sia tecniche che politiche. L’impatto politico di questa guerra informatica diffusa è stato duplice: da un lato ha irrigidito i rapporti tra Russia e Occidente (portando a sanzioni, espulsioni diplomatiche, accuse pubbliche), dall’altro ha spinto i Paesi occidentali a fare fronte comune per rafforzare la sicurezza cibernetica collettiva.

Ecco alcune delle principali reazioni e misure intraprese dall’Occidente di fronte alla minaccia cyber russa:

• Attribuzione pubblica e sanzioni: Un passo fondamentale è stato identificare e denunciare ufficialmente gli attacchi russi. In passato regnava l’ambiguità, oggi invece governi e alleanze come la NATO non esitano a puntare il dito contro Mosca quando emergono prove. Ad esempio, nell’ottobre 2018 Olanda, UK e USA organizzarono una conferenza stampa congiunta per smascherare un team del GRU sorpreso in flagrante mentre tentava di hackerare l’OPCW all’Aia (furono mostrati i passaporti degli agenti, il kit hacker sequestrato, ecc.). Sul piano sanzionatorio, gli Stati Uniti hanno adottato misure punitive in più occasioni: dopo l’hacking elettorale del 2016 l’amministrazione Obama espulse 35 diplomatici russi e bloccò due compound russi in USA; successivamente, sotto Trump e Biden, il Tesoro ha varato sanzioni contro individui e enti legati al GRU, all’FSB e agli oligarchi che finanziavano troll farm. Anche l’Unione Europea ha creato un regime di sanzioni cyber: nel luglio 2020, per la prima volta, Bruxelles ha sanzionato ufficialmente alcuni responsabili di attacchi informatici, tra cui unità del GRU coinvolte negli attacchi NotPetya e alla rete elettrica ucraina. Le sanzioni UE hanno colpito l’Unità 74455 (Sandworm) del GRU e quattro suoi ufficiali, imponendo congelamento dei beni e divieto di viaggio. Questo invio di segnali politici forti mira a dissuadere la Russia dal proseguire su questa strada, facendole pagare un prezzo sul piano diplomatico ed economico. Oltre alle sanzioni, diversi hacker russi sono stati incriminati in contumacia (vedasi il caso dei 12 agenti GRU accusati dal Mueller team, o l’atto d’accusa USA del 2020 contro 6 hacker GRU per NotPetya e altri attacchi). Pur se simboliche finché gli imputati restano in Russia, queste azioni legali ne limitano la mobilità internazionale e rappresentano una formale condanna globale delle attività malevole russe.
• Rafforzamento delle difese cyber (NATO ed EU): L’Occidente ha anche fatto mea culpa sulle proprie vulnerabilità e ha accelerato gli sforzi per blindare le reti critiche. La NATO, già dal 2014, ha riconosciuto il cyberspazio come un dominio operativo in cui applicare il principio di difesa collettiva (ossia, un cyber-attacco grave contro un alleato può far scattare l’Articolo 5, la mutua difesa). Si tratta di un deterrente importante: significa che, in teoria, un devastante attacco hacker russo a un Paese NATO potrebbe essere considerato alla stregua di un attacco armato e giustificare una risposta collettiva. Per prevenire queste situazioni, la NATO ha creato centri di eccellenza come il CCDCOE a Tallinn (specializzato in cyber defence) e un Cyber Operations Centre integrato nel comando militare. Gli alleati condividono informazioni di intelligence su minacce cibernetiche e organizzano esercitazioni congiunte di cyberdifesa. Anche l’Unione Europea si è mossa: ha varato direttive per la sicurezza delle reti (Direttiva NIS), fondato team di risposta rapida (CERT-UE), lanciato un Cyber Diplomacy Toolbox per coordinare reazioni a livello comunitario, e pianificato investimenti in tecnologie di cybersecurity. A livello nazionale, quasi tutti i Paesi occidentali hanno creato Agenzie specializzate (ad esempio la CISA negli USA, l’ANSSI in Francia, il NCSC nel Regno Unito, fino alla recente Agenzia per la Cybersicurezza Nazionale in Italia) incaricate di proteggere infrastrutture strategiche e aumentare la resilienza informatica. Insomma, gli attacchi russi hanno fatto suonare un campanello d’allarme, innescando una corsa a migliorare le difese: aggiornare sistemi, togliere software russi (vedi il caso Kaspersky bandito da enti governativi occidentali per timore di backdoor), simulare scenari di attacco, e inculcare una nuova cultura della sicurezza informatica anche nel pubblico.
• Strategie di deterrenza attiva e “contro-attacco”: Oltre a blindarsi, gli Stati Uniti e alcuni alleati hanno adottato un approccio più proattivo, riassunto nel concetto di “defend forward”. Significa andare a colpire gli hacker avversari a monte, nelle loro stesse reti, per impedire attacchi imminenti. Ad esempio, è stato riportato che nel 2018 il Cyber Command USA abbia condotto operazioni offensive per sabotare l’infrastruttura del gruppo Internet Research Agency e impedirgli di interferire nelle elezioni di midterm negli Stati Uniti. Allo stesso modo, a ridosso dell’invasione dell’Ucraina nel 2022, gli americani avrebbero aiutato Kiev a disarmare certi malware russi prima che potessero fare danni. Questa dimensione offensiva ovviamente è poco pubblicizzata, ma fa parte delle misure di difesa attiva adottate dall’Occidente. Anche collettivi come Anonymous, dichiaratamente schierati contro la Russia, hanno di fatto aiutato la causa occidentale attaccando siti governativi russi, sottraendo dati e mandando messaggi di contro-propaganda (ad esempio bucando le smart TV russe per trasmettere immagini della guerra reale in Ucraina). Tutto ciò crea per Mosca un “costo” anche sul piano cibernetico. Inoltre, l’Occidente sta cercando di imporre norme di comportamento nel cyberspazio: forum internazionali discutono di attribuire responsabilità legali agli Stati per attività cyber maligne, sebbene per ora Russia e Cina frenino su questo fronte. Da parte sua, la Russia nega ogni coinvolgimento e accusa l’Occidente di ipocrisia, ma la pressione diplomatica e l’isolamento tecnologico (basti pensare al bando di Huawei/5G, alle restrizioni sull’export di chip avanzati verso Mosca ecc.) fanno parte del ventaglio di risposte occidentali.

In definitiva, l’impatto politico della guerra informatica è stato quello di inasprire ulteriormente il clima da “Nuova Guerra Fredda”. Gli attacchi hacker hanno eroso la fiducia residua: Paesi come gli Stati Uniti hanno inserito la “cyber aggressione” russa tra le principali minacce nella loro strategia di sicurezza nazionale. L’UE, tradizionalmente più cauta verso Mosca, ha cambiato tono dopo episodi clamorosi (come l’attacco hacker al parlamento tedesco o i tentativi di spionaggio in Olanda), mostrando maggiore unità nel condannare le operazioni russe. Certamente, questa contrapposizione cyber ha contribuito alle sanzioni già in atto per altri motivi (Crimea, Donbass, Skripal, ecc.), irrigidendo la posizione occidentale. Di contro, ha costretto l’Occidente a fare squadra su un terreno – quello digitale – dove inizialmente era più vulnerabile. Oggi esiste una maggiore consapevolezza collettiva dell’importanza della cybersicurezza, vengono condivise informazioni di minaccia in tempo reale tra alleati, e si pianificano investimenti per ridurre la dipendenza da tecnologie potenzialmente compromesse. In un certo senso, l’aggressività di Mosca nel cyber-spazio si è rivelata un boomerang, spingendo l’Occidente a serrare i ranghi e a innovare le proprie difese. La sfida però è tutt’altro che conclusa, anzi è un braccio di ferro continuo dove ogni parte cerca di superare l’altra in astuzia e capacità tecnica.

Il caso Italia: attacchi russi nel nostro Paese

Anche l’Italia, in quanto paese occidentale e membro NATO/UE, non è immune da questa guerra informatica strisciante. Negli anni scorsi diversi attacchi attribuiti a attori russi hanno colpito istituzioni, aziende e media italiani, spesso con finalità di spionaggio o propaganda.

Vediamo alcuni episodi rilevanti che hanno toccato da vicino il nostro Paese:

• 2016 – Hackeraggio del Ministero degli Esteri (Farnesina): Nel 2016 il Ministero degli Affari Esteri italiano fu bersaglio di un grave attacco informatico, portato avanti silenziosamente per circa quattro mesi. Gli hacker penetrarono nelle caselle email di numerosi diplomatici e funzionari, sottraendo probabilmente comunicazioni e documenti riservati. La violazione venne scoperta solo dopo molto tempo. Secondo fonti giornalistiche (come il quotidiano The Guardian), l’intelligence russa sarebbe dietro l’operazione. All’epoca alla Farnesina c’era Paolo Gentiloni (poi divenuto premier), che per fortuna non usava la email e dunque non risulta colpito. Le indagini non hanno divulgato dettagli sul gruppo hacker coinvolto, ma gli esperti sospettano di APT28 (Fancy Bear) del GRU o di un team dell’SVR, data la natura spionistica dell’attacco. Questo episodio ha destato molto scalpore in Italia: un attacco straniero al cuore della diplomazia nazionale ha evidenziato la necessità di potenziare la sicurezza delle nostre reti governative. Il governo italiano ha poi ammesso l’accaduto e rafforzato le misure di difesa (ad esempio, isolando meglio le reti contenenti informazioni classificate e sensibilizzando il personale sulle minacce cyber).

La sede della Ministero degli Affar esteri e della Cooperazione internazionale italiano

• 2022 – Attacchi DDoS di Killnet a siti istituzionali: A maggio 2022, in piena guerra in Ucraina, l’Italia è finita nel mirino del collettivo hacker filorusso Killnet. Questo gruppo di hacktivisti, apertamente allineato col Cremlino, ha lanciato attacchi DDoS contro diversi siti web italiani di alto profilo, fra cui il sito del Senato, quello del Ministero della Difesa e altri siti di rilievo (come l’Automobile Club d’Italia e il portale dell’Eurovision Song Contest che si teneva a Torino). Gli attacchi DDoS hanno reso i siti temporaneamente irraggiungibili sovraccaricandoli di traffico, senza però compromettere i sistemi interni. Killnet ha rivendicato l’operazione su Telegram, presentandola come “rappresaglia” per il sostegno italiano all’Ucraina. Infatti l’Italia, seguendo UE e NATO, aveva condannato l’aggressione russa e iniziato a fornire aiuti a Kiev: questo ha attirato l’ira dei hacker patriottici russi. Dopo l’attacco di maggio (durato poche ore e risolto senza danni gravi), Killnet ha minacciato ulteriori azioni contro paesi occidentali. Va detto che gli attacchi DDoS, pur fastidiosi, sono molto evidenti e grezzi, e non paragonabili per impatto a operazioni stealth come quelle del GRU. Tuttavia hanno un forte valore simbolico e mediatico: vedere i siti del Senato o della Difesa offline genera allarme nell’opinione pubblica e dimostra come anche un paese come l’Italia possa essere colpito nella dimensione cyber. Successivamente, tra giugno e agosto 2022, altri gruppi filo-russi (es. NoName057(16)) hanno preso di mira siti di aziende ed enti italiani con defacement e DDoS, in una sorta di “tiro al bersaglio” propagandistico. Questi eventi hanno spinto le autorità italiane ad alzare il livello di allerta cyber: la neonata Agenzia per la Cybersicurezza Nazionale (ACN) ha diffuso linee guida e avvisi alle infrastrutture critiche, e sono stati intensificati i monitoraggi delle reti governative.
• Disinformazione e propaganda mirata all’Italia: Oltre agli attacchi tecnici, l’Italia ha subìto anche influenze informative di matrice russa. Negli ultimi anni sono stati individuati network di fake news in lingua italiana che ricalcavano le narrative del Cremlino (ad esempio, pagine Facebook che diffondevano contenuti pro-Putin o anti-NATO, account Twitter falsi che intervenivano nel dibattito politico italiano su temi divisivi). Un caso emblematico: nel 2018, prima delle elezioni politiche, l’allora capo della sicurezza interna Franco Gabrielli parlò apertamente di rischio interferenze russe sul voto tramite propaganda online, benché poi non emersero prove schiaccianti di un intervento massiccio. In tempi più recenti, durante la pandemia, testate italiane hanno denunciato operazioni di disinformazione russe tese a minare la fiducia nei vaccini occidentali e a promuovere Sputnik V (il vaccino russo), oppure a esagerare i “soccorsi” russi all’Italia nel marzo 2020 con fini propagandistici. Un rapporto del DIS (intelligence italiana) del 2022 conferma attività di influenza ostile online riconducibili a fonti russe, sebbene il loro impatto sull’opinione pubblica italiana sia difficile da quantificare. Insomma, la “guerra informativa” russa passa anche per l’Italia, cercando di orientare sentimenti anti-UE, anti-USA o filo-russi nel nostro paese. Questo fronte, pur meno tangibile di un attacco hacker, è altrettanto insidioso perché mira a condizionare il dibattito democratico.

In generale, l’Italia viene considerata un bersaglio “soft” dagli attori russi: un paese importante nella coalizione occidentale ma con evidenti fragilità (bassa consapevolezza cyber fino a poco tempo fa, forte polarizzazione politica interna, presenza di forze politiche storicamente più vicine a Mosca). Non sorprende quindi che hacker russi abbiano curiosato nelle nostre reti diplomatiche (caso Farnesina) o che gruppi di propaganda abbiano cercato di infiammare temi divisivi nel dibattito italiano.

La buona notizia è che finora non risultano attacchi devastanti a infrastrutture critiche italiane attribuibili alla Russia (ad esempio reti elettriche, trasporti, centrali). Ma gli episodi avvenuti servono da monito: l’Italia deve considerarsi parte del teatro di cyber-confronto e attrezzarsi di conseguenza. In risposta, negli ultimi anni il nostro Paese ha accelerato sulla sicurezza cibernetica: oltre alla creazione dell’ACN menzionata, sono stati varati esercizi di simulazione di attacchi, partnership con aziende tech per proteggere la Pubblica Amministrazione e accordi di intelligence con alleati per scambio di informazioni su minacce (un esempio, l’adesione al Malware Information Sharing Platform NATO). C’è inoltre maggiore attenzione a bonificare il cyberspazio informativo: dal 2022, in linea con le sanzioni UE, l’Italia ha oscurato i canali di propaganda Russia Today e Sputnik, e Polizia Postale vigila sulle campagne disinformative nei social. La strada è ancora lunga, ma la consapevolezza della minaccia russa in ambito cyber è cresciuta anche da noi, e il tema è ormai parte dell’agenda sulla sicurezza nazionale.

Prospettive future della guerra cibernetica Russia-Occidente

Visto lo stato attuale delle cose, come potrebbe evolvere nei prossimi anni la guerra informatica tra Russia e Occidente? Sebbene il futuro sia difficile da prevedere con certezza, possiamo delineare alcuni scenari e tendenze probabili, tenendo conto sia dell’evoluzione tecnologica sia del contesto geopolitico:

• Conflitto latente e continuo – “nuova normalità”: È verosimile che la guerra cyber tra Russia e Occidente prosegua a bassa intensità ma in modo costante. In assenza di un riavvicinamento politico, Mosca continuerà a utilizzare gli attacchi informatici come strumento di pressione e influenza. Allo stesso tempo, gli occidentali miglioreranno ulteriormente le difese e risponderanno colpo su colpo. Ciò significa che vedremo ancora campagne di spionaggio russo nei network occidentali (magari sempre più mirate e stealth), tentativi di interferenza in elezioni e dibattiti democratici attraverso troll e fake news, e sporadici attacchi distruttivi o dimostrativi quando la Russia vorrà lanciare un messaggio forte. Questa condizione di “conflitto permanente sotto la soglia della guerra aperta” potrebbe diventare la normalità nelle relazioni Est-Ovest. Un paragone calzante è la Guerra Fredda: allora c’era lo spionaggio tradizionale e la propaganda ideologica, oggi abbiamo l’hacking e la disinformazione online – diversi nei mezzi, simili nella logica. Finché il regime russo vedrà vantaggi nell’agire in questo “limbo”, difficilmente rinuncerà al cyber-arsenale. Allo stesso modo, USA e alleati non abbasseranno la guardia, anzi tenderanno a colmare il gap tecnologico e a rendere gli attacchi russi meno efficaci.
• Escalation su infrastrutture critiche: Uno scenario temuto è quello di una escalation verso attacchi cibernetici più distruttivi, diretti contro infrastrutture vitali in Occidente. Se la crisi con la Russia dovesse aggravarsi (ad esempio in caso di scontro diretto NATO-Russia), il rischio di cyber-attacchi paralizzanti aumenterebbe. La stessa intelligence americana (ODNI)ha avvertito che *”la Russia mantiene la capacità di colpire infrastrutture critiche, incluse reti energetiche e cavi sottomarini, negli Stati Uniti e nei paesi alleati”*. In futuro potremmo dunque assistere – speriamo di no – a tentativi di blackout in città occidentali, sabotaggi di oleodotti o reti di telecomunicazione, o attacchi ai sistemi finanziari (borse, banche) come forma di ritorsione. Il Cremlino potrebbe considerare queste mosse se messo all’angolo, per seminare il caos e provare a dividere i paesi NATO (colpendo magari quelli ritenuti anello debole). Dal canto loro, gli occidentali stanno cercando di irrobustire proprio questi settori nevralgici: ad esempio, dopo gli attacchi ransomware che hanno colpito ospedali e oleodotti nel 2021, negli USA si è dichiarato “tolleranza zero” verso gli stati che ospitano cybercriminali, e NATO ed EU hanno lanciato iniziative specifiche per la protezione di reti energetiche e di trasporto. In altre parole, entrambi gli schieramenti sono consapevoli che le infrastrutture critiche sono sia un bersaglio che un tallone d’Achille – il gioco nei prossimi anni sarà vedere se la deterrenza regge o se qualcuno oserà davvero “spegnere la luce” altrui.
• Cyber arm race e nuove tecnologie: La competizione si sposterà anche sul piano tecnologico. Russia e Occidente continueranno una sorta di corsa agli armamenti digitale, sviluppando strumenti d’attacco e difesa sempre più avanzati. Vedremo probabilmente un maggior impiego di intelligenza artificiale sia per attaccare che per difendere (es: AI che automatizza la ricerca di vulnerabilità o che rileva intrusioni anomale in rete). La quantum computing in futuro potrebbe rivoluzionare il settore: se la Russia (o altri) arrivassero primi a un computer quantistico stabile, potrebbero infrangere molti degli attuali sistemi di crittografia, aprendo brecce finora impensabili. Di contro, l’Occidente sta già lavorando su crittografia “post-quantum” e su reti più segmentate per limitare i danni in caso di breach. Un altro campo sarà la guerra dell’informazione 2.0: l’uso di deepfake (video/audio falsificati con AI) potrebbe rendere la disinformazione ancora più persuasiva e difficile da smascherare. Immaginiamo nei prossimi anni un fake video di un leader occidentale che dichiara qualcosa di scioccante, diffuso da reti filorusse per incendiare l’opinione pubblica – servirà estrema prontezza per contrastare simili tattiche. Allo stesso modo, anche i paesi occidentali potrebbero sfruttare di più le nuove tecnologie per illudere e ingannare gli aggressori (ad esempio con sofisticati honeypot, o con campagne di contro-propaganda mirate al pubblico russo tramite Internet).
• Possibili negoziati o accordi? Uno scenario alternativo, al momento remoto, sarebbe quello di un accordo internazionale per limitare la cyber-guerra, una sorta di “trattato di pace digitale” o almeno di tregua. Negli ultimi anni ci sono stati tentativi in sede ONU di stabilire regole di condotta (ad esempio la Russia ha proposto un codice di condotta cyber, ma che molti occidentali vedono come fumo negli occhi perché limiterebbe la libertà di internet). La difficoltà è che mancano fiducia e meccanismi di verifica: a differenza degli armamenti nucleari, dove esistono trattati e ispezioni, nel cyber è quasi impossibile assicurarsi che una nazione smetta davvero di hackerare. Inoltre, per la Russia la guerra informatica è un asset troppo utile per rinunciarvi unilateralmente. Solo in caso di distensione più ampia (difficile da immaginare nell’attuale clima di guerra in Ucraina) si potrebbe parlare di mutuo moratorium su certi bersagli (qualcosa tipo: “non attacchiamoci ospedali e centrali nucleari reciprocamente”). Ma nel breve termine, la realtà vede anzi un aumento della militarizzazione del cyber-spazio, con la NATO che integra sempre più le operazioni informatiche nelle proprie strutture e la Russia che cerca alleanze tech alternative (vedi maggiore cooperazione con Cina in ambito digitale).
• Coinvolgimento di altri attori e frammentazione di Internet: Infine, uno sguardo al contesto più ampio: la guerra cyber Russia-Occidente non avviene nel vuoto, ma si inserisce in una crescente polarizzazione globale. Altri paesi osservano e imparano. Stati come la Cina, l’Iran, la Corea del Nord hanno loro capacità hacker notevoli e potrebbero prendere spunto dalle tattiche russe o approfittare della distrazione occidentale verso Mosca per lanciare proprie campagne. Inoltre c’è il rischio di incidenti di attribution: un attore terzo potrebbe compiere un attacco e farlo sembrare russo (o viceversa) per provocare reazioni errate. In questo “far west” cibernetico, Internet stessa rischia di frammentarsi in sfere d’influenza: ad esempio la Russia, preoccupata dalla penetrazione di Anonymous e dalle sanzioni tech, ha già testato una propria Runet isolata. L’Occidente dal canto suo discute di escludere dal proprio ecosistema digitale hardware e software non fidati (il “decoupling tecnologico“). Nei prossimi anni potremmo vedere un Internet più diviso geopoliticamente, con blocchi di paesi che filtrano contenuti e accessi reciprocamente per motivi di sicurezza. Questo sarebbe un effetto collaterale di lungo termine della sfiducia instaurata dalla cyberwar.

In conclusione, la guerra informatica tra Russia e Occidente è destinata a perdurare e adattarsi al contesto. Finché permarranno forti contrapposizioni politiche, il cyber-spazio rimarrà un campo di battaglia invisibile ma attivo, dove ogni giorno si combatte a colpi di bit invece che di proiettili. Gli esperti ritengono che la Russia continuerà a costituire “una minaccia cibernetica globale persistente”, impiegando le sue capacità di spionaggio, influenza e attacco contro una varietà di bersagli nel mondo.

Di fronte a ciò, l’Occidente dovrà restare vigile, investire in innovazione e forse ripensare le proprie strategie difensive ed offensive.

La sfida è trovare un equilibrio tra sicurezza e apertura: difendersi dalle aggressioni informatiche senza rinunciare ai valori di società aperte e digitalmente interconnesse che caratterizzano le democrazie occidentali.

Sarà un cammino complesso. Una cosa è certa: la cyberwar non è più fantascienza o materia da film, ma una realtà concreta destinata a influenzare pesantemente le relazioni internazionali degli anni a venire.

Prepariamoci dunque a sentirne ancora parlare – e soprattutto a convivere con questa nuova dimensione del confronto globale.

©RIPRODUZIONE RISERVATA