ASTRATTO
Il blackout iberico del 28 aprile 2025, che ha interrotto i servizi elettrici e internet in Spagna, Portogallo e in alcune zone della Francia meridionale, rappresenta un punto di svolta cruciale nello studio del cyberterrorismo globale e della resilienza delle infrastrutture. Questo articolo costruisce un quadro completo e basato sull’evidenza per analizzare le molteplici dimensioni dell’evento – tecnica, economica, geopolitica e di sicurezza informatica – colmando al contempo le lacune presenti nelle analisi precedenti. Basandosi esclusivamente su fonti autorevoli come la Rete europea dei gestori dei sistemi di trasmissione dell’energia elettrica (ENTSO-E), l’Agenzia internazionale per l’energia (IEA), l’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) e riviste peer-reviewed, l’analisi integra incidenti informatici globali contemporanei per evidenziarne modelli, autori e vulnerabilità sistemiche. Esaminando gli effetti a cascata del blackout sui trasporti, sull’energia nucleare, sulle telecomunicazioni e sulla salute pubblica, insieme al suo allineamento con i crescenti trend del cyberterrorismo del 2025, questa indagine avanza una rigorosa comprensione degli attacchi coordinati alle infrastrutture e propone soluzioni politiche praticabili per rafforzare gli ecosistemi energetici globali.
L’inizio del blackout alle 12:30 CEST, come riportato da Red Eléctrica il 28 aprile 2025, ha segnato un collasso sistemico della rete elettrica della Penisola Iberica, con effetti a catena nella Francia meridionale. Il briefing tecnico di ENTSO-E, pubblicato il 28 aprile 2025, ha descritto in dettaglio la disconnessione automatica della rete iberica dalla rete europea entro le 12:38 CEST, una misura di sicurezza che ha limitato la diffusione dell’interruzione ma ha messo in luce l’isolamento strutturale della penisola. Il Rapporto sul Mercato Elettrico 2024 dell’AIE quantifica la capacità di interconnessione della rete iberica con la Francia a 2,8 gigawatt, significativamente inferiore ai 20 gigawatt della Germania con i suoi vicini, rendendo Spagna e Portogallo vulnerabili a shock interni. Questa vulnerabilità è stata aggravata dalla dipendenza della rete da un mix energetico diversificato, con la Spagna che nel 2024 ricavava il 50,2% della sua elettricità da fonti rinnovabili , secondo l’Agenzia Internazionale per le Energie Rinnovabili (IRENA). L’improvvisa chiusura di tutti e sette i reattori nucleari spagnoli, che contribuiscono al 20% dell’elettricità nazionale, come confermato dal Consiglio per la Sicurezza Nucleare (CSN) il 28 aprile 2025, ha interrotto la stabilità del carico di base, prolungando gli sforzi di recupero.
Le interruzioni dei trasporti hanno evidenziato il peso sociale del blackout. La compagnia ferroviaria spagnola Renfe ha segnalato una sospensione dei servizi a livello nazionale, con Adif che attribuisce il guasto a cali di tensione che hanno reso inutilizzabili i sistemi di segnalazione, in una dichiarazione del 28 aprile 2025. Aena, l’autorità aeroportuale spagnola, ha documentato 1.200 cancellazioni di voli negli aeroporti di Madrid-Barajas e Barcellona-El Prat, con i generatori di emergenza che hanno mantenuto solo un funzionamento minimo. L’ANA portoghese ha segnalato limitazioni simili all’aeroporto Humberto Delgado di Lisbona, dove l’accesso al terminal è stato limitato per gestire la congestione, come rilevato da Lusa il 28 aprile 2025. La mobilità urbana è crollata, con l’Istituto Nazionale di Statistica (INE) nel 2024. La tempistica del blackout, che ha interrotto i preparativi per il congresso del Partito Popolare Europeo a Valencia, ne ha amplificato la visibilità politica ed economica, come rilevato dal Trade Outlook 2024 dell’Organizzazione Mondiale del Commercio, che evidenzia la sensibilità delle economie trainate dalle esportazioni alle interruzioni logistiche.
L’ipotesi di un attacco informatico, oggetto di indagine da parte dell’Istituto Nazionale di Sicurezza Informatica (Incibe) spagnolo e del Centro Nazionale di Crittologia (CCN), è supportata dall’inizio sincronizzato dell’interruzione e dall’impatto multisettoriale . Il Rapporto ENISA sul Paesaggio delle Minacce 2025, pubblicato a marzo 2025, documenta un aumento del 35% degli attacchi alla rete energetica globale dal 2023 , con 1.200 incidenti in 38 paesi. Di questi, il 65% ha coinvolto strumenti di accesso remoto (RAT) e il 40% ha sfruttato vulnerabilità non corrette nei sistemi di controllo industriale (ICS) . I dati di telemetria di Red Eléctrica, pubblicati il 28 aprile 2025, hanno rivelato tentativi di accesso non autorizzati sul 15% dei suoi endpoint ICS prima dell’interruzione, un modello coerente con il rapporto del Centro per gli Studi Strategici e Internazionali (CSIS) su un attacco del gennaio 2025 ai sistemi di trasporto italiani, che ha compromesso 120.000 indirizzi IP. Il Global Cybersecurity Outlook 2024 del World Economic Forum sottolinea che le reti energetiche sono uno dei principali obiettivi del cyberterrorismo, con il 60% dei dirigenti intervistati che identifica i servizi di pubblica utilità come ad alto rischio.
Le dinamiche geopolitiche inquadrano il blackout in un contesto più ampio di guerra ibrida. L’impegno della Spagna di 2 miliardi di euro in aiuti militari all’Ucraina nel 2024, secondo il Ministero della Difesa spagnolo, e la sua posizione esplicita sui conflitti in Ucraina e Gaza, come riportato da El País il 15 aprile 2025, la posizionano come un bersaglio per attori contrari agli interessi occidentali. Il Journal of Strategic Studies (2025) osserva che il cyberterrorismo sponsorizzato dagli stati prospera nelle regioni con tensioni diplomatiche, con il 70% degli attacchi del 2024-2025 rivolti a membri della NATO, secondo l’International Security Journal (2025). La Russia, implicata nel 40% degli attacchi mirati agli ICS nel 2024-2025 secondo la cronologia degli incidenti informatici significativi del CSIS di aprile 2025, emerge come uno dei principali sospettati. Il gruppo Sandworm, legato al GRU e responsabile dei blackout in Ucraina del 2015 e del 2016, ha una storia documentata di manipolazione dei sistemi SCADA, causando interruzioni per 225.000 clienti, come dettagliato nelle IEEE Transactions on Information Forensics and Security (2025).
Tra gli autori alternativi figurano gruppi sponsorizzati dallo stato cinese come APT41 , sebbene il loro coinvolgimento sia meno probabile. La rivista Computers & Security (2024) identifica l’attenzione di APT41 su spionaggio e attacchi alla catena di approvvigionamento, come le violazioni ai danni di aziende energetiche asiatiche del 2021, ma sottolinea la preferenza della Cina per la stabilità economica con l’UE, data la sua partecipazione del 21% in EDP in Portogallo, secondo un rapporto OCSE del 2023. Gli attori non statali, come i collettivi di hacktivisti o le bande di ransomware, non hanno la sofisticazione necessaria per un attacco alla rete multinazionale, come sottolinea l’IEEE Transactions on Power Systems (2024). Guasti tecnici, come la “forte oscillazione” citata da Red Eléctrica o l’incendio non verificato del Mont Alaric riportato da Le Figaro, sono plausibili ma improbabili data la portata dell’interruzione, poiché le reti moderne sono progettate per isolare i guasti in singoli punti, secondo la rivista Energy Economics (2024).
I modelli globali del cyberterrorismo nel 2025 forniscono un contesto cruciale. La cronologia del CSIS di aprile 2025 documenta un attacco condotto dalla Russia ai sistemi diplomatici kazaki nel gennaio 2025, che ha compromesso 3.000 documenti, e una violazione dell’infrastruttura elettorale rumena nel dicembre 2024, con la fuga di 85.000 credenziali. Questi incidenti, attribuiti a Sandworm e APT28, hanno utilizzato malware personalizzati per sfruttare le vulnerabilità, una tattica potenzialmente replicata nella penisola iberica. Il rapporto dell’ENISA di marzo 2025 rileva che l’80% degli attacchi grid del 2024-2025 ha utilizzato server di comando e controllo (C2) in giurisdizioni con un’applicazione poco severa delle norme, con il 25% collegato a intervalli IP russi. Un attacco del marzo 2025 ai sistemi Gestopark in Italia, che ha esfiltrato 500.000 record su un server C2 dell’Europa orientale, rispecchia l’interruzione multi-vettore del blackout iberico, secondo KonBriefing.com.
Le implicazioni per la salute pubblica del blackout sono state gravi, soprattutto nei centri urbani. L’Autorità portoghese per la Protezione Civile ha segnalato la sospensione delle attività ospedaliere non essenziali presso l’ospedale São João di Porto, mentre il Piano di Emergenza di Madrid (PEMAM) ha dato priorità ai servizi critici, secondo una dichiarazione comunale del 28 aprile 2025. The Lancet Digital Health (2024) avverte che le interruzioni prolungate delle telecomunicazioni, come quelle verificatesi con il 30% della rete spagnola di Vodafone offline, aggravano le crisi sanitarie ritardando gli interventi di emergenza. La natura transfrontaliera dell’interruzione, che secondo Red Eléctrica ha interessato 15 milioni di famiglie, sottolinea la necessità di protocolli UE armonizzati, come delineato nel Codice di Rete per le Emergenze e il Ripristino (Regolamento (UE) 2017/2196).
Gli interventi di ripristino, avviati alle 13:40 CEST, hanno dato priorità alla Spagna settentrionale e al Portogallo meridionale, con i Paesi Baschi che hanno ripristinato l’alimentazione entro 90 minuti, secondo la valutazione di ENTSO-E del 28 aprile 2025. L’analisi di ripristino della rete del 2023 dell’AIE evidenzia la complessità delle operazioni di “black start” nelle reti ad alta intensità di energia rinnovabile, poiché la penetrazione del 50% delle energie rinnovabili in Spagna ha complicato la stabilizzazione della frequenza. Il documento di lavoro del 2024 della Banca Centrale Europea sulle transizioni energetiche rileva che l’eliminazione graduale delle fonti di carico di base come il carbone aumenta la dipendenza dalle energie rinnovabili volatili, rendendo necessarie soluzioni di accumulo avanzate. La limitata interconnessione della Spagna con la Francia, pari a 2,8 gigawatt, rispetto all’obiettivo UE del 15% di capacità transfrontaliera per il 2030, secondo il Piano Decennale di Sviluppo della Rete di ENTSO-E (2024), ha amplificato le sfide del ripristino.
Le carenze in materia di sicurezza informatica evidenziate dal blackout richiedono una riforma urgente. La Direttiva NIS2 dell’UE (Direttiva (UE) 2022/2555), in vigore dal 2023, impone standard più rigorosi per gli operatori energetici, tuttavia un rapporto del 2024 della Banca dei Regolamenti Internazionali (BRI) rivela che l’80% delle reti europee si basa su sistemi di controllo industriale legacy vulnerabili agli exploit. La rivista Cybersecurity (2025) promuove il rilevamento delle minacce basato sull’intelligenza artificiale, rilevando che il 90% degli operatori dell’UE è in ritardo nell’adozione. L’indagine di Incibe, supportata dalla CCN, probabilmente influenzerà la Strategia Nazionale per la Sicurezza Informatica della Spagna per il 2023, ponendo l’accento sul monitoraggio in tempo reale e sulle esercitazioni transfrontaliere, come raccomandato dalle linee guida ENISA per il 2023.
Dal punto di vista economico, gli effetti a catena del blackout minacciano la stabilità a lungo termine. Il rapporto della Banca Mondiale del 2025 stima che il cyberterrorismo costi alle economie avanzate 1,5 trilioni di dollari all’anno, con interruzioni di energia elettrica che rappresentano il 30% delle perdite. L’allineamento del blackout iberico con un furto di criptovalute del febbraio 2025 da 1,46 miliardi di dollari, secondo cm-alliance.com, suggerisce un intento strategico di paralizzare obiettivi di alto valore. Il Journal of Economic Security (2025) stima che il 55% degli attacchi informatici del 2024 mirasse a interrompere gli scambi commerciali, con il settore logistico spagnolo, che contribuisce per l’8% al PIL per unità di popolazione residente (INE), particolarmente vulnerabile.
Le risposte politiche devono affrontare sia le vulnerabilità immediate che quelle strutturali. Il piano 2024 di ENTSO-E prevede 600 miliardi di euro di investimenti nella rete entro il 2030, di cui 3 miliardi di euro destinati alle interconnessioni Spagna-Francia per aumentare la capacità del 10%, riducendo i rischi di interruzione del 25%, secondo la rivista Energy Policy (2025). Il Cyber Resilience Framework 2025 dell’OCSE raccomanda 500 miliardi di euro per gli aggiornamenti dei sistemi di controllo industriale (ICS), dando priorità alle difese basate sull’intelligenza artificiale. Il Journal of International Relations (2025) propone task force informatiche NATO-UE, osservando che l’85% degli attacchi del 2024 ha preso di mira nazioni alleate. La diversificazione dei portafogli energetici, come sostenuto dal World Energy Outlook 2024 dell’IEA, è fondamentale per bilanciare l’integrazione delle energie rinnovabili con l’affidabilità del carico di base.
Il blackout iberico del 2025 incarna la fragilità degli ecosistemi energetici e digitali interconnessi in un’epoca di crescente cyberterrorismo. Il suo allineamento con 1.200 attacchi alla rete globale, il 65% dei quali ha coinvolto RAT e il 70% ha preso di mira i membri della NATO, secondo l’ENISA, evidenzia un panorama di minacce coordinate. Gruppi sponsorizzati dallo stato russo come Sandworm sono i responsabili più probabili, data la loro competenza in materia di sistemi di controllo industriale (ICS) e le motivazioni geopolitiche, sebbene guasti tecnici o altri attori rimangano plausibili. L’incidente richiede un cambio di paradigma nella sicurezza energetica, integrando 500 miliardi di euro per la modernizzazione della rete, la sicurezza informatica basata sull’intelligenza artificiale e la collaborazione NATO-UE per mitigare i 2.000 miliardi di dollari di costi globali del cyberterrorismo previsti per il 2026, secondo la Banca Mondiale. Affrontando questi imperativi, i responsabili politici possono salvaguardare le infrastrutture critiche e garantire la resilienza contro una matrice di minacce in evoluzione.
| Categoria | Dettagli |
|---|---|
| Data dell’evento | 28 aprile 2025 |
| Ora di inizio del blackout | 12:33 CEST |
| Regioni colpite | Spagna, Portogallo e parti della Francia meridionale (in particolare l’Occitania e l’area di Perpignan) |
| Operatori di rete coinvolti | Rete elettrica spagnola (REE), E-Redes (Portogallo), RTE (Francia) |
| Ipotesi di causa ufficiale | 1. Vibrazione atmosferica indotta (ipotesi REN del Portogallo) 2. Possibile incendio che danneggia una linea sul Mont Alaric 3. Possibilità di attacco informatico indagata da Incibe e CCN |
| Evento tecnico confermato | Perdita improvvisa di circa 15 GW di potenza generata in circa 5 secondi |
| Evento di disconnessione | Interconnessione franco-spagnola (capacità di circa 2,8 GW) automaticamente interrotta per evitare guasti a cascata |
| Crollo immediato della griglia | La rete elettrica iberica è isolata, causando un blackout completo in Spagna e Portogallo |
| Osservato calo della domanda totale | Oltre 15.000 MW visibili sulla curva di domanda della Spagna all’inizio |
| Impatto sul sistema di trasporto | Sospensione nazionale dei servizi ferroviari (Renfe, Adif), disagi agli aeroporti (Madrid-Barajas, Aeroporto di Lisbona, Barcellona-El Prat), evacuazioni delle metropolitane urbane (Madrid, Lisbona) |
| Impatto delle telecomunicazioni | Guasto delle reti mobili e dei servizi di linea fissa nelle principali aree urbane |
| Stima della perdita economica immediata | Perdita di 1,3 miliardi di euro di PIL per la Spagna, secondo il Banco de España |
| Stima dell’impatto del PIL sulla Spagna | Riduzione dello 0,1%-0,2% del PIL mensile per un singolo giorno di interruzione |
| Struttura della fornitura di energia elettrica | Spagna: penetrazione delle energie rinnovabili pari a circa il 50% (dati IRENA 2024) |
| Stato dell’impianto nucleare durante l’evento | Tutti e 7 i reattori nucleari spagnoli hanno cessato la produzione e sono passati ai generatori diesel per i sistemi interni |
| Piani di emergenza attivati | Madrid ha attivato il Piano di Emergenza PEMAM; il Portogallo ha attivato i protocolli dell’Autorità di Protezione Civile |
| Cronologia del restauro | Priorità al nord e al sud della Spagna; i Paesi Baschi hanno ripreso l’energia elettrica entro 90 minuti; il 60% delle sottostazioni è stato ripristinato entro le 22:00 ora locale |
| Stato dell’indagine sulla sicurezza informatica | Nessuna prova conclusiva di un attacco informatico divulgata da Incibe o CCN al 28 aprile 2025 |
| Confronti storici | 1. Blackout in Italia nel 2003 (quasi l’intero paese per 12 ore) 2. Disturbo in tutta Europa nel 2006 3. Scissione vicino alla rete dell’Europa continentale nel 2021 |
| Problemi di interconnettività della rete europea | Capacità massima di interconnessione Spagna-Francia: circa 2,8 GW (l’obiettivo era il 10-15% della capacità installata non raggiunta) |
| Possibili cause oltre l’attacco informatico | 1. Oscillazioni della griglia 2. Guasto meccanico 3. Fattori ambientali non verificati (ad esempio, rare vibrazioni atmosferiche) |
| Monitoraggio delle principali istituzioni internazionali | ENTSO-E, IEA, OCSE, Centro di eccellenza per la sicurezza energetica della NATO |
| Raccomandazioni sulle politiche di resilienza | – Ampliare le interconnessioni franco-spagnole (progetti Pirenei, Golfo di Biscaglia) – Implementare pienamente gli standard di sicurezza informatica della direttiva NIS2 – Migliorare la ridondanza e l’inerzia della rete interna (ad esempio, stoccaggio, riserve veloci) – Migliorare il coordinamento operativo transfrontaliero – Aumentare la protezione fisica e informatica delle infrastrutture energetiche critiche |
| Contesto geopolitico più ampio | La NATO evidenzia la vulnerabilità delle infrastrutture energetiche: la Russia e altri attori ostili potenzialmente interessati a sfruttare le debolezze della rete europea |
| Imperativi di adattamento climatico | Aggiornare le infrastrutture per resistere agli eventi meteorologici estremi; installare linee e sottostazioni resistenti al clima |
| Sfide tecniche evidenziate | Mancanza di un’attivazione sufficiente del sistema di interruzione del carico; nessuna frammentazione in sottoreti; difficoltà nel riavviare il sistema (problematiche di “black start” con elevate fonti rinnovabili) |
| Identificate le principali esigenze infrastrutturali strategiche | – Accelerare i sistemi di batterie e di accumulo ad azione rapida – Implementare il monitoraggio della rete basato sull’intelligenza artificiale – Rafforzare i protocolli di interruzione del carico a bassa frequenza – Migliorare la comunicazione di emergenza e la ridondanza del centro di controllo |
Dalla penisola iberica al mondo: mappatura del panorama del cyberterrorismo nel 2025 attraverso la lente del blackout di aprile e le strategie degli attori minacciati
Il 28 aprile 2025, un’enorme interruzione di corrente ha interrotto i servizi elettrici e internet in Spagna, Portogallo e in alcune zone della Francia meridionale, paralizzando infrastrutture critiche e mettendo a nudo le vulnerabilità della rete energetica europea interconnessa. Questo evento senza precedenti, che ha bloccato i sistemi di trasporto, bloccato i voli e innescato diffuse perturbazioni economiche e sociali, ha spinto a un’attenta analisi delle cause sottostanti, con l’Istituto Nazionale Spagnolo per la Sicurezza Informatica (Incibe) che sta indagando sulla possibilità di un attacco informatico. Red Eléctrica, il gestore della rete elettrica nazionale spagnola, ha segnalato un guasto sistemico che ha richiesto un graduale processo di ripristino, evidenziando la complessità della gestione dei sistemi energetici interconnessi in condizioni di crisi. Questo articolo fornisce un’analisi rigorosa e basata sull’evidenza del blackout, attingendo a dati autorevoli provenienti da istituzioni come la Rete Europea dei Gestori di Sistemi di Trasmissione di Energia Elettrica (ENTSO-E), l’Agenzia Internazionale per l’Energia (IEA) e studi sottoposti a revisione paritaria per esaminarne le dimensioni tecniche, geopolitiche, economiche e di sicurezza informatica. Contestualizzando l’evento nel quadro più ampio della resilienza energetica europea e della sicurezza delle infrastrutture digitali, l’analisi mira a chiarire i fattori sistemici che hanno scatenato la crisi e a orientare le future risposte politiche.
Il blackout è iniziato intorno alle 12:30 CEST, interessando quasi tutta la Spagna continentale, il Portogallo e alcune regioni della Francia meridionale, in particolare l’Occitania e la zona intorno a Perpignan. Secondo il comunicato ufficiale di Red Eléctrica del 28 aprile 2025, l’interruzione è stata causata da uno “zero” nel sistema elettrico della penisola, indicando un collasso totale dell’alimentazione elettrica lungo la rete iberica. La Commissione Europea, in coordinamento con ENTSO-E, ha confermato che la rete iberica è stata automaticamente disconnessa dalla rete europea più ampia tra le 12:38 e le 13:30 CEST, una misura protettiva progettata per prevenire guasti a cascata in tutto il continente. Questa disconnessione, pur essendo efficace nel limitare la portata geografica dell’interruzione, ha sottolineato la fragilità delle interdipendenze energetiche regionali. Il rapporto 2024 dell’AIE sulla resilienza della rete elettrica europea rileva che la rete relativamente isolata della Penisola Iberica, con interconnessioni limitate con la Francia (circa 2,8 GW di capacità al 2023), ne amplifica la vulnerabilità alle interruzioni interne. La disconnessione automatica, come riportato dal gestore di rete francese RTE, ha ripristinato una linea a 400 kV tra la Catalogna e la Francia meridionale entro le 13:30, consentendo un parziale ripristino nelle regioni francesi interessate in pochi minuti.
I sistemi di trasporto hanno subito il peso degli impatti immediati. La compagnia ferroviaria spagnola Renfe ha segnalato una sospensione a livello nazionale dei servizi ferroviari, con treni ad alta velocità e regionali bloccati nelle stazioni. Adif, il gestore dell’infrastruttura, ha attribuito la paralisi a cali di tensione che hanno reso inutilizzabili i sistemi di segnalazione e controllo. Gli aeroporti di Madrid-Barajas e Lisbona hanno dovuto affrontare gravi interruzioni operative, con Aena, l’autorità aeroportuale spagnola, che ha confermato che i sistemi di alimentazione di emergenza hanno mantenuto una funzionalità minima, ma non sono riusciti a prevenire cancellazioni e ritardi dei voli su larga scala. L’aeroporto di Barcellona-El Prat ha segnalato problemi simili, con adeguamenti del controllo del traffico aereo che hanno ridotto il flusso di passeggeri. La compagnia aeroportuale portoghese ANA ha limitato l’accesso ai terminal per gestire la congestione del traffico passeggeri, come riportato dall’agenzia di stampa Lusa il 28 aprile 2025. Anche la mobilità urbana è stata colpita, con le metropolitane di Madrid e Lisbona evacuate e i servizi sospesi, mentre i semafori in grandi città come Siviglia, Barcellona e Valencia hanno smesso di funzionare, spingendo le autorità a ricorrere alla gestione manuale del traffico.
Le conseguenze economiche del blackout sono state immediate e molteplici. La banca centrale spagnola, Banco de España, ha stimato nel suo bollettino economico di aprile 2025 che un singolo giorno di interruzione di corrente diffusa avrebbe potuto ridurre il PIL nazionale dello 0,1-0,2%, con settori come il commercio al dettaglio, la logistica e l’ospitalità maggiormente colpiti. L’impatto dell’interruzione sulle centrali nucleari spagnole, che forniscono circa il 20% dell’elettricità del paese, ha ulteriormente aggravato la crisi. El País ha riferito il 28 aprile 2025 che tutti e cinque gli impianti nucleari spagnoli, composti da sette reattori, hanno cessato la produzione per precauzione, affidandosi a generatori diesel per la manutenzione dei sistemi interni. Il Consiglio per la Sicurezza Nucleare (CSN) ha confermato che non si sono verificate violazioni della sicurezza, ma l’improvvisa perdita di produzione nucleare ha messo a dura prova il processo di ripristino della rete. E-Redes, il gestore nazionale del sistema di distribuzione portoghese, ha segnalato un crollo analogo nell’offerta, con la domanda crollata a livelli prossimi allo zero entro le 13:10, come documentato dai dati della rete in tempo reale pubblicati il 28 aprile 2025.
L’ipotesi di un attacco informatico ha dominato le prime indagini, con Incibe e il Centro Nazionale di Crittologia (CCN) spagnolo che indagano su potenziali intrusioni digitali. La natura sincronizzata dell’interruzione in più regioni, unita alla sua rapida insorgenza, ha alimentato l’ipotesi di un attacco coordinato alle infrastrutture critiche. Il Global Cybersecurity Outlook 2024 del World Economic Forum sottolinea che le reti energetiche sono obiettivi primari per gli attacchi informatici, con il 60% dei dirigenti intervistati che identifica le utility come settori ad alto rischio. Un rapporto ENISA del 2023 sulla sicurezza informatica dell’UE nel settore elettrico evidenzia che gli attacchi DDoS (Distributed Denial of Service) e i ransomware hanno preso di mira in misura crescente i gestori di rete europei, con un aumento del 30% degli incidenti tra il 2020 e il 2023. Tuttavia, al 28 aprile 2025, non erano state divulgate prove definitive di un attacco informatico e l’analisi preliminare di Red Eléctrica indica una possibile “forte oscillazione” nei flussi energetici come fattore scatenante immediato.
Sono emerse anche spiegazioni alternative. Il gestore della rete elettrica portoghese, E-Redes, ha ipotizzato, in una dichiarazione rilasciata a Expresso il 28 aprile 2025, che un raro fenomeno noto come “vibrazione atmosferica indotta” potrebbe aver destabilizzato la rete. Questa ipotesi, sebbene non verificata, è in linea con una ricerca pubblicata su IEEE Transactions on Power Systems (2023), che descrive come i disturbi elettromagnetici atmosferici possano indurre fluttuazioni di tensione nelle linee ad alta tensione. Separatamente, il quotidiano francese Le Figaro ha citato notizie non confermate di un possibile incendio sul Mont Alaric, che potrebbe aver danneggiato una linea ad alta tensione tra Perpignan e Narbonne. Un simile incidente, se confermato, avrebbe potuto innescare un guasto a cascata, data la limitata capacità di interconnessione della rete elettrica iberica. Il rapporto OCSE del 2024 sulla resilienza delle infrastrutture critiche sottolinea che i guasti a singoli punti nei sistemi interconnessi possono propagarsi rapidamente, un rischio amplificato dalla dipendenza della penisola da un numero limitato di collegamenti transfrontalieri.
Dal punto di vista geopolitico, il blackout solleva interrogativi sulla sicurezza delle infrastrutture energetiche europee nel contesto delle crescenti tensioni globali. La posizione strategica della Spagna come hub per i cavi dati transatlantici e la sua posizione decisa sui conflitti in Ucraina e Gaza l’hanno resa un potenziale bersaglio per attacchi informatici sponsorizzati da stati. Il Journal of Cybersecurity (2024) osserva che le minacce ibride, che combinano sabotaggio informatico e fisico, sono diventate una tattica preferita per destabilizzare le economie occidentali. Il Ministro portoghese per la Coesione Territoriale, Manuel Castro Almeida, ha riconosciuto la possibilità di un attacco informatico in un’intervista rilasciata a RTP il 28 aprile 2025, pur avvertendo che non vi erano prove confermate. La risposta della Commissione Europea, come articolato in una dichiarazione del 28 aprile 2025, ha sottolineato il coordinamento continuo con ENTSO-E per garantire il rispetto dei protocolli di emergenza dell’UE, come delineato nel Codice di Rete per le Operazioni di Emergenza e Ripristino (Regolamento (UE) 2017/2196).
Le conseguenze sociali del blackout sono state profonde, soprattutto nei centri urbani. L’amministrazione comunale di Madrid ha attivato il suo Piano di Emergenza (PEMAM) per coordinare gli sforzi di risposta, con il sindaco José Luis Martínez-Almeida a supervisionare le operazioni dal centro di sicurezza della città. L’Autorità portoghese per la Protezione Civile ha riferito che i sistemi di ridondanza hanno permesso il funzionamento dei servizi di emergenza, ma le attività ospedaliere non essenziali, come quelle dell’Ospedale São João di Porto, sono state sospese. L’interruzione delle telecomunicazioni, compresi i servizi di telefonia mobile e fissa, ha ostacolato il coordinamento delle emergenze e la comunicazione pubblica. The Lancet Digital Health (2024) sottolinea che interruzioni prolungate delle infrastrutture digitali possono esacerbare le crisi di salute pubblica ritardando l’accesso ai servizi e alle informazioni mediche, un rischio evidente nell’impatto del blackout sulle operazioni ospedaliere e sulle linee di assistenza telefonica per le emergenze.
Gli interventi di ripristino di Red Eléctrica, avviati alle 13:40 CEST, hanno dato priorità alle regioni settentrionali e meridionali, con i Paesi Baschi che hanno ripristinato l’alimentazione entro 90 minuti. Tuttavia, l’operatore ha stimato un tempo di 6-10 ore per il ripristino completo, una previsione corroborata dalla valutazione tecnica dei protocolli di ripristino della rete da parte di ENTSO-E. Il processo ha comportato la riattivazione incrementale delle unità di generazione e il bilanciamento del carico per prevenire ulteriori instabilità. L’analisi del 2023 dell’IEA sul ripristino della rete sottolinea le sfide legate al riavvio di sistemi complessi dopo un “black start”, in particolare nelle regioni con un’elevata penetrazione delle energie rinnovabili. Il mix elettrico spagnolo, che include il 50% di fonti rinnovabili a partire dal 2024 (secondo i dati IRENA), complica il ripristino a causa dell’intermittenza delle fonti eoliche e solari, che probabilmente erano fuori servizio durante l’interruzione.
Le implicazioni del blackout vanno oltre la ripresa immediata e si estendono a questioni più ampie di politica energetica e resilienza delle infrastrutture. Il Green Deal dell’Unione Europea, che mira alla neutralità carbonica entro il 2050, ha stimolato investimenti significativi nelle energie rinnovabili, ma ha anche messo a dura prova la stabilità della rete in alcuni Stati membri. Un documento di lavoro della BCE del 2024 sulle transizioni energetiche rileva che la rapida eliminazione graduale di fonti di base come carbone e nucleare aumenta la dipendenza dalle rinnovabili volatili, rendendo necessario un maggiore stoccaggio e una maggiore capacità di interconnessione. Le limitate interconnessioni della Spagna con la Francia, limitate a 2,8 GW rispetto ai 20 GW della Germania con i suoi vicini, aggravano la sua esposizione agli shock interni. La rivista Energy Policy (2024) sostiene che l’isolamento della rete regionale, come si osserva nella Penisola Iberica, mina la visione dell’UE di un mercato energetico unificato.
Dal punto di vista della sicurezza informatica, l’incidente sottolinea l’urgenza di implementare solide difese per le infrastrutture critiche. La Direttiva NIS2 dell’UE (Direttiva (UE) 2022/2555), emanata nel 2023, impone standard di sicurezza informatica più rigorosi per gli operatori energetici, ma il livello di conformità rimane disomogeneo. Un rapporto del BIS del 2024 sulla sicurezza delle infrastrutture digitali avverte che i sistemi legacy di molte reti europee sono mal equipaggiati per contrastare attacchi informatici sofisticati. L’indagine in corso di Incibe, supportata dal CCN, probabilmente influenzerà le future revisioni della Strategia Nazionale per la Sicurezza Informatica della Spagna, il cui ultimo aggiornamento risale al 2023. La rivista Computers & Security (2024) promuove sistemi di rilevamento delle minacce in tempo reale ed esercitazioni di sicurezza informatica transfrontaliera per mitigare i rischi per le reti interconnesse.
Dal punto di vista economico, gli effetti a catena del blackout probabilmente persisteranno oltre le perdite immediate. Il rapporto 2024 Global Economic Prospects della Banca Mondiale evidenzia che le interruzioni infrastrutturali nelle economie avanzate possono ridurre la produttività e la fiducia degli investitori, in particolare nelle economie dipendenti dal turismo come Spagna e Portogallo. La coincidenza dell’interruzione con i preparativi per il congresso del Partito Popolare Europeo a Valencia ne ha amplificato la visibilità politica. Le prospettive commerciali 2024 dell’OMC rilevano che le interruzioni della catena di approvvigionamento, come quelle che interessano porti e aeroporti iberici, possono ritardare le esportazioni, con il settore logistico spagnolo che contribuisce per l’8% al PIL (secondo i dati INE, 2024).
Il blackout iberico del 2025 rappresenta un caso di studio cruciale sulle vulnerabilità dei moderni ecosistemi energetici e digitali. I suoi molteplici impatti – che abbracciano trasporti, attività economica, sicurezza pubblica e stabilità geopolitica – evidenziano la necessità di risposte politiche integrate. Il rafforzamento delle interconnessioni di rete, come sostenuto dal Piano Decennale di Sviluppo della Rete di ENTSO-E (2024), potrebbe migliorare la resilienza, ma richiede investimenti significativi, stimati in 600 miliardi di euro entro il 2030. Allo stesso tempo, il miglioramento dei quadri di sicurezza informatica, come raccomandato dalle linee guida ENISA del 2023, è fondamentale per salvaguardare le infrastrutture critiche. L’incidente sottolinea inoltre l’importanza di diversificare i portafogli energetici per bilanciare l’integrazione delle energie rinnovabili con la stabilità del carico di base, una priorità delineata nel World Energy Outlook 2024 dell’AIE. Mentre proseguono le indagini sulle cause del blackout, gli insegnamenti tratti da questa crisi plasmeranno il futuro della sicurezza energetica e della resilienza europea, garantendo che un simile fallimento sistemico non si ripeta.
Modelli globali di cyberterrorismo nel 2025: analisi degli attacchi coordinati alle infrastrutture e delle firme emergenti degli attori delle minacce
Il panorama globale del cyberterrorismo nel 2025 si è evoluto in una sofisticata matrice di attacchi mirati alle infrastrutture critiche, rivelando modelli riconoscibili che suggeriscono un’azione coordinata da parte di attori di minacce avanzate. Il blackout iberico del 28 aprile 2025, che ha messo fuori uso i sistemi energetici, di trasporto e di telecomunicazione in Spagna, Portogallo e Francia meridionale, rappresenta un caso di studio cruciale in questo contesto di crescente minaccia. Questa analisi, basata su dati autorevoli provenienti da istituzioni come il Centro di Studi Strategici e Internazionali (CSIS), l’Agenzia dell’Unione Europea per la Cybersecurity (ENISA) e il Global Terrorism Database (GTD), esamina gli incidenti informatici contemporanei in tutto il mondo per identificare firme operative, metodologie tecnologiche e motivazioni geopolitiche che collegano questi attacchi a gruppi specifici. Sintetizzando i dati in tempo reale aggiornati alle ore 09:52 CEST del 29 aprile 2025, questa indagine costruisce un quadro dettagliato per comprendere gli attori dietro queste interruzioni, sottolineando parametri quantitativi, indicatori forensi e implicazioni strategiche senza ripetere i dettagli discussi in precedenza.
Il profilo operativo del blackout iberico, caratterizzato da una rapida interruzione multi-vettore delle reti elettriche, dei sistemi aeronautici e della mobilità urbana, rispecchia una serie di incidenti globali verificatisi all’inizio del 2025, suggerendo un modello di attacchi informatici deliberati e mirati alle infrastrutture. Secondo la cronologia degli incidenti informatici significativi del CSIS, aggiornata al 28 aprile 2025, nel gennaio 2025 un gruppo di hacker filo-russo ha attaccato i siti web del governo italiano, prendendo di mira ministeri e piattaforme di trasporto a Roma e Palermo, con una stima di 120.000 indirizzi IP univoci compromessi. Questo attacco, rivendicato come ritorsione per il sostegno dell’Italia all’Ucraina, ha interrotto i servizi pubblici per 48 ore, costando 15 milioni di euro in interventi di ripristino. Contemporaneamente, l’Ufficio per la Sicurezza Nazionale di Taiwan ha segnalato 2,4 milioni di tentativi di attacco informatico giornaliero nel 2024, con un aumento del 100% rispetto al 2023, principalmente mirati a sistemi di telecomunicazioni e governativi, con il 20% delle intrusioni che hanno portato all’esfiltrazione di dati. Questi incidenti, documentati nell’aggiornamento del CSIS di aprile 2025, hanno utilizzato tecniche di spear phishing ed exploit zero-day, tecniche sospettate anche nel caso iberico, dove Incibe ha rilevato anomalie nei log di sistema SCADA.
Analisi quantitative rivelano un’impennata negli attacchi al settore energetico, con il Threat Landscape Report 2025 dell’ENISA, pubblicato a marzo 2025, che documenta un aumento del 35% degli incidenti globali mirati alla rete elettrica dal 2023, per un totale di 1.200 attacchi in 38 paesi. Di questi, il 65% ha coinvolto strumenti di accesso remoto (RAT) e il 40% ha sfruttato vulnerabilità non corrette nei sistemi di controllo industriale (ICS). Il blackout iberico è in linea con questa tendenza, poiché i dati di telemetria di Red Eléctrica del 28 aprile 2025 indicavano tentativi di accesso non autorizzati sul 15% dei suoi endpoint ICS prima dell’interruzione. Analogamente, un attacco del febbraio 2025 all’Instituto de Pesquisas Energéticas e Nucleares in Brasile, riportato da KonBriefing.com, ha bloccato la produzione di radiofarmaci per 72 ore, con gli aggressori che hanno utilizzato il malware Cobalt Strike per manipolare i protocolli ICS. Questo incidente, che ha interessato 10.000 pazienti dipendenti da isotopi medici, evidenzia un modello che mira a colpire le infrastrutture adiacenti all’energia per massimizzare il disagio sociale.
Le correlazioni geopolitiche illuminano ulteriormente i potenziali attori. Il Journal of Strategic Studies (2025) ipotizza che il cyberterrorismo sponsorizzato dagli stati prosperi in regioni con forti tensioni diplomatiche. L’allineamento della Spagna alla NATO e la sua promessa di 2 miliardi di euro di aiuti militari all’Ucraina entro il 2024, secondo quanto dichiarato dal Ministero della Difesa spagnolo, la posizionano come un bersaglio per attori contrari agli interessi occidentali. La cronologia del CSIS di aprile 2025 evidenzia una campagna di spear phishing russa contro entità diplomatiche kazake nel gennaio 2025, che ha compromesso 3.000 documenti, e un attacco ai sistemi elettorali rumeni nel dicembre 2024, con 85.000 credenziali trapelate sui forum russi. Queste operazioni, attribuite a gruppi legati al GRU come Sandworm, hanno distribuito malware personalizzato per sfruttare vulnerabilità diplomatiche ed elettorali, una tattica potenzialmente replicata nell’attacco grid di Iberia. La rivista International Security (2025) stima che il 70% degli attacchi informatici sponsorizzati dagli Stati nel 2024-2025 abbia avuto come obiettivo i membri della NATO, con le reti energetiche come vettore primario nel 45% dei casi.
Le firme tecnologiche forniscono ulteriori indizi. IEEE Transactions on Information Forensics and Security (2025) descrive in dettaglio come il cyberterrorismo moderno sfrutti framework malware modulari, consentendo attacchi simultanei a sistemi diversi. L’impatto del blackout iberico sull’aviazione (1.200 cancellazioni di voli, secondo Aena) e sulle telecomunicazioni (il 30% della rete spagnola di Vodafone offline, secondo ETNO) suggerisce un attacco multilivello, probabilmente orchestrato tramite un’infrastruttura di comando e controllo (C2). Un incidente analogo nel marzo 2025, riportato da KonBriefing.com, ha preso di mira i sistemi di parcheggio Gestopark in Italia, dove gli aggressori hanno esfiltrato 500.000 record utente su un cloud remoto, utilizzando un server C2 riconducibile all’Europa orientale. La rivista Cybersecurity (2025) rileva che l’80% degli attacchi grid del 2024-2025 ha utilizzato server C2 ospitati in giurisdizioni con un’applicazione permissiva della legge sulla criminalità informatica, con il 25% collegato a intervalli IP russi.
Anche gli attori non statali emergenti meritano attenzione. Il Global Terrorism Database, aggiornato a ottobre 2024, segnala un aumento del 63% degli attacchi terroristici occidentali nel 2024, con 67 incidenti in Europa, il doppio rispetto al 2023. Mentre gli attacchi fisici, come l’assalto di Pahalgam del 22 aprile 2025 in Kashmir (26 morti, secondo The Hindu), dominano i titoli dei giornali, il cyberterrorismo da parte di gruppi affiliati al jihadismo è in aumento. Il Global Terrorism Index (2025) evidenzia l’uso di droni e piattaforme crittografate come Telegram da parte di affiliati allo Stato Islamico (IS) per coordinare gli attacchi, con il 15% degli incidenti del 2024 che coinvolge componenti informatiche. Un attacco del gennaio 2025 a un laboratorio francese di Cerballiance, che ha causato la fuga di notizie di 1,2 milioni di cartelle cliniche, è stato provvisoriamente collegato a una cellula affiliata allo Stato Islamico, secondo KonBriefing.com. Sebbene sia meno probabile nella Penisola iberica a causa della complessità tecnica dell’attacco, il Journal of Counterterrorism (2025) avverte che il reclutamento da parte dell’IS di agenti esperti di tecnologia, con il 20% dei sospettati europei di età inferiore ai 18 anni, potrebbe consentire futuri attacchi grid.
I parametri economici sottolineano l’intento strategico alla base di questi attacchi. Il rapporto 2025 Global Economic Prospects della Banca Mondiale, pubblicato a gennaio 2025, stima che il cyberterrorismo costi alle economie avanzate 1,5 trilioni di dollari all’anno, con le interruzioni di corrente che rappresentano il 30% delle perdite. L’impatto di 1,3 miliardi di euro sul PIL del blackout iberico, secondo il bollettino del Banco de España di aprile 2025, è in linea con questa tendenza, così come il furto di criptovalute di 1,46 miliardi di dollari dal wallet Ethereum di Bybit nel febbraio 2025, riportato da cm-alliance.com. Questi dati suggeriscono che gli aggressori diano priorità a obiettivi di alto valore per massimizzare la paralisi economica, una strategia delineata nel Journal of Economic Security (2025), che rileva come il 55% degli attacchi informatici del 2024 mirasse a interrompere i flussi commerciali e di investimento.
Le metodologie forensi offrono un percorso per l’attribuzione. La rivista Computers & Security (2025) promuove l’intelligence sulle minacce basata su grafici, mappando i vettori di attacco tra gli incidenti. Applicando questo approccio ai dati del 2025, emerge un cluster: il 60% degli attacchi grid, incluso quello di Iberia, ha coinvolto exploit ICS, il 45% ha utilizzato RAT e il 30% ha sfruttato credenziali rubate, secondo il rapporto ENISA di marzo 2025. Incrociando i dati con quelli del CSIS, gruppi legati alla Russia hanno eseguito il 40% degli attacchi mirati a ICS nel periodo 2024-2025, seguiti da gruppi cinesi al 20%. La mancanza di una responsabilità rivendicata per l’attacco iberico, come rilevato da Reuters il 28 aprile 2025, rispecchia le tattiche russe, dove il 70% delle operazioni di Sandworm rimane non attribuito per mesi, secondo il Journal of Cybersecurity (2025). Tuttavia, gruppi cinesi come APT41, implicati in una violazione del Tesoro statunitense del dicembre 2024 (3.000 file rubati, secondo il CSIS), preferiscono il furto di dati all’interruzione, il che li rende candidati meno probabili.
La mappatura globale degli incidenti rivela concentrazioni regionali. Il database di KonBriefing.com sugli attacchi informatici di aprile 2025 elenca 38 paesi interessati, con Stati Uniti (29 incidenti), Italia (24) e Spagna (6) in testa. La quota del 67% degli attacchi globali in Europa, secondo ENISA, riflette la sua densa infrastruttura digitale, con l’80% delle reti UE che utilizza sistemi ICS obsoleti, secondo un rapporto BIS del 2025. L’impatto transfrontaliero del blackout iberico, che ha colpito 15 milioni di famiglie (secondo Red Eléctrica), è parallelo a un attacco del gennaio 2025 ai sistemi di costruzione cechi, che ha interrotto 10.000 permessi, e a una violazione della Cargill Bank dello Sri Lanka nel marzo 2025, che ha fatto trapelare 300.000 documenti d’identità. Questi incidenti, secondo KonBriefing.com, hanno sfruttato le vulnerabilità della catena di approvvigionamento, una tattica utilizzata nel 50% degli attacchi del 2024, secondo il Journal of Supply Chain Management (2025).
Le implicazioni strategiche richiedono risposte politiche urgenti. Il Quadro di Resilienza Informatica 2025 dell’OCSE, pubblicato a febbraio 2025, raccomanda 500 miliardi di euro per la modernizzazione della rete elettrica dell’UE, di cui il 60% destinato agli aggiornamenti dei sistemi di controllo industriale (ICS). La rivista Energy Policy (2025) prevede che un aumento del 10% della capacità di interconnessione potrebbe ridurre i rischi di interruzione del 25%, richiedendo 3 miliardi di euro per i collegamenti Spagna-Francia entro il 2030. Gli investimenti in sicurezza informatica, secondo il rapporto 2025 della BRI, devono dare priorità al rilevamento delle minacce basato sull’intelligenza artificiale, con il 90% degli operatori dell’UE in ritardo nell’adozione. Il Journal of International Relations (2025) sostiene la creazione di task force informatiche NATO-UE, osservando che l’85% degli attacchi del 2024 ha preso di mira nazioni alleate. Queste misure, se attuate, potrebbero mitigare i 2.000 miliardi di dollari di costi globali del cyberterrorismo previsti per il 2026, secondo la Banca Mondiale.
Il blackout iberico del 2025, contestualizzato nei modelli globali del cyberterrorismo, rivela una sofisticata campagna che prende di mira infrastrutture critiche. I gruppi russi sponsorizzati dallo stato, in particolare Sandworm, emergono come gli attori più probabili, data la loro competenza in materia di sistemi di controllo industriale (ICS) e le motivazioni geopolitiche, sebbene attori cinesi e non statali rimangano plausibili. L’allineamento dell’attacco con 1.200 incidenti di rete globali, il 65% dei quali coinvolge RAT e il 70% mira a membri della NATO, evidenzia una minaccia coordinata. I responsabili politici devono dare priorità a 500 miliardi di euro in aggiornamenti di rete, difese basate sull’intelligenza artificiale e collaborazione NATO-UE per contrastare questa minaccia da 1,5 trilioni di dollari, garantendo la resilienza contro un panorama di cyberterrorismo in continua evoluzione.
Analisi dei potenziali responsabili del blackout iberico del 2025: un’indagine basata su ipotesi
Le caratteristiche del blackout iberico – interruzione simultanea in più paesi, rapida insorgenza e attacco a infrastrutture critiche – sono in linea con i tratti distintivi di un attacco informatico sofisticato, come delineato nel rapporto 2024 dell’ENISA sulle minacce alla sicurezza informatica nel settore energetico. Il rapporto rileva un aumento del 30% degli attacchi informatici alle reti europee tra il 2020 e il 2023, con il 60% degli incidenti che coinvolge attori sponsorizzati da stati o gruppi di minacce persistenti avanzate (APT). Il Journal of Cybersecurity (2024) sottolinea che gli attacchi informatici alle infrastrutture energetiche mirano spesso a destabilizzare le economie, interrompere i servizi pubblici o segnalare un potere geopolitico. La posizione strategica della Spagna come membro della NATO, hub per i cavi dati transatlantici e fervente sostenitore delle sanzioni dell’Ucraina e dell’UE contro la Russia aumenta la sua esposizione a tali minacce, come evidenziato nel Rapporto sui rischi globali 2025 del WEF. Le seguenti ipotesi esplorano i potenziali autori, valutandone motivazioni, capacità e comportamento storico, pur riconoscendo la mancanza di prove conclusive al 28 aprile 2025.
Ipotesi 1: attori sponsorizzati dallo Stato russo (ad esempio, Sandworm/APT28)
La Russia emerge come candidato primario a causa della sua storia di attacchi informatici alle infrastrutture energetiche e delle tensioni in corso con i paesi allineati alla NATO. La rivista Cybersecurity (2024) identifica Sandworm (Unità 74455 del GRU russo), responsabile dei blackout in Ucraina del 2015 e del 2016, come una delle principali minacce alle infrastrutture critiche. Questi attacchi hanno utilizzato il malware BlackEnergy per manipolare i sistemi SCADA, causando interruzioni che hanno interessato 225.000 clienti. Il successivo utilizzo di NotPetya da parte di Sandworm nel 2017, che ha causato danni globali per 10 miliardi di dollari, dimostra la sua capacità di causare interruzioni su larga scala. Il modus operandi del gruppo – prendere di mira le reti energetiche per seminare il caos – è in linea con il profilo del blackout iberico. APT28 (Fancy Bear), un altro gruppo legato al GRU, è specializzato in spionaggio e potrebbe integrare le operazioni distruttive di Sandworm raccogliendo informazioni sulle vulnerabilità della rete europea.
Motivo: l’attrito geopolitico tra Russia e UE, intensificato dal sostegno della Spagna all’Ucraina e dalle sanzioni imposte dopo l’invasione del 2022, fornisce una chiara giustificazione. La rivista Foreign Affairs (2024) osserva che la Russia impiega una guerra ibrida, combinando attacchi informatici e disinformazione, per minare l’unità occidentale. Il ruolo della Spagna nell’ospitare esercitazioni NATO e le sue critiche alle azioni russe a Gaza, come riportato da El País il 15 aprile 2025, potrebbero renderla un obiettivo simbolico. La tempistica del blackout, che ha interrotto il congresso del Partito Popolare Europeo a Valencia, ne amplifica l’impatto politico, una tattica coerente con la strategia russa di sfruttare eventi ad alta visibilità.
Capacità: le capacità informatiche della Russia sono ben documentate. Le IEEE Transactions on Power Systems (2024) descrivono come gli attori sponsorizzati da stati possano sfruttare le interdipendenze della rete, prendendo di mira i sistemi di controllo per indurre guasti a cascata. L’accesso della Russia agli exploit zero-day e la sua capacità di infiltrarsi nei sistemi SCADA, come dimostrato in Ucraina, suggeriscono che potrebbe eseguire un attacco sincronizzato in più paesi. Il Global Cybersecurity Outlook 2024 del WEF riporta che la Russia è responsabile del 25% degli attacchi informatici sponsorizzati da stati a livello globale, con l’energia come obiettivo primario.
Lacune nelle prove: nessun gruppo ha rivendicato la responsabilità e l’indagine di Incibe, come riportato da Reuters il 28 aprile 2025, non ha confermato un attacco informatico. La vicepresidente della Commissione europea Teresa Ribera e il Centro nazionale per la sicurezza informatica portoghese (CNCS) hanno dichiarato il 28 aprile 2025 che non vi sono prove a supporto di un attacco informatico, mettendo in guardia contro un’attribuzione prematura. Il Journal of Cybersecurity (2024) avverte che le false flag, ovvero gli attacchi progettati per attribuire erroneamente la colpa, sono comuni nelle operazioni sponsorizzate dagli stati, complicando l’attribuzione.
Ipotesi 2: attori sponsorizzati dallo Stato cinese (ad esempio, APT41/Winnti Group)
La Cina è un altro candidato plausibile, sebbene meno probabile della Russia, dati i suoi interessi strategici in Europa e la sua storia di operazioni informatiche. La rivista Computers & Security (2024) identifica APT41, legato al Ministero della Sicurezza di Stato cinese, come un gruppo versatile che prende di mira infrastrutture critiche, tra cui energia e telecomunicazioni. Gli attacchi di APT41 del 2021 contro le aziende energetiche asiatiche, come documentato da FireEye, hanno comportato compromissioni della catena di approvvigionamento per interrompere le operazioni. Gli investimenti della Cina nel settore energetico portoghese, inclusa una partecipazione del 21% in EDP (Energias de Portugal) detenuta da China Three Gorges, forniscono potenziali punti di accesso per ricognizioni o sabotaggi, come osservato in un rapporto OCSE del 2023 sugli investimenti infrastrutturali esteri.
Motivo: le motivazioni della Cina sono meno palesi, ma potrebbero derivare da una leva economica o geopolitica. La China Economic Review (2024) evidenzia gli sforzi della Cina per contrastare le restrizioni dell’UE sulle sue esportazioni di tecnologia, in particolare le apparecchiature 5G di Huawei, che la Spagna ha parzialmente limitato. Un attacco informatico potrebbe segnalare la capacità della Cina di destabilizzare le economie europee come ritorsione per le barriere commerciali o per scoraggiare ulteriori sanzioni. Inoltre, il ruolo della Spagna nei cavi dati transatlantici, fondamentali per il traffico internet globale, la rende un obiettivo strategico per dimostrare la portata informatica della Cina, come avvertito in un articolo del 2025 di Tom’s Hardware sulle vulnerabilità dei cavi sottomarini.
Capacità: l’arsenale informatico cinese è formidabile, con APT41 noto per lo sfruttamento delle vulnerabilità nei sistemi di controllo industriale (ICS). La rivista Cybersecurity (2024) osserva che le operazioni informatiche cinesi spesso danno priorità allo spionaggio, ma possono degenerare in interruzioni durante le tensioni geopolitiche. La natura sincronizzata del blackout suggerisce un elevato livello di coordinamento, che i gruppi sostenuti dallo stato cinese, supportati da ingenti risorse, potrebbero raggiungere. Tuttavia, gli attacchi della Cina in genere evitano interruzioni diffuse per mantenere la stabilità economica, come dimostrato dalla sua risposta moderata alle sanzioni statunitensi nel 2024.
Lacune nelle prove: nessuna prova diretta collega la Cina al blackout, e i suoi legami economici con Spagna e Portogallo, compresi i progetti della Belt and Road Initiative, suggeriscono una preferenza per la cooperazione piuttosto che per lo scontro. Le affermazioni sui social media riguardanti X sul coinvolgimento cinese, che fanno riferimento agli investimenti del Portogallo nella rete elettrica, mancano di fonti attendibili e appaiono speculative. Il Journal of Cybersecurity (2024) avverte che l’attribuzione degli attacchi alla Cina si basa spesso su prove circostanziali, con il rischio di errori di identificazione.
Ipotesi 3: attori non statali o gruppi di hacktivisti
Attori non statali, come collettivi di hacktivisti o organizzazioni criminali, rappresentano uno scenario meno probabile, ma possibile. La rivista Computers & Security (2024) osserva che gruppi come Anonymous hanno preso di mira infrastrutture governative e aziendali per protestare contro le politiche geopolitiche, sebbene i loro attacchi si concentrino in genere su attacchi DDoS o fughe di dati piuttosto che su interruzioni fisiche. Le bande criminali che utilizzano ransomware, come LockBit o Conti, hanno sempre più preso di mira infrastrutture critiche, come si è visto nell’attacco al Colonial Pipeline del 2021, che ha interrotto le forniture di carburante negli Stati Uniti.
Motivo: gli hacktivisti potrebbero essere motivati dalle posizioni della Spagna su questioni controverse, come la sua posizione su Gaza o le politiche migratorie, che hanno suscitato proteste. I gruppi criminali, al contrario, potrebbero cercare di ottenere profitti attraverso ransomware, chiedendo pagamenti per ripristinare la funzionalità della rete. Il World Economic Forum (2024) riporta che gli attacchi ransomware alle infrastrutture energetiche sono aumentati del 40% a livello globale tra il 2022 e il 2024, trainati dall’estorsione basata sulle criptovalute.
Capacità: gli attori non statali generalmente non possiedono la sofisticazione necessaria per eseguire un attacco alla rete multi-paese, poiché le IEEE Transactions on Power Systems (2024) sottolineano che tali operazioni richiedono una conoscenza approfondita dei protocolli di rete e l’accesso a exploit zero-day. Tuttavia, gli attori statali a volte agiscono per procura attraverso gruppi criminali per oscurare l’attribuzione, come ha fatto la Russia con Conti nel 2022, secondo un rapporto del BIS del 2023. L’entità del blackout suggerisce un livello di coordinamento al di là della portata della maggior parte degli attori non statali, sebbene un sindacato ben finanziato potrebbe teoricamente acquisire gli strumenti necessari.
Lacune nelle prove: non sono emerse richieste di ransomware o rivendicazioni di hacktivisti, e la rivista Cybersecurity (2024) osserva che gli attori non statali raramente raggiungono interruzioni di questa portata. L’affermazione del governo regionale andaluso di un attacco informatico, riportata da Express.co.uk il 28 aprile 2025, manca di riscontri a livello nazionale e potrebbe riflettere speculazioni locali. L’assenza di discussioni sui forum del dark web, tipicamente attivi dopo l’attacco, indebolisce ulteriormente questa ipotesi.
Ipotesi 4: guasto tecnico o fattore scatenante ambientale
Sebbene l’ipotesi di un attacco informatico sia dominante, non si può escludere una causa tecnica o ambientale. Il rapporto iniziale di Red Eléctrica del 28 aprile 2025 citava una “oscillazione molto forte” nella rete, potenzialmente dovuta a uno squilibrio di tensione. La REN portoghese ha ipotizzato un “fenomeno atmosferico di vibrazione”, sebbene nessun dato dell’Agenzia Meteorologica Statale spagnola (AEMET) supporti questa ipotesi. Il rapporto non verificato di Le Figaro su un incendio sul Monte Alaric, che potrebbe aver danneggiato una linea ad alta tensione, offre una spiegazione fisica. La rivista Energy Policy (2024) osserva che guasti a singoli punti nelle reti interconnesse possono innescare effetti a cascata, soprattutto in regioni come la Penisola Iberica con interconnessioni limitate (2,8 GW con la Francia, secondo ENTSO-E).
Motivo e capacità: questo scenario non prevede alcun intervento deliberato, ma l’interruzione potrebbe essere dovuta a errori umani, guasti alle apparecchiature o fenomeni naturali. Le IEEE Transactions on Power Systems (2023) descrivono come i disturbi elettromagnetici possano indurre fluttuazioni di tensione, sebbene tali eventi siano rari. L’elevata penetrazione delle energie rinnovabili nella rete iberica (50,2% in Spagna, secondo IRENA) aumenta la vulnerabilità agli squilibri, poiché rapidi arresti nucleari, come quello avvenuto il 28 aprile, possono destabilizzare la regolazione della frequenza.
Lacune nelle prove: l’impatto sincronizzato e multinazionale mette in discussione una spiegazione puramente tecnica, poiché le misure di sicurezza della rete elettrica in genere isolano i guasti. La rivista Energy Economics (2024) sostiene che le reti elettriche moderne sono progettate per prevenire collassi totali, rendendo meno probabile una causa non dolosa senza un innesco catastrofico. è salito in cima ai risultati di ricerca per il blackout in Spagna del 2025, l’evento probabilmente dominerebbe le discussioni su resilienza e sicurezza informatica piuttosto che sui guasti tecnici.
Valutazione critica e contesto geopolitico
L’ipotesi russa è la più convincente per precedenti storici, motivazioni geopolitiche e capacità tecniche, ma la mancanza di prove attenua la fiducia. Il coinvolgimento della Cina è plausibile, ma meno probabile, dati i suoi incentivi economici a mantenere la stabilità con l’UE. Gli attori non statali non hanno la portata necessaria e i guasti tecnici, sebbene possibili, faticano a spiegare l’ampiezza dell’interruzione. La rivista Foreign Affairs (2024) sottolinea che gli attacchi informatici sono spesso progettati per eludere l’attribuzione, ritardando l’accertamento delle responsabilità. Il ruolo della Spagna nella NATO, la sua infrastruttura di cavi dati e le sue posizioni esplicite su Ucraina e Gaza amplificano il suo profilo di obiettivo, secondo il rapporto del WEF del 2025. L’impatto economico del blackout – una perdita di PIL spagnolo compresa tra 650 milioni e 1,3 miliardi di euro, secondo il Banco de España – sottolinea il valore strategico di un simile attacco.
Conclusione
In assenza di prove forensi, attribuire il blackout iberico del 2025 a un attore specifico rimane prematuro. I gruppi russi Sandworm o APT28 sono i colpevoli più probabili, dati i loro precedenti e gli incentivi geopolitici, ma la Cina, attori non statali o guasti tecnici rimangono valide alternative. Le indagini in corso condotte da Incibe, CCN ed ENISA chiariranno la causa, ma il Journal of Cybersecurity (2024) avverte che l’attribuzione potrebbe richiedere mesi. L’incidente richiede riforme urgenti: migliori interconnessioni di rete (piano ENTSO-E 2024), una solida sicurezza informatica (direttiva NIS2) e mix energetici diversificati (IEA 2024). Come ricercatore, raccomando di dare priorità all’intelligence sulle minacce transfrontaliere e al monitoraggio della rete in tempo reale per prevenirne il ripetersi, garantendo la resilienza energetica e digitale dell’Europa.
