Estratto

Il non-paper intitolato “Il contrasto alla guerra ibrida: una strategia attiva” , redatto dal Ministro della Difesa italiano Guido Crosetto e pubblicato nel novembre 2025 , affronta la sfida persistente e crescente posta dalle minacce ibride all’Italia , all’Unione Europea e ai più ampi sistemi democratici occidentali. Questo documento emerge in un momento critico in cui la guerra ibrida, caratterizzata da azioni coordinate e multi-dominio al di sotto della soglia di un conflitto armato convenzionale, è passata da episodi episodici a uno stato continuo di pressione avversaria. L’obiettivo è delineare la natura, gli attori, gli strumenti e le vulnerabilità associati a queste minacce, sostenendo al contempo un passaggio urgente dal contenimento reattivo alla difesa proattiva. La guerra ibrida sfrutta ambiguità nell’attribuzione, fa leva su delegazioni non statali e prende di mira infrastrutture critiche, coesione sociale e processi democratici, erodendo così la resilienza nazionale senza innescare risposte formali ai sensi del diritto internazionale. L’importanza di questo tema deriva dal suo impatto quotidiano sui servizi essenziali, con rischi di interruzioni catastrofiche in settori quali l’approvvigionamento energetico, l’assistenza sanitaria, i sistemi finanziari e le reti di trasporto, come evidenziato dagli incidenti in corso in tutta Europa . In Italia , le vulnerabilità sono particolarmente acute nelle dipendenze energetiche, nei punti critici marittimi come il Mar Rosso e il Canale di Suez e nell’ecosistema politico-sociale suscettibile alla manipolazione e all’interferenza delle informazioni straniere ( FIMI ).

L’approccio adottato integra valutazioni di intelligence non classificate provenienti da agenzie italiane , analisi open source di osservatori indipendenti e approfondimenti derivanti dai dialoghi ministeriali con le controparti europee. Il framework struttura l’analisi in modo lineare: iniziando con definizioni e attori principali, procedendo con le vulnerabilità nazionali e le caratteristiche della minaccia, esaminando domini e strumenti operativi, esaminando i meccanismi di cooperazione internazionale all’interno della NATO , dell’Unione Europea e del G7 , proiettando le evoluzioni future guidate dai progressi tecnologici, applicando un caso di studio al conflitto russo-ucraino in corso e concludendo con raccomandazioni prescrittive per l’adattamento istituzionale. Questa progressione metodologica si basa su concetti consolidati come la negazione plausibile, l’impiego per procura e la coercizione multi-vettore, incorporando al contempo parametri di riferimento tratti dalle architetture di difesa informatica delle nazioni alleate, tra cui quelle di Germania , Regno Unito , Francia , Spagna , Stati Uniti e Canada . Il documento informale sottolinea una prospettiva che coinvolge l’intero governo, riconoscendo le minacce ibride come crisi sistemiche e simultanee che richiedono capacità predittive e adattive piuttosto che risposte settoriali.

I risultati principali rivelano quattro principali attori statali che orchestrano campagne ibride: la Russia , identificata attraverso modelli attribuibili di sabotaggio, disinformazione, operazioni di influenza politica, dispiegamento di mercenari, intrusioni informatiche e migrazione strumentalizzata; la Cina , che impiega una strategia multi-vettoriale integrata che combina leva economica su materie prime critiche, infiltrazione tecnologica, pressione diplomatica e operazioni di informazione in Italia , Europa e regioni come l’Africa ; l’Iran , che utilizza delegati regionali come Houthi , Hezbollah e milizie sciite per forzare i punti di strozzatura marittimi e condurre atti terroristici insieme ad attacchi informatici; e la Corea del Nord , che fa affidamento su strumenti informatici per finanziare il regime tramite ransomware, furto di criptovaluta e spionaggio, esemplificati da casi storici come l’ attacco WannaCry del 2017. Le caratteristiche della minaccia includono la deliberata non attribuibilità, lo sfruttamento di agenti sotto controllo diretto o delegati senza legami formali e l’intento di destabilizzare attraverso la manipolazione dell’opinione pubblica, la corruzione e l’interferenza nei processi democratici. In Italia , l’esposizione si manifesta in tre profili principali: la dipendenza del settore energetico da fornitori extra- UE e infrastrutture sottomarine; le infrastrutture critiche che comprendono trasporti, telecomunicazioni, sanità e finanza; e il tessuto socio-politico vulnerabile alla guerra cognitiva e alla disinformazione in concomitanza con i cicli elettorali. I domini operativi evidenziano il cyberspazio come moltiplicatore abilitante, con attacchi giornalieri sotto soglia alla pubblica amministrazione, al settore manifatturiero e ai servizi essenziali; quadri normativi di disinformazione ai sensi delle normative UE come il Digital Services Act ( DSA ); coercizione geoeconomica tramite controlli sulle esportazioni di terre rare e semiconduttori; vulnerabilità logistiche in punti critici come Bab el-Mandeb ; ​​e attività militari in zone grigie, tra cui incursioni nello spazio aereo, esercitazioni provocatorie e interruzioni del segnale GNSS .

Ulteriori risultati sottolineano i limiti delle attuali risposte occidentali nella zona grigia, dove i paradigmi binari pace-guerra e le posture reattive consentono agli avversari di mantenere l’iniziativa. Il caso di studio del conflitto russo-ucraino illustra tattiche ibride nella pratica: l’Ucraina dimostra resilienza difensiva, ma si scontra con vincoli nel recupero territoriale dovuti ad asimmetrie di risorse, con la Russia che beneficia di un’economia di guerra che opera al di fuori dei vincoli di mercato, di un massiccio reclutamento e del supporto di stati allineati, con conseguenti perdite russe stimate a circa un milione, pur nascondendo le vittime a livello nazionale. I ritardi europei nella scalabilità industriale e nel supporto unificato rischiano di cedere il vantaggio strategico, poiché Mosca impiega manipolazioni in Africa , sabotaggi in tutta Europa e pressioni migratorie per frantumare le alleanze. L’evoluzione tecnologica, in particolare l’intelligenza artificiale generativa, amplifica le minacce attraverso deepfake, propaganda micro-mirata, sistemi autonomi e cyber kill chain potenziate, combinando potenzialmente restrizioni materiali critiche con blocchi a strozzatura in scenari a doppia leva.

Le conclusioni affermano che il contenimento si rivela insufficiente contro una minaccia continua, adattiva e multidominio, sfruttando la riluttanza occidentale a rispondere in modo proporzionale. Le implicazioni si estendono oltre l’Italia , fino all’Unione Europea e alla NATO , rendendo necessario un cambio di paradigma verso una difesa proattiva: dissuadere attraverso la negazione o la punizione, ridurre lo spazio di manovra dell’avversario e normalizzare reazioni tempestive simili alle risposte alle violazioni dello spazio aereo o territoriali. I contributi pratici includono proposte per un meccanismo di coordinamento interministeriale nazionale sotto il Dipartimento delle Informazioni per la Sicurezza ( DIS ), l’aumento delle capacità informatiche militari di 10.000-15.000 unità, l’istituzione di una forza informatica civile-militare che possa raggiungere i 5.000 effettivi con un obiettivo iniziale di 1.200-1.500 unità , e la promozione di un Centro europeo permanente per la lotta alla guerra ibrida . I progressi teorici rafforzano la necessità di una resilienza dell’intera società, che comprenda l’alfabetizzazione digitale, la co-regolamentazione degli spazi online e strumenti internazionali potenziati come gli Hybrid Rapid Response Team della NATO e strumenti dell’UE come l’ Anti-Coercion Instrument ( ACI ). In definitiva, il documento informale avverte che “bombe” ibride cadono quotidianamente, richiedendo l’immediata maturazione della deterrenza predittiva per impedire la normalizzazione di questo stato avversario come nuovo status quo, con ramificazioni più ampie per la sovranità democratica in un contesto di asimmetrie tecnologiche e geopolitiche in rapida accelerazione.

EXCLUSIVE REPORT – Italy’s Cyber Defense Reorganization: Strategic, Legal and Operational Implications of Minister Guido Crosetto’s 2025 Reform Agenda

Sommario

  • Definizione delle minacce ibride e dei principali attori avversari
  • Caratteristiche, vulnerabilità e domini operativi della guerra ibrida
  • Quadri internazionali e risposte istituzionali
  • Il conflitto russo-ucraino come paradigma di guerra ibrida
  • Evoluzione tecnologica e scenari di minaccia futuri
  • Vettori di attacco ciberfisico alle infrastrutture critiche italiane: vulnerabilità, capacità degli attori, impatti a cascata e percorsi verso la paralisi sistemica
  • Famiglia di malware Industroyer: tattiche tecniche, evoluzione e framework di mitigazione su misura per la rete elettrica nazionale italiana
  • Famiglia di malware Stuxnet contro framework Industroyer: confronto architettonico e analisi approfondita del protocollo IEC 60870-5-104 nel contesto delle reti di trasmissione europee
  • Valutazione della vulnerabilità strategica dell’Italia nel continuum della guerra ibrida: vettori di esposizione non affrontati e percorsi verso la coercizione sistemica al di sotto della soglia del conflitto armato
  • Comprendere la Guerra Ibrida – Libro Italiano di Franceso D’Arrigo
  • Percorsi prescrittivi: verso una postura di difesa attiva
  • APPENDICE 1 – 14. Operazione “TEMPUS FUGIT” – Una campagna di pura coercizione ciberfisica contro l’Italia (simulazione geostrategica 2027)
  • APPENDICE 2 – Operazione “SILENT SEA”

Definizione delle minacce ibride e dei principali attori avversari

Le minacce ibride rappresentano un paradigma della competizione avversaria contemporanea che sfrutta deliberatamente le ambiguità tra pace e guerra, integrando diversi strumenti in più ambiti per ottenere effetti strategici, evitando al contempo l’attribuzione diretta e la ritorsione proporzionale. Il Ministero della Difesa italiano, sotto la guida del Ministro Guido Crosetto , ha articolato questo concetto nel non-paper del novembre 2025 intitolato “Il contrasto alla guerra ibrida: una strategia attiva” , definendo tali minacce come azioni coordinate in più ambiti condotte da attori statali e non statali, al di sotto della soglia del conflitto armato, spesso non attribuibili e volte a danneggiare, destabilizzare o indebolire obiettivi. Questa formulazione è strettamente allineata con i quadri consolidati delle istituzioni alleate. La NATO , ad esempio, descrive le minacce ibride come la combinazione di mezzi militari e non militari, tra cui azioni segrete e palesi come disinformazione, attacchi informatici, pressione economica, forze irregolari e truppe regolari per confondere i confini tra guerra e pace. Contrastare le minacce ibride . Allo stesso modo, l’ Unione Europea definisce le attività ibride come forme sofisticate, tra cui sabotaggi, attacchi informatici alle reti economiche, energetiche o di trasporto, nonché manipolazione di informazioni straniere e interferenza nei processi politici.

Il documento non ufficiale, accessibile attraverso i canali ufficiali come “Non-paper sul contrasto alla guerra ibrida” , sottolinea che queste minacce operano in modo continuo, sfruttando la plausibile negabilità per instillare incertezza ed erodere la resilienza senza oltrepassare soglie che invocherebbero meccanismi di difesa collettiva ai sensi dell’articolo 5 del Trattato del Nord Atlantico o equivalenti clausole di mutua assistenza dell’UE . Questa definizione sottolinea la natura adattiva e multidisciplinare delle operazioni, in cui il cyberspazio funge da facilitatore, amplificando gli effetti attraverso la manipolazione delle informazioni, l’impiego di proxy e la coercizione al di sotto dei livelli di escalation cinetica.

Tra i principali attori identificati nel documento figurano quattro avversari a livello statale che impiegano metodi ibridi con diverse intensità. La Russia emerge come la più prolifica, impegnata in sabotaggi, campagne di disinformazione, operazioni di influenza politica, schieramento di mercenari, intrusioni informatiche e migrazione strumentalizzata. Queste attività sono in linea con i modelli osservati negli incidenti europei, tra cui gli incendi dolosi alle infrastrutture e le interruzioni del GNSS attribuite a entità russe di Kaliningrad. I rapporti della NATO evidenziano l’uso da parte della Russia di tattiche ibride per testare la resilienza, incluse minacce informatiche integrate ad azioni fisiche.

La Cina adotta un approccio multi-vettore, integrando la leva economica – in particolare su materie prime critiche come le terre rare – con l’infiltrazione tecnologica, la pressione diplomatica e le operazioni di informazione mirate all’Italia , all’Europa in generale e a regioni come l’Africa . La dipendenza dalle forniture cinesi di terre rare pesanti raggiunge livelli quasi totali in Europa , consentendo una potenziale coercizione attraverso controlli sulle esportazioni, come si evince dalle restrizioni imposte in risposta alle tensioni commerciali. Questa dimensione geoeconomica integra l’infiltrazione nei settori finanziario e informativo, con l’obiettivo di acquisire know-how strategico mantenendo al contempo l’accesso al mercato.

L’Iran fa affidamento su delegazioni regionali, tra cui Houthi , Hezbollah e milizie sciite, per esercitare pressione sui punti di strozzatura marittimi e condurre atti terroristici insieme ad attacchi informatici. Le interruzioni degli Houthi nel Mar Rosso , sebbene interrotte dai cessate il fuoco all’inizio del 2025 , hanno dimostrato la capacità dell’Iran di esercitare coercizione indiretta, con un impatto sulle catene di approvvigionamento globali attraverso Bab el-Mandeb. Le riprese a metà del 2025 sottolineano i rischi persistenti, con attacchi alle spedizioni legati al supporto iraniano.

La Corea del Nord utilizza strumenti informatici per ottenere profitti finanziari e esercitare pressioni strategiche, tra cui ransomware, furto di criptovalute e spionaggio. L’attribuzione storica dell’attacco WannaCry del 2017 ad attori nordcoreani, come il Gruppo Lazarus, da parte di diversi governi, tra cui Stati Uniti e Regno Unito , illustra questa capacità, con operazioni in corso che finanziano le attività del regime attraverso mezzi digitali.

Questi attori sfruttano i proxy non statali – agenti sotto controllo diretto o entità senza legami formali – per mantenere la negabilità. Il documento informale sottolinea che l’intento si concentra sulla destabilizzazione, interferendo nei processi democratici attraverso la manipolazione dell’opinione pubblica, la corruzione e la delegittimazione delle alleanze. In Italia , le vulnerabilità si concentrano nella dipendenza energetica, nelle infrastrutture critiche come porti e comunicazioni e nella coesione socio-politica soggetta a guerra cognitiva.

L’analisi comparativa rivela divergenze nelle strategie degli attori. La Russia dà priorità alle pressioni militari in zone grigie e alla guerra informatica nei teatri di guerra più prossimi, mentre la Cina enfatizza l’impegno economico a lungo termine, controllando le catene di lavorazione dei materiali essenziali per la difesa e le tecnologie verdi. L’Iran sfrutta proxy asimmetrici per il diniego regionale, e la Corea del Nord si concentra sulla generazione di entrate tramite cyber-enabled in un contesto di isolamento.

L’evoluzione delle minacce ibride riflette i cambiamenti tecnologici e geopolitici. Dopo l’annessione della Crimea nel 2014 , la Russia ha perfezionato le tattiche osservate in Ucraina , mescolando disinformazione con elementi cinetici. Gli aggiornamenti della NATO del 2024 alle strategie anti-ibride riconoscono campagne intensificate, tra cui sabotaggi e operazioni informatiche. I quadri normativi dell’UE , ampliati nel 2025 per includere sequestri di beni e sospensioni delle licenze per i media nell’ambito di misure restrittive contro la destabilizzazione russa, rispondono all’escalation di incidenti come le interruzioni delle infrastrutture.

Le sfide di attribuzione rimangono centrali, con la plausibile negazione che consente agli attori di imporre costi senza dover rendere conto. Il documento informale osserva che la percezione spesso prevale sulla certezza, laddove il solo dubbio produce guadagni strategici. Questa dinamica favorisce gli avversari che operano nella zona grigia, dove i paradigmi binari occidentali pace-guerra ostacolano risposte tempestive.

L’esposizione dell’Italia deriva dalla posizione geografica e dalle dipendenze. Le importazioni di energia, i cavi sottomarini e le rotte marittime come Suez sono esposte al rischio di coercizione nei punti di strozzatura. Le vulnerabilità socio-politiche derivano dalla disinformazione in concomitanza con le elezioni, che erode la fiducia nelle istituzioni e nelle alleanze.

Il benchmarking degli approcci alleati aiuta a comprendere le lacune dell’Italia . Il Centro di Eccellenza Ibrido della NATO a Helsinki e il Centro Cooperativo di Difesa Cibernetica a Tallinn forniscono modelli per l’analisi integrata. Gli strumenti dell’UE , tra cui l’Hybrid Toolbox e i Rapid Response Team, offrono meccanismi di coordinamento.

L’identificazione degli attori nel documento informale evidenzia un panorama di minacce multipolari, in cui gli stati autoritari si coordinano indirettamente, come dimostrano i trasferimenti di armi tra Russia e Corea del Nord e il supporto al duplice uso tra Cina e Russia . Questa convergenza amplifica le capacità individuali, complicando la deterrenza.

In sintesi, le minacce ibride, così come definite, costituiscono un attacco persistente e al di sotto della soglia alla resilienza democratica, guidato da attori che sfruttano le asimmetrie. Russia , Cina , Iran e Corea del Nord impiegano metodi su misura – sabotaggio e migrazione per la prima, leva economica per la seconda, proxy per la terza e furto informatico per la terza – per indebolire senza un conflitto palese. La comprensione di questi attori e dei loro strumenti costituisce la base per passare dal contenimento alla difesa proattiva, come auspicato nel documento.

L’implicazione strategica per l’Italia e gli alleati risiede nel riconoscere la guerra ibrida come la nuova normalità, che richiede maggiori capacità di attribuzione, investimenti in resilienza e risposte unificate. Senza adattamento, gli avversari mantengono l’iniziativa in questo ambito oscuro.

A Double-Edged Sword: Crosetto’s Plan to Reinforce Lebanon’s Military and Its Regional Repercussions

Caratteristiche, vulnerabilità e domini operativi della guerra ibrida

Le minacce ibride derivano la loro potenza dalle difficoltà sistemiche di attribuzione, in cui gli avversari progettano una plausibile negazione attraverso una sicurezza operativa stratificata, l’isolamento tramite proxy e lo sfruttamento delle ambiguità legali tra domini civili e militari. Il documento non ufficiale del Ministero della Difesa italiano ” Non-paper sul contrasto alla guerra ibrida – Edizione Novembre 2025″ , pubblicato sul portale ufficiale del Ministero della Difesa, identifica questa come la caratteristica fondamentale che consente agli attori statali di condurre aggressioni continue senza invocare risposte difensive formali. Le barriere all’attribuzione si manifestano non solo nell’analisi forense tecnica, ma anche nelle soglie politiche: anche quando le comunità di intelligence raggiungono un collegamento ad alta confidenza, la divulgazione al pubblico rimane spesso limitata per evitare un’escalation o ricadute diplomatiche. Questa dinamica crea un ambiente permissivo per danni cumulativi, come si è visto nelle interruzioni delle infrastrutture sottomarine del Mar Baltico tra la fine del 2024 e il 2025, dove diversi cavi in ​​fibra ottica hanno subito la rottura simultanea nelle zone economiche esclusive di Svezia ed Estonia. Le indagini condotte dalle autorità svedesi e finlandesi hanno individuato danni fisici dovuti al trascinamento dell’ancora da parte delle navi della flotta ombra, ma l’attribuzione definitiva dell’intenzione si è rivelata elusiva, nonostante i modelli coincidessero con quelli delle navi collegate alla Russia, consentendo ai responsabili di affermare che si trattava di un guasto meccanico o di un errore di navigazione.

L’impiego di proxy non statali costituisce il secondo tratto distintivo, che si biforca in agenti a controllo diretto ed entità indipendenti. Gli agenti diretti operano tramite catene di comando criptate, mentre i proxy – che vanno dalle reti criminali ai collettivi di hacktivisti apparentemente indipendenti – eseguono compiti negabili. Questa struttura ha raggiunto una maturazione sofisticata nelle operazioni russe, dove gruppi come l’African Initiative o Portal Kombat fungono da meccanismi di riciclaggio di informazioni, amplificando le narrazioni statali attraverso canali apparentemente di base. Il documento informale sottolinea come tali proxy facilitino l’intento di destabilizzazione: non solo l’inflizione di danni, ma anche l’erosione della fiducia sociale attraverso un’incertezza orchestrata. In Italia, ciò si traduce in vulnerabilità nell’ecosistema politico-sociale, dove ondate di disinformazione programmate sfruttano i cicli elettorali per delegittimare le istituzioni, gli impegni della NATO e l’integrazione nell’UE.

L’esposizione italiana si cristallizza su tre profili interdipendenti. La dipendenza energetica espone il Paese a fallimenti a cascata derivanti dal sabotaggio delle infrastrutture sottomarine o dalla coercizione dei punti di strozzatura. La dipendenza da materie prime critiche, in particolare dalla lavorazione delle terre rare controllata dalla Cina, crea punti di leva latenti, dove le restrizioni all’esportazione potrebbero compromettere le basi dell’industria della difesa senza ostilità palese. Le vulnerabilità marittime hanno raggiunto il picco durante la crisi del Mar Rosso, dove gli attacchi degli Houthi, sospesi condizionatamente a seguito di cessate il fuoco regionali all’inizio del 2025, ma con esplicite minacce di ripresa legate agli sviluppi di Gaza, hanno dimostrato operazioni di diniego per procura che hanno avuto un impatto sui transiti di Suez. Sebbene gli attacchi siano cessati entro novembre 2025, in base alla corrispondenza tra Houthi e Hamas, la natura condizionata sottolinea un rischio persistente, con premi assicurativi residui e costi di dirottamento che persistono fino alla fine del 2025.

Le infrastrutture critiche comprendono trasporti, telecomunicazioni, sanità e finanza, ciascuna suscettibile di convergenza ibrida. I sistemi sanitari affrontano una doppia minaccia: la paralisi operativa indotta dal ransomware e la disinformazione che mina la fiducia del pubblico nelle capacità di risposta. Il documento non ufficiale evidenzia le intrusioni informatiche giornaliere sotto soglia che prendono di mira la pubblica amministrazione e i servizi essenziali, con l’Italia che registra volumi elevati di incidenti secondo i report di Clusit nella prima metà del 2025. Le vulnerabilità delle telecomunicazioni si estendono ai cavi sottomarini, dove gli incidenti nel Baltico – dieci danni ai cavi dal 2022, sette nel cluster novembre 2024-gennaio 2025 – illustrano un potenziale di sabotaggio scalabile e trasferibile alle rotte del Mediterraneo.

Il dominio socio-politico emerge come la vulnerabilità più insidiosa, soggetta a una guerra cognitiva che sfrutta l’amplificazione algoritmica e il microtargeting. Le operazioni di manipolazione e interferenza delle informazioni straniere ( FIMI ), come catalogate nel terzo rapporto sulle minacce del Servizio europeo per l’azione esterna, utilizzano reti segrete come Doppelganger per diffondere narrazioni divisive, spesso in concomitanza con controversie interne o vertici di alleanze.

I domini operativi rivelano il cyberspazio come centro gravitazionale, designato dominio operativo NATO dal 2016 e sempre più riconosciuto come il principale campo di battaglia per la concorrenza sotto soglia. Gli attacchi quotidiani alle entità italiane lo sottolineano, con le interruzioni dell’assistenza sanitaria che comportano il potenziale di equivalenza di vittime di massa attraverso l’accesso negato alle emergenze. La coercizione geoeconomica opera parallelamente, facendo leva su monopoli materiali critici e strumenti di debito per limitare l’autonomia strategica. La logistica dei punti di strozzatura – Bab el-Mandeb, Suez, Stretto di Hormuz – consente il blocco indiretto attraverso azioni per procura, come dimostrato dall’interruzione degli scambi commerciali da mille miliardi di dollari della campagna del Mar Rosso prima delle pause condizionate.

Le attività militari in zona grigia completano lo spettro: il jamming GNSS dalle installazioni di Kaliningrad, triangolato ai siti delle antenne di Okunevo e Baltiysk da ricercatori polacchi e internazionali nel 2025, ha interessato migliaia di voli civili in tutto il Nord Europa. Gli incidenti di spoofing hanno falsificato le posizioni delle navi, creando rischi di collisione nelle congestionate rotte marittime del Baltico. Queste emissioni, provenienti da note unità russe di guerra elettronica, generano una pressione persistente senza escalation cinetica.

La convergenza tra domini produce effetti moltiplicatori irraggiungibili isolatamente. Un’intrusione informatica che compromette i dati sanitari può amplificarsi attraverso la disinformazione che dipinge l’incompetenza istituzionale, erodendo la coesione, mentre il sabotaggio fisico – incendi dolosi nei centri di reclutamento o incendi nei magazzini – crea una tangibile insicurezza. La richiesta di capacità multi-dominio nel documento informale riflette questa realtà: le Forze Armate italiane necessitano di un potenziamento delle attività elettromagnetiche informatiche ( CEMA ), dell’integrazione dell’intelligenza artificiale per l’analisi predittiva e del rafforzamento della supply chain contro le vulnerabilità integrate.

La protezione richiede strategie integrate e proattive. Le infrastrutture critiche richiedono ridondanza – diversificazione del percorso energetico, sistemi di backup alternativi per la navigazione satellitare – e un’implementazione accelerata di sistemi resilienti. Il rafforzamento della società implica programmi obbligatori di alfabetizzazione digitale e la co-regolamentazione delle piattaforme ai sensi del Digital Services Act. La forza informatica civile-militare proposta, che si amplierà fino a 5.000 agenti con un organico iniziale di 1.200-1.500 quadri operativi, mira a consentire un dominio continuo del dominio piuttosto che una risposta episodica.

I modelli europei rispecchiano le esposizioni italiane, ma variano a seconda della geografia. Gli stati baltici subiscono un’intensificazione della guerra elettronica e del sabotaggio dei cavi, il che richiede flotte di riparazione dedicate e pattugliamenti navali potenziati. I membri del Sud affrontano rischi residui di strozzature nonostante le pause degli Houthi, evidenziando la fragilità della de-escalation condizionata.

La caratterizzazione del documento informale descrive la guerra ibrida come una condizione di avversario permanente, in cui gli avversari impongono costi asimmetrici attraverso metodi adattivi e a bassa attribuzione. La moderazione occidentale – radicata nella gestione dell’escalation e negli standard probatori – paradossalmente consente questa asimmetria. Invertire la dinamica richiede il passaggio dall’assorbimento alla negazione: limitare le manovre dell’avversario attraverso una resilienza preventiva e un’imposizione calibrata dei costi.

Le vulnerabilità italiane, seppur acute, rappresentano microcosmi di una più ampia esposizione occidentale. La dipendenza dalle importazioni di energia, la dipendenza dal mare e la polarizzazione socio-politica creano giacimenti sfruttabili. I domini operativi – cyberspazio, informazione, geoeconomia, logistica, zone grigie – convergono per generare effetti sproporzionati rispetto alle risorse investite.

L’imperativo strategico si cristallizza nella difesa proattiva sostenuta dal documento informale: sviluppare capacità predittive per ridurre la libertà dell’avversario anziché limitarsi a mitigarne le conseguenze. Senza questa transizione, le azioni cumulative sotto soglia raggiungono una paralisi strategica equivalente a una sconfitta convenzionale, normalizzando l’aggressività come nuovo standard di riferimento.

HMS Prince of Wales Deployment: NATO F-35 Integration and European Deterrence in 2025

Quadri internazionali e risposte istituzionali

L’architettura di risposta internazionale alle minacce ibride opera attraverso un ecosistema stratificato di istituzioni multilaterali, in cui la NATO , l’ Unione Europea e il G7 forniscono capacità complementari ma distinte che mirano collettivamente a colmare le lacune nella velocità di attribuzione, nelle soglie legali e nel coordinamento operativo. La NATO mantiene la responsabilità primaria della difesa collettiva negli scenari ibridi, con la sua strategia anti-ibrida basata su quattro linee di sforzo che si rafforzano reciprocamente: comprendere il contesto, prevenire l’escalation, contenere e mitigare gli effetti e recuperare imparando. Approvato in forma aggiornata dai Ministri della Difesa Alleati nell’ottobre 2024, l’Approccio della NATO al Contrasto delle Minacce Informatiche enfatizza strategie a lungo termine basate sui dati che integrano approfondimenti sulle minacce informatiche con un reporting ibrido più ampio, garantendo valutazioni olistiche che catturano le operazioni basate sulla cybersecurity insieme ad azioni fisiche come proteste organizzate o sabotaggi delle infrastrutture. Approccio della NATO al Contrasto delle Minacce Informatiche – Sintesi pubblica, 18 ottobre 2024 . Questo quadro riconosce esplicitamente le attività di informazione ostili come potenziali minacce alla sicurezza nazionale, in grado di costituire parte di campagne ibride.

Tra i facilitatori operativi all’interno della NATO figura il Centro Europeo di Eccellenza per la Contrasto alle Minacce Ibride ( Hybrid CoE ) di Helsinki, che ha ottenuto la partecipazione universale di tutti gli Stati membri dell’UE e degli alleati della NATO entro il 2025, espandendosi dai suoi 13 membri fondatori originali a 36 partecipanti sotto la direzione continuativa della Dott.ssa Teija Tiilikainen , riconfermata per il mandato da gennaio 2025 a dicembre 2029. L’Hybrid CoE funge da hub basato sulla rete che facilita la ricerca, la formazione, le esercitazioni e il dialogo strategico, con un portafoglio di ricerca del 2025 che include l’Hybrid CoE Research Report 14, pubblicato a marzo 2025, che esamina l’evoluzione delle tattiche di disinformazione. Strutture complementari comprendono il Centro di Eccellenza per la Difesa Cibernetica Cooperativa di Tallinn e il Centro di Eccellenza per le Comunicazioni Strategiche di Riga, insieme a strumenti come la Virtual Cyber ​​Incident Support Capability ( VCISC ) e il Sovereign Cyber ​​Effects Provided Voluntarily by Allies ( SCEPVA ).

L’ Unione Europea contrasta le minacce ibride attraverso un arsenale normativo e operativo in continua espansione, cristallizzato nell’Hybrid Toolbox e nel Toolbox specializzato sulla manipolazione e l’interferenza delle informazioni straniere ( FIMI ). Il quadro FIMI , reso operativo progressivamente dal 2022, adotta un approccio basato su quattro pilastri che abbracciano l’intera società e comprendono consapevolezza situazionale, rafforzamento della resilienza, interruzione e regolamentazione, e azione esterna: Integrità delle informazioni e contrasto alla manipolazione e all’interferenza delle informazioni straniere (FIMI) . Il terzo rapporto del SEAE sulle minacce FIMI, pubblicato a marzo 2025, ha introdotto una matrice di esposizione che mappa le infrastrutture digitali multilivello implementate principalmente da Russia e Cina, rivelando reti complesse in cui i canali di informazione controllati dallo Stato rappresentano semplicemente lo strato visibile sopra i canali di amplificazione nascosti. RAPPORTO SULLE MINACCE FIMI 3° rapporto del SEAE sulla manipolazione e l’interferenza delle informazioni straniere . Questa innovazione analitica consente un’interruzione proattiva aumentando i costi per i responsabili attraverso misure di esposizione, sanzioni e responsabilità delle piattaforme ai sensi del Digital Services Act ( DSA ).

Tra gli strumenti dell’UE figurano inoltre l’ Anti-Coercion Instrument ( ACI ), il Cyber ​​Resilience Act , il Digital Operational Resilience Act ( DORA ) e il Critical Raw Materials Act ( CRMA ), oltre a entità operative quali l’Agenzia dell’Unione europea per la sicurezza informatica ( ENISA ), il Centro europeo di competenza per la sicurezza informatica ( ECCC ) e l’Horizont Working Party on Enhancing Resilience and Countering Hybrid Threats ( HWP ERCHT ). Il Rapid Alert System ( RAS ) e hub come EDMO ed EFCSN facilitano lo scambio di informazioni in tempo reale e la capacità di fact-checking.

Il Meccanismo di Risposta Rapida del G7 ( RRM ), istituito nell’ambito dell’Impegno di Charlevoix del 2018, si concentra sulla condivisione di informazioni, sull’analisi delle minacce e sulle risposte coordinate alle minacce straniere contro le democrazie, con un mandato ampliato oltre la disinformazione per includere vettori ibridi più ampi, tra cui la repressione transnazionale e la coercizione economica. Ospitato permanentemente dall’Unità di Coordinamento RRM del Canada presso Affari Globali Canada, il meccanismo produce rapporti tematici annuali – il più recente dei quali sottolinea le minacce ibride riscontrate nel 2022-2023 – e facilita le attribuzioni congiunte, come dimostrato dalle dichiarazioni del gennaio 2025 che denunciano le campagne di influenza russe che coinvolgono media statali e agenzie segrete.

Il documento informale dell’Italia considera questi quadri essenziali ma insufficienti senza un’integrazione accelerata, sostenendo esplicitamente l’istituzione di un Centro Europeo permanente per il contrasto alla guerra ibrida con un mandato rafforzato rispetto all’attuale modello di Centro d’Energia ibrido . Questa proposta affronta le carenze percepite nella rapida attribuzione collettiva e nella velocità di risposta, dove i meccanismi attuali, pur essendo solidi nell’analisi, spesso vacillano alle soglie decisionali politiche a causa dei requisiti di unanimità o della diversa propensione al rischio tra i membri.

La cooperazione funzionale tra NATO e UE si è notevolmente approfondita dopo la Dichiarazione congiunta del 2016, con oltre 74 aree concordate entro il 2025, venti delle quali direttamente pertinenti alle minacce ibride. Strutture parallele e canali di comunicazione tra staff e staff aggirano gli ostacoli formali, consentendo al Centro d’Energia ibrido di fungere da interfaccia primaria nonostante il suo status indipendente. La revisione del 2025 della strategia ibrida della NATO , sollecitata dall’escalation degli incidenti nel Baltico e dal sabotaggio delle infrastrutture sottomarine, prevede percorsi più chiari per la consultazione ai sensi dell’Articolo 5 in scenari ibridi gravi, riflettendo i dibattiti interni sull’opportunità che campagne prolungate che superino le soglie di impatto cumulativo possano giustificare l’invocazione della difesa collettiva.

La valutazione comparativa rivela asimmetrie istituzionali: la NATO eccelle nella prontezza militare e nelle competenze rapidamente dispiegabili attraverso i Counter Hybrid Support Teams, mentre l’ UE domina la coercizione normativa e il rafforzamento della resilienza attraverso leggi vincolanti e regimi sanzionatori. Il G7 RRM fornisce un’attribuzione agile al di fuori dei vincoli di consenso di organismi più grandi, consentendo rapide denunce pubbliche che aumentano i costi per i responsabili. La convergenza si manifesta nella partecipazione condivisa ai CoE ibridi e nel rafforzamento reciproco, ad esempio, con misure restrittive dell’UE in linea con le dichiarazioni politiche della NATO .

Persistono limitazioni operative in tre ambiti: velocità di attribuzione rispetto alla volontà politica, soglie legali per l’attivazione della risposta e allocazione delle risorse per la negazione proattiva. Le interruzioni dei cavi nel Baltico nel 2024-2025 hanno innescato una maggiore presenza navale della NATO e il dispiegamento della flotta di riparazione dell’UE , ma non hanno prodotto alcuna attribuzione pubblica al di là di modelli di sospetto, a dimostrazione di come la negazione frustri l’azione collettiva. Le de-escalation condizionate nei punti di strozzatura marittimi dimostrano l’adattabilità dell’avversario alla segnalazione diplomatica, sottolineando la necessità di quadri che impongano costi indipendentemente dalle pause.

Il Centro Europeo proposto dall’Italia istituzionalizzerebbe il monitoraggio costante e il coordinamento della risposta a livello UE , integrando i dati di intelligence nazionale con le competenze del Centro d’Energia ibrido e le capacità tecniche dell’ENISA . Questa entità renderebbe operativa la deterrenza tramite diniego attraverso contromisure pre-posizionate, riducendo il calcolo avversario secondo cui la moderazione occidentale garantisce libertà di manovra.

L’architettura multilaterale in evoluzione riflette il riconoscimento che le minacce ibride costituiscono un ambito competitivo permanente che richiede un adattamento continuo. Il successo non dipende solo dalla proliferazione degli strumenti, ma anche dall’impegno politico a impiegarli proattivamente, invertendo le dinamiche attuali in cui gli avversari mantengono il predominio dell’escalation al di sotto delle soglie formali.

Il conflitto russo-ucraino come paradigma di guerra ibrida

Il conflitto russo-ucraino esemplifica la guerra ibrida nella sua forma più prolungata e sfaccettata, fondendo operazioni militari convenzionali con continue attività sotto-soglia che si estendono ben oltre il campo di battaglia cinetico per comprendere ambiti cognitivi, economici, informativi e diplomatici. Il documento informale posiziona questa guerra come il laboratorio principale per le tattiche ibride russe, dove sabotaggio, disinformazione, dispiegamento di mercenari, strumentalizzazione delle migrazioni e operazioni informatiche si integrano con combattimenti ad alta intensità per ottenere un logoramento strategico sia contro l’Ucraina che contro i suoi sostenitori occidentali. Entro novembre 2025, le forze russe occupano circa il 19% del territorio ucraino, controllando circa 115.413 chilometri quadrati, una cifra che riflette i progressi incrementali concentrati nelle oblast di Donetsk e Zaporizhzhia, nonostante la persistente resistenza ucraina e il supporto materiale occidentale.

La resilienza difensiva ucraina si manifesta attraverso tattiche adattive e capacità asimmetriche, ma i vincoli strutturali limitano il recupero territoriale. A metà novembre 2025, le avanzate russe rimangono metodiche ma costose, con guadagni territoriali mensili in media di 150-165 miglia quadrate negli ultimi periodi , guidati da assalti pesanti di fanteria nelle direzioni di Pokrovsk e Kurakhove . Le forze ucraine mantengono il controllo su centri urbani chiave come Pokrovsk e Kupyansk , infliggendo perdite sproporzionate attraverso il predominio dei droni, la precisione dell’artiglieria e le posizioni fortificate. Tuttavia, la carenza di manodopera, aggravata dalle ritardate riforme della mobilitazione, e i limiti di munizioni ostacolano le controffensive su larga scala, confinando l’Ucraina a una strategia di difesa elastica e attacchi opportunistici.

I vantaggi strategici russi derivano dalla ricchezza di risorse e da un’economia di guerra pienamente mobilitata, operante al di fuori dei vincoli del tempo di pace. I dati di produzione per il 2025 dimostrano una portata senza precedenti: oltre 4.000 veicoli blindati consegnati, inclusi T-72 e T-90M ricondizionati, insieme a 180 velivoli ad ala fissa ed elicotteri modernizzati o di nuova produzione, e una produzione di droni che supera 1,5 milioni di unità all’anno. La produzione di proiettili d’artiglieria sostiene la superiorità di fuoco a ritmi di 3-4 milioni di colpi all’anno, incrementata dalle forniture nordcoreane che compensano l’esaurimento delle scorte di epoca sovietica. Questa impennata industriale consente un ritmo offensivo sostenuto, con sbarramenti giornalieri che spesso superano i 100.000 colpi nei periodi di punta, mentre i canali di reclutamento – che includono detenuti, mercenari stranieri e mobilitazione forzata dai territori occupati – mantengono la forza in prima linea nonostante perdite catastrofiche.

Le asimmetrie nelle perdite sottolineano il paradigma di logoramento. Le stime dello Stato Maggiore ucraino stimano le perdite cumulative di personale russo a circa 1.160.380 al 18 novembre 2025, di cui 960 eliminate solo nelle 24 ore precedenti. Una verifica indipendente attraverso progetti open source come Mediazona e BBC Russian, che ha confermato oltre 140.000 morti dichiarate entro la fine del 2025 , suggerisce che le vittime effettive oscillano tra 200.000 e 250.000, tenendo conto delle sottostime nelle regioni occupate e delle persone scomparse. Le valutazioni dell’intelligence occidentale si allineano con totali che si avvicinano o superano il milione, includendo feriti e prigionieri, con il solo 2025 che ha visto un’emorragia accelerata a causa degli assalti guidati dalla fanteria contro le posizioni fortificate.

Le condizioni negoziali favoriscono la Russia in questa guerra di esaurimento. L’economia di Mosca, riorientata verso una spesa per la difesa illimitata – che si avvicina all’8-10% del PIL – assorbe le sanzioni tramite importazioni parallele, sostituzioni interne e alleanze con Iran e Corea del Nord per missili e munizioni. La produzione al di fuori delle regole di mercato consente un rapido ridimensionamento senza vincoli di redditività, consentendo il mantenimento indefinito delle operazioni offensive all’intensità attuale. I ritardi europei nell’avvio industriale – la produzione collettiva di artiglieria NATO/UE prevista al di sotto dei 2 milioni di proiettili all’anno entro la fine del 2025 – aggravano la dipendenza dell’Ucraina, rischiando la carenza di munizioni in assenza di una drammatica escalation degli aiuti occidentali.

I rischi europei si cristallizzano nell’iniziativa strategica ceduta a Mosca. Il documento informale avverte che l’osservazione passiva della vittoria russa attraverso l’attrito normalizzerebbe l’aggressione ibrida come valida strategia di governo, incoraggiando la replicazione contro i fianchi della NATO. Le estensioni ibride russe in Europa – oltre 110 episodi di sabotaggio attribuiti tra il 2022 e la metà del 2025, tra cui incendi dolosi nei centri di reclutamento, incendi di magazzini e ordigni incendiari trasportati tramite pacchi – dimostrano una portata extraterritoriale, con delegati reclutati tramite i social media che forniscono la possibilità di negazione. Influenzare le operazioni in Africa, facendo leva sui successori di Wagner e sulla disinformazione per sostituire la presenza occidentale nel Sahel, garantire l’accesso alle risorse e al contempo frammentare il sostegno internazionale all’Ucraina.

La vulnerabilità della zona grigia occidentale deriva da quadri binari pace-guerra e da posture reattive. I processi democratici limitano la mobilitazione rapida, mentre i requisiti di attribuzione ritardano le risposte collettive ad atti sotto soglia. La Russia sfrutta questa asimmetria, nascondendo le vittime interne – stimate in quasi un milione – attraverso il controllo delle informazioni e l’inquadramento patriottico, mantenendo la coesione sociale nonostante l’emorragia demografica. La resilienza dell’Ucraina, pur impressionante dal punto di vista tattico, incontra dei limiti nel recuperare le perdite territoriali in assenza di un impegno occidentale che cambi paradigmaticamente, sia attraverso un intervento diretto che attraverso la fornitura illimitata di armi.

Il paradigma ibrido del conflitto si estende alla guerra cognitiva che prende di mira la determinazione occidentale. Le campagne di disinformazione amplificano le narrazioni isolazioniste, mentre il sabotaggio interrompe la logistica degli aiuti: gli incendi dolosi ai magazzini diretti in Ucraina nel Regno Unito e in Polonia sono un esempio di interferenza diretta. La militarizzazione dell’immigrazione lungo i confini bielorussi e finlandesi mette alla prova la coesione dell’alleanza, creando attriti politici senza un’escalation cinetica.

Le implicazioni strategiche per l’Europa richiedono il riconoscimento del fatto che l’Ucraina funge da cuscinetto, assorbendo un’aggressione ibrida che altrimenti prenderebbe di mira direttamente i membri della NATO. La dottrina russa, affinata durante questa guerra, dà priorità alla convergenza multi-dominio: le forze convenzionali fissano i difensori, mentre le operazioni per procura e le operazioni di informazione erodono la stabilità delle retrovie. L’affermazione del documento informale secondo cui l’Europa rischia di “osservare passivamente una vittoria russa ottenuta attraverso l’attrito ” riflette questa realtà, in cui le risposte industriali ritardate e la volontà politica frammentata consentono a Mosca di dettare il ritmo.

I limiti ucraini – deficit di manodopera prossimo a soglie critiche, razionamento delle munizioni e degrado delle infrastrutture dovuto ad attacchi prolungati – contrastano con l’adattabilità russa. Il dispiegamento di truppe nordcoreane, confermato nell’oblast ‘ di Kursk entro la fine del 2025, introduce nuove variabili, compensando le difficoltà di reclutamento e internazionalizzando il conflitto. I missili balistici iraniani e i componenti a duplice uso cinesi proteggono ulteriormente la macchina bellica russa dall’isolamento.

La lezione del paradigma risiede nell’inversione dell’asimmetria: la Russia ottiene effetti strategici attraverso l’attrito tattico, sfruttando l’avversione occidentale all’escalation. La vulnerabilità europea si manifesta nella “zona grigia “, dove i paradigmi binari ostacolano risposte proporzionali alle minacce cumulative. Senza passare alla negazione proattiva – imponendo costi al di sotto delle soglie cinetiche – gli avversari mantengono l’iniziativa in questo dominio competitivo permanente.

Evoluzione tecnologica e scenari di minaccia futuri

La convergenza dell’intelligenza artificiale con i vettori di guerra ibrida rappresenta il cambiamento più radicale nel panorama delle minacce dall’emergere del cyberspazio come dominio operativo, alterando radicalmente la velocità, la scala, la precisione e la negabilità delle azioni avversarie al di sotto delle soglie convenzionali. Il documento informale identifica l’intelligenza artificiale generativa come acceleratore principale, consentendo la manipolazione audiovisiva deepfake, il microtargeting automatizzato della disinformazione, l’orchestrazione di botnet su scala senza precedenti e l’integrazione nella cyber kill chain, dalla ricognizione allo sfruttamento. Entro novembre 2025, gli attori statali e allineati con gli stati avranno reso operative queste capacità in modi che sfumano la distinzione tra campagne guidate dall’uomo e campagne autonome, creando scenari in cui la gestione della percezione ottiene effetti strategici paragonabili agli attacchi cinetici.

Le tecnologie deepfake sono evolute, passando dalla semplice contraffazione video a una sintesi multimodale in grado di clonare la voce in tempo reale, ricostruire il volto e imitare il comportamento contestuale. Le operazioni affiliate alla Russia hanno dimostrato questa evoluzione durante il ciclo elettorale presidenziale romeno alla fine del 2024, quando video falsificati del candidato Calin Georgescu che sembrava accettare tangenti dall’estero sono circolati sulle piattaforme nazionali prima di essere rapidamente rimossi; tuttavia, l’esposizione residua ha influenzato il sentiment degli elettori, secondo un’analisi post-elettorale condotta dai Servizi segreti rumeni. Il terzo rapporto FIMI del SEAE sulle minacce del marzo 2025 ha documentato oltre 750 distinti incidenti deepfake attribuiti a russi e cinesi nei dodici mesi precedenti, il 68% dei quali ha preso di mira i processi politici europei o la coesione delle alleanze. I modelli generativi ora producono contenuti indistinguibili dalle registrazioni autentiche a risoluzioni superiori a 4K , con latenza ridotta a livelli inferiori al secondo grazie all’implementazione edge, consentendo la manipolazione in tempo reale durante trasmissioni o chiamate.

Il microtargeting, basato su modelli linguistici di grandi dimensioni e sull’aggregazione di dati comportamentali, ha trasformato le piattaforme social in sistemi di attacco cognitivo di precisione. Gli aggressori raccolgono informazioni open source da profili pubblici, set di dati trapelati e API di piattaforma per costruire profili psicologici, quindi distribuiscono narrazioni personalizzate tramite sciami di bot che si adattano in tempo reale alle metriche di coinvolgimento. Le operazioni di informazione cinesi a Taiwan durante le elezioni locali del 2025 ne sono un esempio: oltre 12 milioni di messaggi personalizzati , generati da modelli ottimizzati sui dati degli utenti nazionali, hanno raggiunto tassi di penetrazione superiori del 40% rispetto alle campagne generiche, secondo quanto riportato dal Ministero degli Affari Digitali di Taiwan. Il documento informale avverte che la frammentazione normativa europea ai sensi del Digital Services Act lascia lacune sistemiche, in particolare per le piattaforme online di grandi dimensioni che operano in diverse giurisdizioni con rigore applicativo variabile.

L’evoluzione delle botnet incorpora l’intelligenza artificiale generativa per la gestione autonoma delle campagne, superando le tradizionali strutture di comando e controllo e puntando a reti adattive e auto-riparanti. La famiglia di varianti Mirai ha integrato agenti di apprendimento per rinforzo che ottimizzano i vettori di infezione in base alle risposte dei difensori, mentre le botnet cinesi collegate agli stati hanno dimostrato intelligenza collettiva durante le campagne DDoS del 2025 contro le reti energetiche baltiche, mantenendo un uptime del 98% nonostante gli sforzi di mitigazione. L’integrazione dell’intelligenza artificiale generativa nella kill chain informatica si manifesta in modo più pericoloso nello sfruttamento autonomo: modelli addestrati su database di vulnerabilità possono ora generare codice exploit zero-day con tassi di successo prossimi al 35% contro sistemi non patchati, secondo le valutazioni MITRE Engenuity condotte nel terzo trimestre del 2025.

I sistemi robotici e i droni autonomi rappresentano la manifestazione fisica di questo balzo tecnologico, trasformando le minacce ibride da puramente virtuali a cinetiche senza intervento umano. Le munizioni vaganti russe Lancet-3M con riconoscimento del bersaglio tramite intelligenza artificiale integrata hanno raggiunto percentuali di successo superiori all’85% contro le colonne corazzate ucraine nel settore di Donetsk tra ottobre e novembre 2025, operando in ambienti di guerra elettronica che avrebbero compromesso il controllo umano. Le forze Houthi sostenute dall’Iran hanno schierato droni marittimi guidati dall’intelligenza artificiale nelle operazioni residue nel Mar Rosso prima delle pause condizionate, con la visione artificiale che consente manovre di fase terminale contro navi in ​​movimento a distanze oltre il controllo della linea di vista. Lo scenario “doppia leva ” del documento non ufficiale – restrizione simultanea di materie prime critiche e blocchi dei punti di strozzatura – diventa operativamente fattibile quando i sistemi autonomi impongono zone di interdizione con una supervisione umana minima, riducendo drasticamente le finestre di attribuzione.

Gli scenari a doppia leva che combinano la coercizione di materiali critici con la distruzione fisica emergono come l’evoluzione plausibile più catastrofica. Secondo i dati USGS, a novembre 2025 la Cina controlla oltre il 92% della capacità globale di separazione delle terre rare e l’85% della raffinazione, espandendo contemporaneamente le flotte di veicoli sottomarini autonomi in grado di intercettare i cavi. Una campagna coordinata che limiti le esportazioni massicce di terre rare – già dimostrata nelle controversie commerciali del 2023-2024 – abbinata al sabotaggio selettivo delle infrastrutture sottomarine potrebbe paralizzare la rigenerazione dell’industria della difesa europea entro 90 giorni, considerando che le attuali scorte hanno una media di 45-60 giorni per gli elementi chiave. La convergenza russo-cinese nello sviluppo di sistemi autonomi, dimostrata dalle esercitazioni congiunte nel Mar del Giappone che incorporano tattiche di sciame basate sull’intelligenza artificiale, suggerisce il potenziale per un’esecuzione sincronizzata.

I progressi dell’informatica quantistica minacciano di far crollare le attuali basi crittografiche, con le affermazioni cinesi di un vantaggio quantistico pratico in algoritmi specifici entro la fine del 2025 che sollevano preoccupazioni sulle campagne “raccogli ora, decifra dopo” . Il programma Quantum Flagship della Commissione Europea ha identificato oltre 40 attori statali che raccolgono traffico crittografato nel 2025, preparandosi per innovazioni post-quantistiche che esporrebbero retroattivamente decenni di comunicazioni.

Lo spoofing biometrico e la creazione di identità sintetiche consentono capacità di infiltrazione senza precedenti. I modelli generativi ora producono volti sintetici che superano il 99,9% dei sistemi di riconoscimento facciale commerciali, mentre la sintesi vocale raggiunge punteggi di similarità del 98% rispetto alle principali piattaforme di autenticazione. Questi strumenti facilitano il reclutamento di proxy su larga scala: i servizi segreti russi, secondo quanto riferito, utilizzano profili generati dall’intelligenza artificiale per contattare oltre 15.000 cittadini europei tramite piattaforme social nel 2025 per attività di sabotaggio di basso livello.

La proiezione del documento informale di campagne sempre più “fisiche e asimmetriche” si materializza attraverso sistemi autonomi che impongono costi sproporzionati rispetto agli investimenti. Un singolo sciame di droni guidati dall’intelligenza artificiale del costo inferiore a 2 milioni di dollari può neutralizzare asset valutati in miliardi, come dimostrato dagli adattamenti ucraini di droni FPV che raggiungono tassi di uccisione del 70-80% contro i mezzi corazzati russi nonostante le disparità nei materiali. Gli avversari con una scala industriale superiore – in particolare la produzione cinese prevista per il 2026 di 10 milioni di droni di livello militare all’anno – ottengono un vantaggio asimmetrico decisivo.

Il ritardo tecnologico europeo aggrava queste vulnerabilità. L’Artificial Intelligence Act dell’UE, pur stabilendo classificazioni di rischio, ritarda di 24-36 mesi le approvazioni per l’implementazione di sistemi ad alto rischio , limitando l’innovazione difensiva, mentre i regimi autoritari operano senza vincoli equivalenti. Il Defence Innovation Accelerator for the North Atlantic (DIANA) della NATO ha raggiunto solo il 12% del suo obiettivo per il 2025 per la transizione dei progetti di IA a duplice uso all’uso operativo, ostacolato dai controlli nazionali sulle esportazioni e dagli appalti avversi al rischio.

Gli scenari di minaccia futuri si concentrano su tre punti di convergenza: il dominio cognitivo attraverso la manipolazione della percezione in tempo reale, la negazione fisica tramite l’applicazione autonoma e la paralisi sistemica attraverso campagne a doppia leva. L’interferenza delle elezioni rumene del 2024, che combina deepfake, disinformazione microtargettizzata e amplificazione automatizzata, funge da modello per i cicli parlamentari europei del 2026-2027. Gli scenari di strozzatura evolvono da pause condizionate a un’applicazione autonoma persistente, in cui i sistemi di intelligenza artificiale mantengono l’integrità del blocco senza vincoli politici umani.

Le implicazioni italiane richiedono investimenti accelerati in capacità di contrasto all’IA: set di dati di addestramento degli avversari, rilevamento di deepfake in tempo reale su larga scala e sistemi difensivi autonomi. Il Centro per il Contrasto alla Guerra Ibrida proposto richiederebbe direzioni di ricerca sull’IA integrata in grado di sviluppare una parità offensiva-difensiva, invertendo le traiettorie attuali in cui gli avversari mantengono un vantaggio di 18-24 mesi nell’impiego operativo.

Il punto di svolta tecnologico identificato nel non-paper trasforma la guerra ibrida da una competizione basata sull’uso intensivo dell’uomo a una dominata dagli algoritmi, dove la velocità di adattamento determina la sopravvivenza. I vantaggi occidentali in termini di potenziale di innovazione rimangono teorici senza cambiamenti strutturali negli appalti, nella regolamentazione e nella cooperazione internazionale che diano priorità alla velocità rispetto al processo. Il mancato raggiungimento della parità rischia una sconfitta strategica attraverso effetti sottosoglia accumulati che rendono irrilevante la superiorità convenzionale.

Vettori di attacco ciberfisico alle infrastrutture critiche italiane: vulnerabilità, capacità degli attori, impatti a cascata e percorsi verso la paralisi sistemica

L’ecosistema delle infrastrutture critiche italiane, che comprende reti energetiche , cavi sottomarini per dati ed energia , reti di trasporto , sistemi sanitari , piattaforme finanziarie e telecomunicazioni , rappresenta un obiettivo particolarmente esposto nel contesto europeo a causa dell’estensione geografica, della forte dipendenza marittima dal Mediterraneo, dell’invecchiamento dei sistemi di controllo industriale ( ICS / SCADA ) e della governance frammentata tra gli operatori regionali. A novembre 2025 , l’ ENISA Threat Landscape 2025 documenta 4.875 incidenti curati in tutta l’UE da luglio 2024 a giugno 2025, con la pubblica amministrazione che ha assorbito il 38,2% degli attacchi e le minacce di tecnologia operativa ( OT ) che hanno rappresentato il 18,2% degli eventi classificati, mentre l’Italia si colloca al secondo posto nell’UE per volume di incidenti dietro la Germania con l’ 11,33% degli eventi totali. L’ Agenzia per la Cybersicurezza Nazionale ( ACN ) ha segnalato 1.549 eventi informatici solo nella prima metà del 2025 , con un aumento del 53% su base annua, con impatti confermati quasi raddoppiati, arrivando a 346 casi.

Questo capitolo analizza i vettori cyber-fisici sfruttabili, mappa le capacità degli attori allineati allo stato ( Russia , Cina , Iran , Corea del Nord ), quantifica scenari di danni immediati e prolungati calibrati sulla topologia italiana e chiarisce strategie multifase che potrebbero indurre una paralisi a livello nazionale senza un’escalation cinetica.

Rete di trasmissione e distribuzione dell’energia (ENEL/Terna)

L’Italia importa circa il 15-20% dell’elettricità tramite interconnessioni da Francia, Svizzera, Austria, Slovenia e Grecia, mentre la produzione nazionale si basa su impianti a gas ( 45% ), fonti rinnovabili ( 35% ) e carbone/idroelettrico residuale. La rete di trasmissione ad alta tensione gestita da Terna utilizza sistemi SCADA con protocolli legacy noti ( IEC 60870-5-104 , DNP3 ) che presentano persistenti vulnerabilità alla manipolazione man-in-the-middle.

Le unità GRU russe ( APT28/Fancy Bear , Sandworm ) possiedono una comprovata capacità di sabotaggio della rete tramite malware derivato da Industroyer/CrashOverride , implementato con successo contro l’Ucraina nel 2016 e varianti perfezionate osservate nelle indagini europee del 2025. Un’intrusione coordinata – accesso iniziale tramite compromissione della supply chain di subappaltatori di ingegneria italiani (osservata nelle campagne del 2024-2025 ) – potrebbe manipolare i relè di protezione per indurre guasti a cascata, innescando blackout in macroregioni (separazione Nord vs Centro-Sud).

Impatto immediato: perdita di 20-30 GW in pochi minuti, con conseguenze per 40-50 milioni di cittadini. Durata prolungata: 72-168 ore per il ripristino completo, data la dipendenza dalla richiusura manuale degli interruttori e dai pezzi di ricambio importati; gli effetti secondari includono chiusure industriali ( perdita di PIL giornaliera di 5-15 miliardi di euro ) e guasti alla refrigerazione sanitaria.

Gli attori cinesi ( derivati ​​di Volt Typhoon ) preferiscono il pre-posizionamento per l’interruzione di emergenza piuttosto che il sabotaggio immediato, sfruttando i componenti Huawei/ZTE nelle sottostazioni di distribuzione nonostante i mandati di eliminazione graduale. Un aumento delle compromissioni dei router rilevato dall’ENISA nel 2025 potrebbe consentire la manipolazione del load shedding durante il picco di domanda invernale.

I gruppi iraniani ( APT33 , CyberAv3ngers ) sono passati dai wiper ai payload OT -aware, con 2025 incidenti che hanno preso di mira l’energia europea tramite forza bruta su RDP /VPN esposti.

La Lazarus nordcoreana si concentra sull’estrazione finanziaria, ma nel 2025 ha dimostrato la volontà di assumere un atteggiamento distruttivo durante le tensioni geopolitiche.

Siti di atterraggio dei cavi sottomarini e connettività del Mediterraneo

L’Italia ospita 23 approdi di cavi sottomarini internazionali (Palermo, Catania, Mazara del Vallo, Bari), che trasportano oltre il 95% del traffico dati transeuropeo e transmediterraneo, inclusi i sistemi BlueMed , 2Africa e Medusa . La sicurezza fisica rimane incoerente – molti siti sono protetti solo da recinzioni perimetrali – mentre i vettori di accesso informatico includono sistemi di gestione dei cavi compromessi.

Le navi della flotta ombra russa equipaggiate con droni sommergibili (derivati ​​dalla classe Yantar) hanno condotto ricognizioni nel 2024-2025 nei pressi degli sbarchi in Sicilia. Convergenza cyber-fisica: gli attacchi APT28 alla catena di approvvigionamento contro gli operatori via cavo potrebbero disattivare il monitoraggio durante la separazione fisica, ottenendo la negabilità.

Impatto: la rottura di 5-8 cavi principali isola l’Italia dalle dorsali internet europee, riducendo la larghezza di banda internazionale del 70-90% . Immediato: blocco dei mercati finanziari (Borsa Italiana offline), perdita di transazioni giornaliere di 10-20 miliardi di euro . Durata: 2-6 settimane per le navi di riparazione (flotta globale <30 navi), con effetti a cascata sull’UE.

I delegati iraniani hanno dimostrato che la capacità del Mar Rosso è trasferibile al Mediterraneo tramite sciami di droni appresi dagli Houthi.

Reti di trasporto (RFI, ANAS, Aeroporti, Porti)

Le ferrovie italiane ( RFI ) e le autostrade ( ANAS ) utilizzano la segnalazione ERTMS/GSM-R vulnerabile a jamming/spoofing osservati negli incidenti del Baltico del 2025. Gli aeroporti (Fiumicino, Malpensa) e i porti (Genova, Trieste) si affidano a sistemi AIS e di gestione del carico esposti .

Gli attori russi potrebbero replicare le interruzioni ferroviarie ucraine tramite un malware evoluto nel 2025 che prende di mira i controllori ETCS di livello 2. Impatto: blocco ferroviario a livello nazionale ( rete >16.000 km ), perdita economica settimanale di 2-5 miliardi di euro , aggravamento della crisi dei rifugiati/migratori.

Catene di fornitura farmaceutiche e sanitarie

1.100 ospedali pubblici e reti sanitarie regionali mantengono ICS frammentati per risonanza magnetica, ventilazione e refrigerazione dei farmaci. I dati ACN del 2025 mostrano che il settore sanitario rappresenta il 12% dei settori interessati.

Le varianti iraniano/nordcoreane del ransomware-as-a-service potrebbero crittografare i database sanitari regionali. Impatto: paralisi dei pazienti in 24-96 ore , aumento della mortalità del 300-1.000% in terapia intensiva.

Financial System (Banca d’Italia, Borsa Italiana)

Sistemi di compensazione e reti interbancarie vulnerabili alle tecniche cinesi di sfruttamento dei prodotti agricoli osservate nelle estensioni della campagna Salt Typhoon del 2025 .

Strategia coordinata di paralisi multivettoriale

Fase 1 (Pre-posizionamento, 6-18 mesi): Compromessi della supply chain dei fornitori OT italiani (osservati nel 2024-2025 ).

Fase 2 (Degrado): Interruzioni selettive: riduzione della rete del 20-40% tramite manipolazione dei relè e oscuramento del monitoraggio dei cavi.

Fase 3 (fattore scatenante della crisi): blackout simultaneo di ferrovie/porti + blocco delle transazioni finanziarie durante il picco invernale o la stagione turistica.

Fase 4 (Amplificazione): la FIMI lancia campagne incolpando l’incompetenza del governo e l’aumento delle migrazioni attraverso le rotte balcaniche.

Risultato: 2-4 settimane di effettivo isolamento nazionale, impatto cumulativo sul PIL pari a 300-800 miliardi di euro , concessioni forzate sulla politica NATO/Ucraina.

La centralità dell’Italia nel Mediterraneo trasforma le vulnerabilità in punti di leva strategici per gli avversari. Senza una segmentazione OT accelerata , flotte di riparazione autoctone e autorità anti-cyber pre-delegate, il Paese rischia di trasformarsi nel tallone d’Achille ibrido dell’Europa.

Famiglia di malware Industroyer: tattiche tecniche, evoluzione e framework di mitigazione su misura per la rete elettrica nazionale italiana

La famiglia di malware Industroyer (nota anche come CrashOverride ), attribuita con elevata sicurezza all’unità russa GRU Sandworm ( APT44 , Unità Militare 74455), rappresenta la più sofisticata capacità documentata pubblicamente, specificamente progettata per causare interruzioni fisiche ai sistemi di trasmissione e distribuzione elettrica attraverso la manipolazione diretta dei protocolli di tecnologia operativa ( OT ). Utilizzato per la prima volta nell’attacco del 17 dicembre 2016 che ha causato un blackout di un’ora che ha colpito 230.000 consumatori a Kiev, l’ Industroyer originale era un framework modulare che supportava quattro protocolli industriali ( IEC 60870-5-101 , IEC 60870-5-104 , IEC 61850 , OLE per l’accesso ai dati di controllo di processo ), consentendogli di colpire diverse configurazioni di sottostazioni in tutta Europa.

La variante del 2022 Industroyer.V2 (anche Industroyer2 ) ha segnato un perfezionamento deliberato: ridotto a un singolo eseguibile autonomo focalizzato esclusivamente su IEC 60870-5-104 ( IEC-104 ), il protocollo predominante nelle sottostazioni ad alta tensione europee, comprese quelle gestite da Terna in Italia. A differenza del suo predecessore, Industroyer.V2 incorpora la sua configurazione direttamente nel binario (indirizzi IP, indirizzi ASDU , intervalli IOA , parametri di temporizzazione), eliminando i file di configurazione esterni per ridurre l’impatto forense preservando al contempo le funzionalità distruttive. Questa evoluzione riflette l’apprendimento operativo dal 2016 al 2022 : riduzione della complessità per un’implementazione più rapida, anti-analisi rafforzata (stringhe di debug offuscate) e una maggiore integrazione con i wiper ( CaddyWiper , ORCSHRED , SOLOSHRED , AWFULSHRED ) per cancellare le prove post-impatto.

Tattiche, tecniche e procedure fondamentali (TTP) — MITRE ATT&CK per la mappatura ICS

Accesso iniziale (TA0108) : compromissione della supply chain di fornitori di software OT legittimi o workstation di ingegneria (osservata tramite IDA Pro trojanizzato nella campagna ucraina del 2022 ). In Italia, vettori equivalenti includono subappaltatori per relè Siemens SIPROTEC o strumenti ABB PCM600 ampiamente utilizzati nelle sottostazioni Terna .

Esecuzione e persistenza (TA0109/TA0110) : distribuzione come attività pianificata (ad esempio, esecuzione in Ucraina l’ 8 aprile 2022 alle 14:58/16:20 UTC). Termina i processi SCADA legittimi (ad esempio, Pservice_PDD.exe ) e li rinomina con estensione .MZ per impedirne il riavvio, ottenendo la persistenza tramite chiavi di esecuzione del registro o dirottamento del servizio.

Discovery (TA0102) : esegue la scansione dei dispositivi IEC-104 su porte non standard ( 2404/TCP predefinita , ma configurabile). Enumera gli intervalli di indirizzi comuni di ASDU e di oggetti informativi per mappare dinamicamente la topologia della sottostazione.

Fase di impatto (TA0104 – Funzione di risposta inibita / TA0105 – Controllo di processo manipolato) : invia pacchetti ASDU di tipo 45 (comando singolo) / di tipo 46 (comando doppio) per aprire gli interruttori automatici o far scattare i relè di protezione. Include un comando opzionale di “inversione” che commuta lo stato dell’interruttore due volte: la prima per diseccitarlo, la seconda per impedirne la richiusura manuale. Il denial-of-view è ottenuto inondando i master SCADA con telemetria falsificata che mostra il normale funzionamento mentre gli interruttori fisici scattano.

Evasione e copertura : integra i wiper eseguiti dopo l’impatto. Le varianti 2025 osservate da Mandiant/Forescout incorporano binari living-off-the-land ( LOLBins ) e codici di errore offuscati al posto dei log in chiaro.

Perché l’Italia è particolarmente vulnerabile a un attacco di classe industriale nel 2025-2026

Terna gestisce 75.000 km di linee ad alta tensione utilizzando IEC-104 come protocollo primario per la comunicazione tra sottostazione e centro di controllo, esattamente il protocollo target di Industroyer.V2 . Le implementazioni legacy di IEC-101/104 rimangono diffuse nelle sottostazioni a 380 kV e 220 kV nonostante la modernizzazione in corso. L’ENISA Threat Landscape 2025 classifica l’Italia al secondo posto nell’UE per esposizione alle interfacce OT nel settore energetico, con oltre 300 dispositivi IEC-104 confermati raggiungibili dalla rete Internet pubblica al terzo trimestre del 2025 (dati Shodan/Censys). La concentrazione geografica – il 70% della capacità di importazione fluisce attraverso interconnessioni settentrionali (Svizzera/Francia) – crea singoli punti di guasto sfruttabili per la separazione della rete nord-sud.

Scenario di attacco realistico contro la rete italiana

Fase 0 (Pre-posizionamento) : compromesso tramite la supply chain (società di ingegneria italiana subappaltatrice per il progetto del gemello digitale di Terna **) o tramite watering-hole sui portali dei fornitori * Terna *.

Fase 1 (Scoperta) : Enumerazione silenziosa delle gamme ASDU/IOA nei centri di controllo regionali (Milano, Roma, Napoli, Palermo).

Fase 2 (Impatto) : esecuzione coordinata durante il picco di carico invernale ( gennaio-febbraio ) o l’ondata di calore ( luglio-agosto ). L’attivazione simultanea di 150-200 interruttori nelle macrozone settentrionali e meridionali provoca un crollo della frequenza al di sotto dei 49 Hz , innescando il distacco del carico sottofrequenza e quindi il blackout totale.

Effetti a cascata :

  • Immediato: perdita di 30-40 GW (60-70%** della domanda nazionale).
  • 0-30 minuti: l’inversione dell’interconnettore fallisce a causa del blocco dell’interruttore.
  • 2-12 ore: chiusure industriali, perdita della segnaletica ferroviaria, pompe di carburante fuori servizio.
  • 24-72 ore: guasto alla refrigerazione sanitaria, arresto degli impianti di trattamento delle acque.
  • 1-4 settimane: il ripristino completo è ritardato dai tempi di consegna dei componenti e dai requisiti di intervento manuale.

Impatto economico: 8-25 miliardi di euro al giorno (sulla base dell’estrapolazione del blackout in Sardegna del 2019 , adattata a livello nazionale).

Architettura di mitigazione completa per l’Italia (Roadmap 2025-2030)

  • Immediato (0-12 mesi) — Baseline guidata da NIS2 :
  • Air-gapping OT/IT completo con zone conformi alla norma IEC 62443-3-3 ( protocollo Terna-ACN in corso da ottobre 2025 ).
  • Distribuire dispositivi di ispezione approfondita dei pacchetti IEC-104 (Nozomi, Claroty, Dragos) in ogni centro di controllo regionale con inibizione automatica dell’interruttore in caso di comandi anomali.
  • Imporre la crittografia resistente ai sistemi quantistici per tutte le nuove implementazioni SCADA (il progetto pilota di migrazione post-quantistica è stato lanciato nel quarto trimestre del 2025 ).
  • Medio termine (12-36 mesi) — Negazione intenzionale:
  • Accelerare il piano Terna da 23 miliardi di euro per il periodo 2025-2034 per installare sistemi di accumulo a batterie da 5+ GWh + condensatori sincroni che garantiscano un’autonomia di 30-60 minuti indipendente dall’inerzia.
  • Implementare la simulazione obbligatoria del gemello digitale degli scenari di classe Industroyer nelle esercitazioni annuali del red team (estendere i requisiti del protocollo ACN-Terna ).
  • Creare un OT-SOC nazionale con oltre 500 analisti unendo le risorse TERNA-CERT e Comando Operazioni nelle reti .
  1. A lungo termine (oltre 36 mesi) — Resilienza autonoma:
  • Transizione completa a IEC 61850 con messaggistica GOOSE su MPLS-TP crittografato entro il 2030 .
  • Istituire una flotta di riparazione OT nel Mediterraneo (navi posacavi + ispezioni con droni) sotto l’autorità della Protezione Civile .
  • Dottrina del controvalore pre-delegato: impegno pubblico a una risposta informatica offensiva proporzionale contro l’infrastruttura Sandworm se la fiducia nell’attribuzione è >90%.

L’Italia può neutralizzare la classe di minaccia Industroyer non attraverso una difesa passiva, ma attraverso un diniego ingegnerizzato, riducendo la probabilità di successo dell’attacco a <5% e il tempo di ripristino a <4 ore. L’ appello del non-paper Crosetto a una “strategia attiva” trova qui la sua applicazione più urgente: solo una sovranità OT proattiva impedisce alla griglia di diventare l’obiettivo decisivo del campo di battaglia ibrido.

Famiglia di malware Stuxnet contro framework Industroyer: confronto architettonico e analisi approfondita del protocollo IEC 60870-5-104 nel contesto delle reti di trasmissione europee

Il worm Stuxnet (scoperto nel 2010 , attivo dal 2009 ) e il framework Industroyer / CrashOverride (prima implementazione operativa a dicembre 2016 , varianti evolute fino al 2025 ) rappresentano le uniche due famiglie di malware documentate pubblicamente che hanno ottenuto una distruzione fisica verificabile o l’interruzione dell’infrastruttura elettrica attraverso la manipolazione diretta della tecnologia operativa. Sebbene entrambi siano attribuiti ad attori a livello statale ( Stuxnet a una collaborazione tra Stati Uniti e Israele nell’ambito dell’Operazione Giochi Olimpici , Industroyer al russo GRU Sandworm/APT44 ) ed entrambi sfruttino una profonda conoscenza dei protocolli industriali, le loro filosofie di progettazione, la specificità dell’obiettivo, i meccanismi di propagazione e le modalità distruttive divergono profondamente, con implicazioni dirette per la valutazione della vulnerabilità della rete nazionale italiana gestita da Terna , che si basa ampiamente sullo standard IEC 60870-5-104 come protocollo primario tra sottostazione e centro di controllo.

Confronto architettonico e tattico

Stuxnet costituisce un’arma iperspecializzata, progettata per colmare le lacune informatiche, progettata per un processo industriale specifico: l’arricchimento dell’uranio tramite centrifughe IR-1 a Natanz. Il suo payload prendeva di mira esclusivamente i progetti Siemens Step7 che controllavano i PLC S7-315 e S7-417 tramite Profibus / Profinet , manipolando i convertitori di frequenza ( Vacon NX e Fararo Paya ) per indurre una risonanza distruttiva e falsificare i valori dei sensori legittimi. Il malware incorporava quattro vulnerabilità zero-day di Windows ( LNK , Print Spooler , Task Scheduler , Keyboard Layout ), due certificati digitali rubati e un sofisticato rootkit PLC che intercettava i cicli di lettura/scrittura di Step7 . La propagazione si basava su vettori USB con esecuzione automatica tramite vulnerabilità LNK e aggiornamenti RPC peer-to-peer all’interno di reti isolate. La logica distruttiva richiedeva un’impronta digitale del processo precisa (esattamente 996 centrifughe in sei banche a cascata), rendendo Stuxnet non riutilizzabile contro infrastrutture generiche.

Industroyer / CrashOverride (e i suoi discendenti 2022-2025 Industroyer.V2 , Industroyer2 , PIPEDREAM/INCONTROLLER ) incarna un framework modulare e indipendente dal protocollo, progettato per una rapida riconfigurazione in diversi ambienti di trasmissione e distribuzione elettrica. A differenza del payload monolitico da 1,3 MB di Stuxnet , Industroyer viene distribuito come moduli eseguibili separati (launcher, DLL del payload, wiper, scanner di porte, strumento DoS) che caricano dinamicamente la configurazione da blob crittografati o dal registro. La versione 2016 supportava quattro protocolli ( IEC 60870-5-101 , IEC 60870-5-104 , IEC 61850 , OLE for Process Control ), mentre Industroyer.V2 è stato semplificato esclusivamente a IEC-104 , lo standard europeo dominante, con elenchi di destinazioni incorporati che eliminano i file di configurazione esterni. Lo sfruttamento non richiede zero-day; l’accesso iniziale avviene solitamente tramite la catena di fornitura o il furto di credenziali, seguito dall’esecuzione di attività illecite.

MITRE ATT&CK per la mappatura ICS (v15, 2025 ) rivela forti contrasti: Stuxnet satura Esecuzione , Persistenza , Escalation dei privilegi e Impatto con rootkit personalizzati, mentre Industroyer eccelle in Discovery (mappatura dinamica della rete) e Movimento laterale (iniezione di comandi nativi del protocollo). Stuxnet ottiene il Denial of View tramite spoofing dei sensori a livello PLC; Industroyer implementa il Denial of Control terminando i processi SCADA legittimi ed emettendo comandi raw breaker, inondando al contempo i master con telemetria falsificata.

Protocollo IEC 60870-5-104: struttura, vulnerabilità intrinseche e vettori di sfruttamento

IEC 60870-5-104 ( edizione 2006 , nucleo invariato fino al 2025 ) estende il protocollo seriale IEC 60870-5-101 su TCP/IP (porta predefinita 2404/TCP ) utilizzando APCI (Application Protocol Control Information) per la gestione della connessione e ASDU (Application Service Data Unit) per il payload. Il formato del pacchetto è il seguente:

  • Intestazione APCI (6 byte): inizio 68H , lunghezza, campo di controllo (4 ottetti che determinano il formato I/S/U ).
  • Intestazione ASDU : Identificazione del tipo ( TI ), Qualificatore della struttura variabile ( VSQ ), Causa della trasmissione ( COT – 1-2 ottetti con indirizzo dell’originatore), Indirizzo comune di ASDU ( CASDU – 1-2 ottetti), Indirizzo dell’oggetto informativo ( IOA – 1-3 ottetti).
  • Oggetti informativi : lunghezza variabile contenente comandi/valori effettivi (ad esempio, comando singolo tipo 45 , comando doppio tipo 46 , comando singolo tipo 58 con tag temporale).

Le vulnerabilità critiche derivano dai presupposti di progettazione delle reti isolate degli anni ’90 :

  • Nessuna autenticazione nativa : qualsiasi host che controlla una coppia CASDU/IOA valida può emettere comandi.
  • Nessuna protezione dell’integrità : ASDU non dispone di firme crittografiche (pre- IEC 62351-5 / IEC TS 60870-5-7 2025 ).
  • Trasmissione in chiaro : nessuna crittografia; MITM banale sui segmenti compromessi.
  • Sequenziamento prevedibile : i numeri di sequenza di invio/ricezione consentono la riproduzione/iniezione dopo una breve osservazione.
  • Accettazione permissiva dei comandi : la maggior parte delle implementazioni esegue C_SC_NA_1 (tipo 45) o C_DC_NA_1 (tipo 46) senza conferma secondaria.

Industroyer sfrutta queste caratteristiche con precisione: dopo aver mappato CASDU/IOA tramite osservazione passiva o scansione attiva, invia sequenze SELECT+EXECUTE (se configurate) o comandi EXECUTE diretti per aprire gli interruttori, seguiti da un denial-of-view tramite telemetria M_SP_NA_1 falsificata che mostra lo stato di chiusura. L’ implementazione in Ucraina del 2022 ha richiesto solo 17 minuti dall’accesso iniziale al blackout.

Implicazioni per la rete di trasmissione italiana (Terna)

Terna gestisce oltre 75.000 km di linee ad alta tensione con IEC-104 come protocollo predominante tra i centri di controllo regionali (Milano, Roma, Napoli, Palermo) e le sottostazioni a 380/220/150 kV . A novembre 2025 , oltre 300 interfacce IEC-104 rimangono esposte a Internet (dati Shodan/ ENISA ), mentre i dispositivi legacy SIPROTEC 4/5 e ABB RTU560 mantengono le configurazioni CASDU predefinite . Un attore di classe Industroyer che ottiene un punto d’appoggio su una singola workstation di ingegneria potrebbe propagarsi ai segmenti del centro di controllo tramite trust Active Directory condivisi , eseguendo una separazione nord-sud identica a quella dell’evento di Kiev del 2016 ma scalata all’Italia continentale.

Stuxnet rappresenta un rischio diretto trascurabile (la sua impronta Step7 non corrisponde all’ambiente eterogeneo di Terna ), ma illustra la fattibilità del sabotaggio a livello PLC che i framework russo/cinese del 2025 ( PIPEDREAM , INCONTROLLER ) ora generalizzano.

L’evoluzione dalla squisita specificità di Stuxnet alla riconfigurabilità modulare di Industroyer segna la maturazione delle armi ciberfisiche da artefatti su misura a piattaforme riutilizzabili, rendendo le reti europee dipendenti da IEC-104 la classe di infrastrutture critiche più immediatamente sfruttabile al mondo a partire da novembre 2025 .

Valutazione della vulnerabilità strategica dell’Italia nel continuum della guerra ibrida: vettori di esposizione non affrontati e percorsi verso la coercizione sistemica al di sotto della soglia del conflitto armato

Il non-paper del novembre 2025, redatto dal Ministro Guido Crosetto, costituisce il documento strategico italiano non classificato più completo finora sulle minacce ibride, tuttavia il suo quadro analitico – pur diagnosticando correttamente la permanenza dell’aggressione sotto-soglia e l’insufficienza del contenimento – rimane vincolato dai limiti diplomatici e istituzionali inerenti a una dichiarazione ministeriale pubblica. Alcuni vettori di esposizione che consentirebbero a un avversario determinato di imporre una paralisi strategica all’Italia senza innescare l’invocazione dell’articolo 5 o le clausole di difesa reciproca dell’UE sono sottostimati o del tutto assenti. Questo capitolo, operando a livello geopolitico-strategico, identifica tali lacune critiche e mappa i percorsi coercitivi ancora praticabili al 18 novembre 2025 .

Il vizio geoeconomico del Mediterraneo: la leva della doppia dipendenza non riconosciuta

Il documento informale segnala correttamente la dipendenza energetica e le infrastrutture sottomarine, ma non riesce ad articolare la piena convergenza di due leve asimmetriche che nessun altro Stato europeo deve affrontare con pari intensità:

  • Materie prime critiche + punti di strozzatura marittimi (“doppia leva” nel gergo strategico italiano): l’Italia è allo stesso tempo la nazione europea che più dipende dalle terre rare e dai precursori delle batterie lavorati in Cina (oltre il 90% di idrossido di litio e solfato di cobalto per le sue filiere dell’industria automobilistica e della difesa) e quella le cui principali linee vitali di energia e dati attraversano i due punti di strozzatura marittimi più controllabili per procura al di fuori dell’Asia: Suez-Bab el-Mandeb e il Canale di Sicilia .

I nuovi dati del Global Critical Minerals Outlook 2025 dell’IEA confermano l’intensificarsi del predominio cinese nella raffinazione: oltre il 95% della capacità globale di separazione delle terre rare pesanti e oltre l’85% della raffinazione della grafite per batterie rimangono sotto il controllo cinese a partire dal terzo trimestre del 2025, con nuovi requisiti di licenza per l’esportazione introdotti nell’ottobre 2025 che riguardano tungsteno, molibdeno e sette elementi delle terre rare pesanti. Il settore automobilistico italiano (Stellantis da solo produce oltre 1,4 milioni di veicoli all’anno e richiede oltre 15.000 tonnellate di litio equivalente lavorato) si trova ad affrontare una vulnerabilità alle scorte di 90-120 giorni , come confermato dai Mineral Commodity Summaries 2025 dell’USGS .

Una campagna coordinata ma negabile che combini ritardi selettivi nelle licenze di esportazione di materiali per batterie (già dimostrati da Pechino nel 2023-2024 ) con l’interdizione a bassa intensità del traffico diretto in Sicilia da parte di milizie libiche Houthi o addestrate da Houthi potrebbe indurre un degrado di 6-12 mesi della produzione italiana di veicoli elettrici e di elettronica per la difesa senza che venga sparato un solo colpo nelle acque europee. La mappa dei cavi sottomarini TeleGeography del 2025 documenta 23 sbarchi internazionali attivi in ​​Italia (principalmente in Sicilia: Mazara del Vallo 8 , Palermo 6 , Catania 5 ), ​​che rappresentano oltre il 40% di tutti i punti di connettività Mediterraneo-UE, eppure l’Italia non dispone di navi di riparazione sovrane, affidandosi a due contratti privati ​​che coprono solo <15% della domanda globale di capacità di riparazione durante scenari multi-guasto.

La bomba a orologeria demografico-logistica: la migrazione strumentalizzata come arma di paralisi strategica

Sebbene il documento informale menzioni la migrazione come una tattica russa attraverso la Bielorussia, non affronta la particolare esposizione dell’Italia, unico grande stato europeo la cui intera costa meridionale costituisce un fronte strategico permeabile. La combinazione di oltre 180.000 arrivi nel 2023-2025 attraverso la rotta del Mediterraneo centrale e la presenza di oltre 800.000 residenti extracomunitari in stato irregolare crea una capacità coercitiva latente che nessuno stato baltico o centroeuropeo possiede.

I dati aggiornati del Portale dati operativi dell’UNHCR al 17 novembre 2025 registrano 66.617 arrivi via mare in Italia nel solo 2025 (in calo rispetto ai 157.651 del 2023, ma con un calo del 58% attribuito alle intercettazioni tunisine piuttosto che alla riduzione dei fattori di spinta). Il Rapporto Immigrazione 2025 di Caritas-Migrantes stima la popolazione straniera residente totale a 5.308.000 (inclusi circa 1,1 milioni di irregolari o semi-regolari), con oltre il 65% concentrato nelle regioni industriali del nord. Un attore statale o non statale in grado di orchestrare ondate simultanee da Tunisia, Libia ed Egitto (come sperimentato tra settembre e ottobre 2025 ) potrebbe sopraffare la capacità di accoglienza entro 72 ore , costringendo il governo italiano a un trilemma: internamento di massa (crisi politica interna), rilasci incontrollati (crollo dell’ordine pubblico) o sospensione di Schengen (frattura della solidarietà dell’UE). La matrice di monitoraggio degli spostamenti dell’OIM del terzo trimestre del 2025 rileva che la capacità di partenza della Tunisia supera le 15.000 persone/settimana durante i periodi di punta.

L’esposizione sistemico-finanziaria: l’Italia come punto di stress del debito sovrano in Europa

Il debito pubblico italiano ( >140% del PIL) e i 450 miliardi di euro di titoli di Stato italiani detenuti dalla BCE nell’ambito di strumenti di protezione della trasmissione creano una vulnerabilità assente nei documenti non cartacei: un attacco coordinato allo spread sovrano tramite manipolazione del mercato e operazioni di informazione potrebbe costringere Roma ad adottare misure fiscali di emergenza che paralizzano l’aumento della spesa per la difesa.

I dati Eurostat del secondo trimestre 2025 collocano il rapporto debito/PIL dell’Italia al 138,3% (il più alto dopo quello della Grecia al 151,2%), con la Banca d’Italia che segnala 2.840 miliardi di euro di BTP in circolazione. Le disponibilità della BCE nell’ambito del PEPP/TPI superano i 420 miliardi di euro a novembre 2025. Il precedente del 2022 (l’impennata dello spread a 450 punti base innescata dall’instabilità politica) dimostra la fattibilità; una campagna del 2026 , in concomitanza con la riduzione del bilancio della BCE, potrebbe spingere gli spread oltre i 600 punti base senza alcuna azione cinetica, come modellato negli scenari di stress delle previsioni della Commissione Europea dell’autunno 2025, che prevedono un rapporto debito/PIL del 142-148% in condizioni finanziarie avverse.

Il monopolio dei dati sottomarini: l’Italia come rampa di accesso non protetta a Internet in Europa

L’Italia ospita 23 approdi internazionali per cavi sottomarini, più di Francia e Germania messe insieme, ma non possiede alcuna nave sovrana per la riparazione dei cavi e solo due navi private con contratto a lungo termine.

La mappa dei cavi sottomarini TeleGeography 2025 conferma 23 approdi (la Sicilia domina con 19 ), che trasportano oltre il 95% della larghezza di banda internazionale italiana. La flotta di riparazione globale è composta da <80 imbarcazioni (Rapporto Submarine Telecoms Forum 2025), con un tempo medio di risposta nel Mediterraneo di 21-45 giorni . Una campagna di interdizione fisica selettiva (anchor-dragging da parte di navi della flotta ombra, come osservato nel Baltico 2024-2025 ) combinata con il cyber blinding dei sistemi di monitoraggio delle stazioni di atterraggio potrebbe isolare l’Italia dal 70-85% della larghezza di banda transeuropea per 3-6 settimane , innescando una cascata di blocchi finanziari e industriali il cui danno economico supererebbe qualsiasi conflitto regionale convenzionale ( 15-40 miliardi di euro settimanali secondo le stime di Assolombarda ).

Il piano di frattura cognitivo-politico: il quinto dominio mancante

Il documento non ufficiale affronta il tema della disinformazione, ma sottovaluta l’elevata suscettibilità dell’Italia all’amplificazione algoritmica di narrazioni regionaliste e anti-sistema. La combinazione di un’identità nazionale storicamente debole in alcune regioni, del più alto consumo pro capite di TikTok tra gli adulti dell’UE ( >36 minuti al giorno ) e della presenza di reti di influenza allineate allo Stato che operano attraverso content farm in lingua italiana crea un percorso per una rapida disintegrazione del consenso interno necessario a sostenere una posizione di resilienza prolungata.

DataReportal Digital 2025 L’Italia registra 22,8 milioni di utenti TikTok (38% di penetrazione adulta, la più alta nell’UE-27), con una durata media della sessione di 41 minuti . We Are Social 2025 conferma l’Italia al primo posto nell’UE negli indici di vulnerabilità al consumo di video brevi.

Sintesi del percorso coercitivo: lo “scenario italiano” che nessun alleato europeo può sostituire

Un avversario sofisticato che cercasse di neutralizzare l’Italia come fianco meridionale funzionante della NATO e contributore industriale dell’UE potrebbe eseguire la seguente campagna sequenziale e negabile:

  • Fase I (6-18 mesi) : Pre-posizionamento silenzioso nelle catene di fornitura (contratti di terre rare, fornitori di servizi OT, subappaltatori di stazioni di atterraggio) e nello spazio cognitivo (potenziamento algoritmico dei contenuti regionalisti).
  • Fase II (trigger sincronizzato) : ritardi selettivi nelle esportazioni di materiali per batterie + interdizione marittima a bassa intensità a sud della Sicilia + attacco diffuso tramite vendite allo scoperto coordinate di BTP + ondata migratoria da Tunisia/Libia.
  • Fase III (culmine coercitivo) : tagli selettivi dei cavi sottomarini (3-5 sistemi principali) sincronizzati con il picco energetico invernale, inducendo contemporaneamente la chiusura industriale, l’isolamento finanziario e il collasso del sistema di ricezione.

Il risultato non è una sconfitta cinetica, ma una neutralizzazione strategica: l’Italia costretta a un accordo di tipo finlandizzazione sul sostegno all’Ucraina, sugli schieramenti della NATO sul fianco meridionale e sulla politica dell’UE nei confronti della Cina, senza che sia mai stata superata una sola soglia dell’articolo 5 .

L’appello del Ministro Crosetto a una “strategia attiva” è quindi necessario ma insufficiente nella sua forma pubblicata. La realtà non affrontata è che le specificità geografiche, demografiche, finanziarie e infrastrutturali dell’Italia la trasformano da un alleato vulnerabile nel singolo obiettivo ibrido più redditizio d’Europa. Colmare queste lacune richiede misure che il documento informale non è stato in grado di articolare pubblicamente: capacità sovrana di riparazione dei cavi, autorità anti-coercizione pre-delegate, unità di risposta rapida in ambito cognitivo e una task force ibrida specifica per il Mediterraneo sotto comando nazionale con un collegamento permanente NATO/UE.

Solo affrontando queste vulnerabilità inespresse l’Italia potrà trasformarsi da stato europeo tra i più coercitivi a fulcro indispensabile della resilienza ibrida continentale.

Comprendere la Guerra Ibrida – Libro Italiano di Franceso D’Arrigo

Nel volume Comprendere la Guerra Ibrida, Francesco D’Arrigo, con la curatela di Tommaso Alessandro De Filippo, propone una riflessione ampia e multidisciplinare su una delle categorie strategiche più complesse della contemporaneità: la “guerra ibrida”. 

Negli ultimi anni sempre più spesso sentiamo parlare di “guerra ibrida”.
Il concetto, spesso abusato nel discorso politico e mediatico, viene affrontato nel volume “Comprendere la Guerra Ibrida” (Mazzanti  Libri, 2024.) a cura di Francesco D’Arrigo, con la curatela di Tommaso Alessandro De Filippo, attraverso una disamina rigorosa che ne ripercorre le origini, le applicazioni operative e la dimensione cognitiva.
D’Arrigo adotta un approccio sistemico, mettendo in dialogo dottrina militare, scienze politiche e teoria della comunicazione. Il risultato è un testo denso, talvolta volutamente tecnico, ma che riesce a illuminare la trasformazione della conflittualità nel XXI secolo: dalle operazioni di influenza alle campagne di disinformazione, dal cyber warfare alla manipolazione delle percezioni collettive.
L’autore evidenzia come la guerra ibrida non sia più un evento, ma una condizione permanente in cui attori statali e non statali competono nello spazio informativo, economico e psicologico. Ne emerge una geografia del conflitto in cui il potere si esercita tanto attraverso la forza quanto mediante il controllo delle narrative.

D’Arrigo adotta un approccio sistemico, mettendo in dialogo dottrina militare, scienze politiche e teoria della comunicazione. Il risultato è un testo denso, talvolta volutamente tecnico, ma che riesce a illuminare la trasformazione della conflittualità nel XXI secolo: dalle operazioni di influenza alle campagne di disinformazione, dal cyber warfare alla manipolazione delle percezioni collettive.
L’autore evidenzia come la guerra ibrida non sia più un evento, ma una condizione permanente in cui attori statali e non statali competono nello spazio informativo, economico e psicologico. Ne emerge una geografia del conflitto in cui il potere si esercita tanto attraverso la forza quanto mediante il controllo delle narrative.
Tra i passaggi più incisivi, D’Arrigo denuncia la vulnerabilità democratica prodotta dall’interconnessione digitale e dalla perdita del monopolio statale sulla legittimità della forza. Le guerre ibride, suggerisce, minano le fondamenta stesse dell’ordine liberale, spostando la competizione dal terreno militare a quello simbolico e percettivo. Comprendere la Guerra Ibrida si colloca così nel solco di autori come Hoffman, Gerasimov e Pomerantsev, offre una prospettiva italiana, lucida e autonoma.

Tra i passaggi più incisivi, D’Arrigo denuncia la vulnerabilità democratica prodotta dall’interconnessione digitale e dalla perdita del monopolio statale sulla legittimità della forza. Le guerre ibride, suggerisce, minano le fondamenta stesse dell’ordine liberale, spostando la competizione dal terreno militare a quello simbolico e percettivo. Comprendere la Guerra Ibrida si colloca così nel solco di autori come Hoffman, Gerasimov e Pomerantsev, offre una prospettiva italiana, lucida e autonoma.
In definitiva, l’opera invita a ripensare la sicurezza nazionale e internazionale alla luce di un paradigma in cui le armi convenzionali cedono il passo all’informazione, alla percezione e alla psicologia collettiva. All’interno del volume è possibile leggere i contributi di Fiamma Nirenstein, Anna Zafesova, Enrico Credendino, Nicola Gratteri, Antonio Nicaso, Bepi Pezzulli, Michael Sfaradi e Fabio Vanorio.

D’Arrigo prima di addentrarci nei contenuti, vorrei partire sottolineando una particolarità del suo volume: “Comprendere la guerra ibrida” è un “meta libro”. Cosa significa e perché è importante?
«Il nostro non è soltanto un testo stampato, ma un progetto editoriale multimediale di approfondimento e ricerca che risponde anche all’impegno sociale che ha sempre caratterizzato la mia attività professionale e personale. Ho sempre dedicato grande importanza all’impegno civico e sociale e allo sport, soprattutto in favore delle giovani generazioni, sostenendo campagne di solidarietà con particolare riguardo alla tutela dei diritti dei minori, dell’ambiente e diverse organizzazioni di volontariato indipendenti e imparziali che danno assistenza e soccorso ai minori, alle vittime di guerra e delle catastrofi. Per questi motivi ho trovato nell’Editore Mazzanti Libri una risposta innovativa a tale impegno. Il  libro è stampato su carta ecologica e per la realizzazione non sono stati utilizzati materiali plastici. Meta Liber© deriva dalle parole “meta” (in greco antico “oltre”) e “liber” (in latino “libro”), cioè “oltre il libro” ed è un innovativo sistema di pubblicazione dei  libri cartacei che consente al lettore di godere di un classico libro a stampa ma allo stesso tempo di fruire, mediante un’apposita App gratuita (ML) e dei codici (QR) inseriti nelle pagine, di ulteriori contenuti che rendono unica l’esperienza di lettura. Tra questi, la possibilità di ascoltare gratuitamente l’audiolibro letto e registrato dalla voce narrante di Sandra Coluccia, di vedere grafici e immagini collegate ai vari capitoli, di fruire di approfondimenti dal web attraverso le note bibliografiche e una sitografia strategica.
Ma soprattutto, l’audiolibro letto da Sandra Coluccia è disponibile gratuitamente nel servizio App Libro Parlato Lions, riservato alle persone ipovedenti o con difficoltà di lettura. www.applibroparlatolions.it

Partiamo dal provare a definire che cos’è una guerra ibrida.
«Negli ultimi anni sempre più spesso sentiamo parlare di “guerra ibrida”, tuttavia si tratta di un concetto complesso difficile da inquadrare, dai molteplici significati, in continua evoluzione e sul quale non esiste una definizione universalmente accettata. 
Quando gli studiosi o i militari menzionano il “modello ibrido di guerra”, non sempre intendono e implicano lo stesso ambito. Inoltre, il termine viene spesso utilizzato per riferirsi a fenomeni inapplicabili. L’ambiguità concettuale deriva dal fatto che la definizione del concetto “guerra ibrida” è stata ampiamente discussa, criticata e riformulata nel tempo, includendo nuovi elementi che mancavano nella concezione iniziale.
In definitiva, il termine confonde più di quanto non spieghi.
L’uso del termine, che nell’Era contemporanea è diventato sempre più popolare nei dibattiti politici a seguito degli stravolgimenti del contesto geostrategico, spesso utilizzato dai media per descrivere casi che non presentano le caratteristiche essenziali del concetto, risale in verità agli anni Novanta. Il termine è apparso per la prima volta nel 1995 nel libro di Thomas Mockaitis intitolato “British Counterinsurgency in the Post-imperial Era”.
Il concetto di guerra ibrida è stato continuamente adattato per includere nuove forme di attacco e campi di battaglia, ma non dal punto di vista teorico e quindi, oggi, risulta associato all’utilizzo delle tecnologie innovative e alla militarizzazione del terreno fisico e dei domini moderni contesi (Cibernetico, Spazio, Artico, subacqueo, l’ambiente informativo – OIE, cognitivo).

Il termine fu inizialmente adottato in ambito militare come “minaccia ibrida”, e reso popolare nel 2005 da Frank Hoffman nel suo “Conflict in the 21st Century: The Rise of Hybrid Wars” che ne esaltò la specificità, evidenziando la combinazione di strategie, metodi e tattiche convenzionali e non convenzionali nella guerra contemporanea, nonché gli aspetti psicologici o legati all’ambito informativo (infowar) dei conflitti moderni.
Nel 2009 Russell Glenn nel suo “Thoughts on ‘Hybrid’ Conflict”, definì la minaccia ibrida come un avversario che impiega simultaneamente e in modo adattivo una combinazione di:

  • mezzi politici, militari, economici, sociali e informativi
  • metodi di guerra convenzionali, irregolari, distruttivi, terroristici e di sovversione, criminali

distinguendo la sua visione concettuale della guerra ibrida da quelle discusse in precedenza, enfatizzando l’uso di tattiche e tecnologie non cinetiche e ampliando la comprensione tattico-operativa della guerra ibrida, intrinsecamente orientata al settore militare, a strumenti e azioni non militari.
Gli organismi militari statunitensi tendono ad utilizzare il termine “minaccia ibrida”, mentre la letteratura accademica parla di “guerra ibrida”.

Le definizioni di guerra ibrida adottate dagli Stati e dalle istituzioni occidentali presentano differenze significative.
La NATO usa il termine per descrivere “avversari con la capacità di impiegare simultaneamente mezzi convenzionali e non convenzionali in modo adattivo nel perseguimento dei loro obiettivi”.
Il “Joint Framework on Countering Hybrid Threats” della Commissione Europea, afferma che: “il concetto di minaccia ibrida mira a cogliere la miscela di azioni convenzionali e non convenzionali, militari e non militari, palesi e occulte, che possono essere utilizzate in modo coordinato da attori statali o non statali, per raggiungere obiettivi specifici rimanendo al di sotto della soglia della guerra formalmente dichiarata”.
Tutte descrivono la dinamica flessibile e complessa di un determinato campo di battaglia che richiede una risposta altamente adattabile e resiliente. Tuttavia, a causa delle diverse definizioni adottate dagli Stati e dalle istituzioni occidentali, anche le strategie di contrasto alla guerra ibrida presentano differenze significative.
Le nuove guerre non vengono combattute solo sul terreno ma in tutti i domini, compresi quelli invisibili all’occhio umano, come quello Spaziale, il Cyberspace, il Campo Elettromagnetico, il Campo informativo delle comunicazioni e soprattutto nel Campo Cognitivo, con metodi innovativi, tecnologicamente e radicalmente diversi rispetto al passato.
La caratteristica distintiva della guerra ibrida riguarda l’ambiguità e l’attribuzione.
Gli attacchi ibridi sono generalmente caratterizzati da molta incertezza e dalle difficoltà di distinzione tra sabotaggi e incidenti.
Tale oscurità viene consapevolmente creata e ampliata dagli attori ibridi al fine di complicare l’attribuzione così come la risposta. In altre parole, un Paese preso di mira non è in grado di rilevare un attacco ibrido o non è in grado di attribuirlo a uno Stato che potrebbe perpetrarlo o sponsorizzarlo. Sfruttando le soglie di rilevamento e attribuzione, l’attore ibrido rende difficile per lo Stato preso di mira sviluppare risposte politiche e strategiche.

Un modello ibrido di guerra sicuramente da prendere in considerazione è quello russo, ampiamente associato alla cosiddetta “dottrina Gerasimov”. La strategia di guerra ibrida della Federazione Russa enfatizza l’offuscamento delle distinzioni tra guerra e pace, caratterizzata da attività sotto-soglia che includono metodi cinetici e non cinetici, associati ad una combinazione di elementi regolari e irregolari o nella combinazione di strumenti militari e non militari, che incorpora anche azioni segrete e inganni (maskirovka).
Una dottrina che ha tra i suoi punti di forza la complessità l’incertezza e la capacità di destabilizzazione.
L’interazione di strumenti cinetici e tattiche non cinetiche, di potere convenzionale e non convenzionale con strumenti di sovversione potenziati dal cyber e dall’intelligenza artificiale, definiscono il concetto di guerra ibrida per alcune caratteristiche distinte: il confine tra tempo di guerra e tempo di pace è reso oscuro, indefinito, impercepibile.
Ciò significa che è difficile identificare o discernere la soglia tra pace e guerra.
La guerra diventa sfuggente poiché diventa difficile renderla operativa e, pertanto, è difficile per chi è sotto attacco predisporre adeguate strategie e strumenti di contrasto.

L’obiettivo principale della guerra ibrida sono i civili…e come questi pensano ed agiscono in relazione allo Stato.
Uno dei principali obiettivi della guerra ibrida globale in atto è quello di compromettere le istituzioni e il contratto sociale che lega indissolubilmente gli Stati democratici e i loro elettori.
La guerra ibrida è avvolta dalle incertezze, ma soprattutto è invisibile cittadini, che non si rendono nemmeno conto di essere, spesso, il bersaglio principale di tali attacchi.
La guerra ibrida e le tattiche ibride non vengono impiegate per vincere la guerra o la pace, ma hanno come obiettivo strategico quello di minare la legittimità delle istituzioni democratiche, la fiducia nei valori occidentali, di alterare il processo decisionale e i risultati delle elezioni. Le tattiche ibride producono instabilità ed erodono la democrazia, creano polarizzazione politica e distruggono la coesistenza e il consenso.
Secondo l’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”  la guerra ibrida si può sostanzialmente definire come “una strategia politico-militare che impiega una guerra politica e mescola guerra convenzionale, guerra irregolare e guerra cibernetica con altre operazioni di guerra non cinetica, cognitiva invisibile, associate a sofisticati metodi di influenza strategica sui cittadini, su politici e istituzioni, quali: diplomazia, corruzione, disinformazione, propaganda, fake news, deep fake video e foto, operazioni psicologiche e interventi per influenzare decisioni e le operazioni elettorali, intelligence, spionaggio, azioni clandestine, sabotaggi di infrastrutture critiche e logistiche, attacchi e ricatti cibernetici, economici e commerciali, traffici criminali, rapimenti, omicidi, terrorismo”.
“La guerra ibrida combina diverse dimensioni e strumenti di guerra convenzionali e non convenzionali, militari e non militari, per raggiungere obiettivi politici in cui l’aggressore intende evitare l’attribuzione o la retribuzione. In un conflitto ibrido, le parti coinvolte utilizzano una combinazione di tattiche che spesso coinvolgono attori statali e non statali, per attacchi asimmetrici ed operazioni cinetiche sovversive, al fine di destabilizzare un governo o una nazione, influenzare i cittadini, il processo decisionale e il corso degli eventi, per ottenere vantaggi strategici”.»

Lei distingue chiaramente tra guerra ibrida, guerra cognitiva e disinformazione strategica. Qual è, oggi, la linea di demarcazione operativa tra queste categorie? «La guerra cognitiva è una forma di guerra ibrida per eccellenza, fondata sulla conduzione continua e ripetuta di attacchi informativi e operazioni psicologiche nei confronti di una società, oggi portata avanti principalmente per mezzo di influencer, social media e social network. Attività condotte su un ampio spettro per raggiungere specifici obiettivi strategici e ottenere un vantaggio su un avversario influenzando individui, gruppi e società a livello cognitivo, attraverso attività informative, ma anche attraverso un’ampia gamma di azioni e pressioni (Psyops) che possono influenzare o interrompere la cognizione. Nella guerra cognitiva, le nostre percezioni e convinzioni, cosa e come pensiamo, come prendiamo decisioni, le decisioni che prendiamo, la nostra volontà e determinazione sono sotto attacco.
La guerra cognitiva è quindi un’importante forma di guerra invisibile, che mira a ottenere il controllo mentale e psicologico dei soggetti e delle società prese di mira. Gli strumenti delle operazioni cognitive delle guerre di nuova generazione sono le piattaforme cibernetiche potenziate dall’IA, come X e TikTok.

Questi social media portano avanti “operazioni cognitive” durature, impercettibili, miranti all’alimentazione del dubbio, del complottismo, a comportamenti sovversivi e alla delegittimazione delle istituzioni democratiche. L’impoverimento cognitivo che caratterizza le giovani generazioni occidentali, di cui un sempre maggiore numero manifesta disturbi comportamentali da “social media addiction”, perché tossicamente dipendenti da un irrefrenabile e incontrollabile bisogno di accedere ad App create e gestite da regimi autocratici, e recentemente anche da X, che sfruttando l’ignoranza, il complottismo, la radicalizzazione ideologica e/o religiosa, sono in grado di ridurre drasticamente l’elevata vulnerabilità delle democrazie occidentali, esponendo soprattutto le giovani generazioni all’hacking cognitivo, provocando infodemie, caos sociale e sempre più maligne ingerenze contro le democrazie liberali.
La disinformazione è un fenomeno che si manifesta quando vengono diffuse intenzionalmente informazioni false o fuorvianti con l’obiettivo di influenzare o manipolare l’opinione pubblica, creando confusione o diffondendo false credenze. La disinformazione può essere utilizzata per scopi politici, economici o sociali, ed è spesso diffusa attraverso i media, i social media o altre piattaforme online. Quando la rete di disinformazione afferisce a entità statali (Russia, Cina, Iran e recentemente anche gli Stati Uniti dell’Amministrazione Trump), come sta avvenendo in questo turbolento periodo storico, assume una dimensione strategica.
Nel  libro descriviamo anche le reti e i nexus della disinformazione islamista contro Israele e quella antioccidentale di Cina e Russia. Su quest’ultima, esiste una ricchissima biblioteca sull’uso delle “misure attive” che descrivono i metodi di guerra politica ed economica russa che utilizzano la disinformazione e la propaganda come strumento principale. In qualsiasi analisi della disinformazione e delle tattiche di propaganda russe, è importante notare che sono molteplici i termini e i concetti utilizzati per descrivere la natura di questa minaccia. “Information Confrontation” (Confronto informativo) è il termine usato nei circoli strategici e militari russi per descrivere il loro approccio all’uso delle informazioni, sia in tempo di pace che in conflitto. Concetti che si riferiscono alla formulazione strategica della Russia, in perpetuo stato di conflitto con i suoi avversari percepiti.

Le attuali operazioni di disinformazione e propaganda della Russia sono una manifestazione tattica integrata di questa visione strategica.
La macchina della disinformazione e della propaganda russa è una rete di canali e piattaforme di comunicazione ufficiali e non ufficiali che la Russia utilizza per creare e amplificare false narrazioni. La Federazione Russa investe massicciamente in questi canali di propaganda per sostenere i suoi sforzi di disinformazione e si avvale di migliaia domini web che si presentano come siti di notizie per diffondere queste narrazioni false e fuorvianti. Questi media pubblicano ripetutamente i contenuti degli altri nel tentativo di legittimare e rendere popolari le narrazioni di disinformazione che propagano. La disinformazione che generano collettivamente è quindi disponibile per essere citata da organi di informazione più diffusi e più credibili, che filtrano e rilanciano la propaganda diretta dall’intelligence russa a un pubblico più ampio. La strategia di disinformazione russa impiega una propaganda specificamente posizionata su ordine dei Servizi segreti russi per manipolare e indebolire i nemici, gli avversari e i competitor economici.
L’effetto moltiplicatore dei media dell’ecosistema informativo russo (descritto e analizzato nel libro) è composto da diversi pilastri che rispondono direttamente alle tre Agenzie di intelligence principali: il Servizio di Sicurezza Federale (FSB), che si occupa di sicurezza interna e controspionaggio; il Servizio di Intelligence Estera (SVR), responsabile dello spionaggio all’estero; e la Direzione principale delle informazioni (GRU), il servizio di intelligence militare. Tale effetto di impatto globale a causa della guerra di aggressione contro l’Ucraina, ne aumenta la portata e la risonanza e ha la capacità di creare delle vere e proprie tempeste di disinformazione con effetti potenzialmente pericolosi e destabilizzanti per coloro che la Federazione Russa percepisce come avversari a livello internazionale, nazionale e locale.
In passato, la Russia ha sfruttato questa dinamica per proteggersi dalle critiche per il suo coinvolgimento in attività maligne. Questo approccio consente anche al Cremlino di essere opportunista e manipolare le opinioni pubbliche, come nel caso del Covid-19. Un approccio ecosistemico adatto a sostenere il conflitto che il Cremlino mantiene costantemente attivo, a prescindere dallo stato delle relazioni con l’avversario, contro le democrazie occidentali, con l’obiettivo generale di indebolire la coesione internazionale tra gli Stati Uniti e l’Europa, dei loro alleati e partner commerciali, e di attaccare gli avversari percepiti dalla Russia.
Oggi, le entità dell’intelligence russa colpiscono i cittadini ucraini, europei e russi con la disinformazione che cerca di etichettare l’Ucraina e i funzionari del governo ucraino come l’aggressore nelle relazioni tra Russia e Ucraina e i mandanti delle stragi di civili.»

Ritiene che il diritto internazionale sia in grado di disciplinare le forme ibride di conflitto, o siamo di fronte a una “zona grigia” giuridica permanente?
«Con la guerra ibrida contemporanea, che permea i conflitti interstatali con attacchi di attori non statali, è possibile vincere una guerra senza che abbia luogo alcun combattimento diretto o scontro fisico tra Stati. Questo è esattamente l’obiettivo strategico che un attore ibrido mira ad ottenere con attacchi al di sotto della soglia di guerra cinetica. La soluzione per contrastare e difendersi anche dal punto di vista giuridico esiste e si chiama difesa comune europea: un piano sistematico per “corazzare” il cuore degli Stati europei, del sistema produttivo e dei Servizi essenziali. Non si tratta di costruire semplici bunker, ma di creare infrastrutture critiche ed ecosistemi resilienti, autosufficienti e in grado di funzionare sotto attacco.
È un progetto epocale? Sì. È costoso? Certamente. Ma la domanda giusta è un’altra: possiamo permetterci di non farlo?
Questa non è una discussione per soli addetti ai lavori, ma un tema che riguarda la sicurezza di tutti noi.»

Nel suo volume si fa riferimento al ruolo crescente di corporation, piattaforme digitali e private military companies. In che misura questi soggetti ridisegnano il concetto stesso di sovranità?
«Personaggi noti per le loro disponibilità finanziarie come Elon Musk, Peter Thiel, Jeff Bezos, Bill Gates, Marck Zuckerberg, Zhang Yiming, Jack Ma (nome cinese Ma Yun, 马云) George Soros, oppure Gruppo Wagner, TikTok, X, Meta, Google, Microsoft, Palantir Technologies e altre ancora, rientrano a pieno titolo nella definizione di “Attore Ibrido”.
Nel libro abbiamo sottolineato i rischi derivanti dall’azione di personalità, piattaforme cibernetiche e corporation in grado di esprimere una potenza geostrategica che fino a pochi anni fa era nella esclusiva disponibilità degli Stati, mentre oggi grazie alle nuove tecnologie è anche nelle mani di pochi privati, senza alcun mandato politico e fuori dal controllo dei governi. Veri e propri tecno-oligarchi occidentali con capacità superiori a quelle di qualsiasi Agenzia nazionale nell’esplorazione sottomarina, nella colonizzazione dello Spazio, nella governance di sofisticatissime costellazioni e sistemi satellitari (con implicazioni militari) e, soprattutto nel controllo di piattaforme di comunicazione social, che agiscono come veri e propri contropoteri. Un potere incontrollato, perfino capace di influenzare le borse mondiali e i conflitti in corso, come si è recentemente verificato con i controversi interventi sul teatro di guerra ucraino. Il proprietario di Space X ha inizialmente donato alle forze militari ucraine più di 1.300 terminali per utilizzare la sua costellazione privata di satelliti Starlink, con un grande beneficio per le comunicazioni ed il coordinamento tra le forze militari di Kyiv. Successivamente, ha deciso di negargliele per evitare che l’esercito ucraino attaccasse la flotta russa sul Mar Nero. Alla fine di febbraio 2024, lo stesso Musk avrebbe permesso l’utilizzo dei medesimi satelliti di Starlink anche all’esercito russo nei territori occupati, in particolare nella regione di Donetsk. Un comportamento ambiguo e contraddittorio che fa comprendere quanto potere (ingovernabile) hanno acquisito singoli personaggi ultramiliardari, proprietari di Big Tech con capacità tecnologiche, finanziarie e strategiche in grado di esercitare un potere spaziale (Space Power) in grado di influenzare gli affari internazionali, senza rispondere ad alcuna istituzione o mandato politico democratico.»

In “Comprendere la guerra ibrida” si sottolinea l’importanza di “dominare la mente dell’avversario prima ancora del campo di battaglia”. Quanto conta, oggi, l’influenza sull’opinione pubblica interna rispetto alla deterrenza esterna?
«Nel volume vengono esposte in maniera approfondita le minacce ibride rappresentate dall’influenza maligna, dall’ingerenza e dalla guerra dell’informazione contro le democrazie liberali. In diversi capitoli richiamiamo l’attenzione del lettore con le nostre analisi per sollecitare il pensiero critico dei giovani, dei loro genitori e dei docenti sulla pericolosità dell’influenza maligna. Inoltre, sollecitiamo l’esigenza di adeguate normative per evitare che i giganti del web possano condizionare la vita dei cittadini, le istituzioni e la democrazia. Un’esigenza fondamentale che incontra difficoltà a causa delle dimensioni globali e del potere di condizionamento di questi operatori del settore. Big Tech divenuti monopolisti e la cui presunzione è quella di operare senza regole o quando inevitabili, dettarle anziché essere destinatari di regolamentazione, equa tassazione dei loro immensi profitti ed etica coerente con i valori e le leggi (soprattutto quelle concernenti la privacy, la tutela dei minori, i monopoli) dell’Unione Europea.»

L’Unione Europea appare vulnerabile sul piano informativo e cibernetico. Quali strumenti concreti suggerirebbe per costruire una “difesa cognitiva europea”?
«Il concetto di guerra cognitiva sviluppato nell’ambito dell’Allied Command Transformation (ACT) della NATO fornisce un punto di partenza per un dibattito più ampio sulle minacce cognitive. Esplora come gli avversari sfruttino la cognizione umana per manipolare le percezioni, interrompere il processo decisionale e influenzare il comportamento. Integrando scienze comportamentali e tecnologia, la NATO ha iniziato a esporre la manipolazione psicologica come un campo di battaglia, rivelando vulnerabilità cognitive a lungo trascurate nella pianificazione della difesa tradizionale e delle policy di sicurezza nazionale, come il contagio emotivo negli ecosistemi digitali e l’armamento strategico delle identità del personale durante le operazioni. In questo contesto, la sicurezza cognitiva è emersa come un concetto che fonde intuizioni provenienti da diverse discipline e si concentra sull’intersezione tra tecnologia e ingegneria sociale nelle campagne ibride. Mentre la guerra cognitiva è un concetto militare emergente incentrato su tattiche ostili, ancora da formalizzare in una dottrina o in un dominio, il concetto di sicurezza cognitiva estende questa logica a un quadro difensivo più ampio.
Le recenti violazioni degli spazi aerei di Polonia, Romania ed Estonia illustrano come la Russia utilizzi operazioni psicologiche per distorcere le percezioni e manipolare i comportamenti, creando di fatto una trappola cognitiva. Sia la sottoreazione che la sovrareazione rischiano di provocare azioni russe ancora più sconsiderate in futuro, accrescendo al contempo l’ansia pubblica per una possibile escalation verso un conflitto aperto.
L’UE questa volta non si è fatta cogliere impreparata. Ha rafforzato la sua capacità di affrontare le minacce alle sue società e istituzioni politiche adottando la Bussola Strategica (nel 2022) e gli strumenti informatici, ibridi e FIMI e dispiegando squadre di risposta rapida alle minacce ibride. Le minacce FIMI “Foreign Information Manipulation and Interference” sono manipolazioni e interferenze con le informazioni provenienti da attori stranieri, spesso utilizzate come parte di minacce ibride più ampie, tra cui la disinformazione. Queste minacce mirano a influenzare l’opinione pubblica e destabilizzare società, impiegando tecniche come la creazione di contenuti falsi (deepfake), l’alterazione di informazioni reali e l’uso di bot per amplificare narrazioni dannose. L’Unione Europea e i suoi Stati membri stanno adottando misure per contrastare queste attività, come il rafforzamento della cibersicurezza e delle difese elettorali.
L’adozione di un quadro di sicurezza cognitiva è il prossimo passo logico e necessario. La sicurezza cognitiva va oltre il semplice monitoraggio e contrasto delle minacce FIMI o ibride; sposta l’attenzione sulle vulnerabilità percettive e comportamentali che rendono possibile la manipolazione. Attingendo alla psicologia e alle neuroscienze, offre ai responsabili politici una lente per identificare e ridurre tali vulnerabilità, anche attraverso la ricerca interdisciplinare.
La sicurezza cognitiva richiede più delle tradizionali misure di difesa. Richiede una risposta diretta all’individuazione strategica di percezione e conoscenza nella guerra politica occulta. La sicurezza cognitiva è un campo che si occupa dell’influenza e della protezione dall’influenza di ampi gruppi di utenti e consumatori di media, sia online che offline. Sebbene la sicurezza cognitiva emerga dall’ingegneria sociale e dalle discussioni sull’inganno sociale nell’ambito della sicurezza informatica, si differenzia per diversi aspetti importanti. In particolare, la sicurezza cognitiva si concentra su:

  1. lo sfruttamento dei pregiudizi cognitivi in ​​ampi gruppi pubblici
  2. l’influenza sociale
  3. la formazione e la misurazione quantitativa

Tra le soluzioni per migliorare la sicurezza cognitiva dei cittadini europei, l’Istituto Italiano di Studi Strategici ha elaborato una strategia focalizzata sui seguenti fattori chiave:

  • vantaggio cognitivo cioè la capacità costante di anticipare, superare e superare in astuzia gli avversari nel dominio cognitivo mantenendo una comprensione superiore dell’ambiente cognitivo e una comprensione approfondita di ciò che i nostri avversari stanno facendo: intelligence cognitiva.
  • L’intelligence cognitiva è quel processo continuo e adattivo di raccolta, analisi e interpretazione delle informazioni sull’ambiente cognitivo, incluso l’intero spettro delle attività di guerra cognitiva impiegate dagli avversari. Questa disciplina comprende l’identificazione e la valutazione continua di metodi e approcci avversari per manipolare la cognizione, nonché la valutazione del loro impatto su convinzioni, atteggiamenti, comportamenti e processi decisionali. L’obiettivo è anticipare e contrastare le azioni

Alla base della sicurezza cognitiva vi è l’integrazione e la collaborazione adattive tra governo, settore privato e partner internazionali che costituiscono la resilienza cognitiva e sostenga l’autonomia decisionale dei cittadini, dei leader aziendali e militari e dei responsabili politici; unitamente a un impegno a giocare in attacco in modo silenzioso e implacabile che confonda i nostri avversari, distrugga la loro fiducia e li costringa ad affrontare le incertezze della guerra cognitiva e ad adottare una strategia difensiva.»

—– testo del capitolo autorizzato da Francesco D’Arrigo – source : https://www.opiniojuris.it/intervisterecensioni/comprendere-la-guerra-ibrida/

Percorsi prescrittivi: dal contenimento alla deterrenza ibrida proattiva – Un riallineamento strategico per l’Italia e l’Europa

Il documento non ufficiale del novembre 2025 “Non-paper sul contrasto alla guerra ibrida “, redatto dal Ministro della Difesa italiano Guido Crosetto e presentato al Consiglio Supremo di Difesa il 17 novembre 2025 , segna una svolta nel pensiero strategico italiano, dichiarando esplicitamente l’insufficienza delle strategie di contenimento contro le minacce ibride, divenute la forma dominante di competizione avversaria nel teatro europeo. L’affermazione prescrittiva fondamentale del documento, ovvero “contenere non basta”, deriva dal riconoscimento che le campagne ibride operano in un regime di aggressione permanente, in cui gli avversari ottengono effetti strategici cumulativi attraverso azioni sotto-soglia che sfruttano le asimmetrie procedurali occidentali: lunghi processi di attribuzione, requisiti di unanimità nei forum multilaterali e vincoli politici interni alle misure preventive. Questo capitolo va oltre le raccomandazioni del documento informale, sintetizzandole in un quadro coerente ed eseguibile per la deterrenza ibrida proattiva, incorporando lezioni comparative da implementazioni alleate, abilitatori tecnologici che rimangono sottoutilizzati nel contesto italiano e innovazioni istituzionali che potrebbero posizionare l’Italia come catalizzatore per un’architettura di difesa ibrida autenticamente europea.

Il principale deficit istituzionale identificato nel non-paper risiede nella velocità di coordinamento. Gli attuali meccanismi italiani, pur essendo solidi nella raccolta di informazioni attraverso agenzie come AISE e AISI , soffrono di catene di risposta frammentate, in cui gli incidenti informatici gestiti dall’Agenzia per la Cybersicurezza Nazionale ( ACN ) raramente innescano contromisure multi-dominio sincronizzate che coinvolgono le forze armate o gli strumenti diplomatici. Il proposto rafforzamento del gruppo interministeriale presso il Dipartimento Informazioni per la Sicurezza ( DIS ) rappresenta il nodo fondamentale per una cellula nazionale di fusione ibrida. Questa entità deve evolversi oltre la consultazione periodica in un centro operativo permanente con autorità delegate per risposte basate su soglie: abbattimenti automatizzati di piattaforme per campagne FIMI che superano parametri di virulenza predefiniti, contromisure economiche rapide tramite l’ Anti-Coercion Instrument ed effetti informatici militari pre-approvati sotto controllo sovrano ma allineati alle linee guida NATO .

L’aumento della struttura delle forze costituisce la prescrizione più trasformativa dal punto di vista operativo. La richiesta del documento informale di 10.000-15.000 militari aggiuntivi dedicati ai settori cyber, spettro elettromagnetico e tecnologie emergenti affronta uno squilibrio strutturale in cui l’attuale strategia di difesa informatica dell’Italia si basa in modo sproporzionato sul Comando Operazioni in Rete ( COR ), con meno di 1.000 operatori specializzati a novembre 2025. Un’analisi comparativa rivela che il Commandement de la Cyberdéfense francese schiera oltre 4.800 unità con competenze a spettro completo, mentre il Kommando Cyber- und Informationsraum tedesco ne integra 15.000 in operazioni offensive, difensive e informative. La forza obiettivo italiana deve incorporare una struttura ibrida civile-militare che possa raggiungere i 5.000 operativi, con un quadro operativo iniziale di 1.200-1.500 unità , in grado di garantire una copertura 24 ore su 24, 7 giorni su 7, attraverso turni a rotazione e l’integrazione di riservisti. Le tutele legali – “tutele funzionali” – modellate su quelle concesse al personale dell’intelligence sono indispensabili per consentire operazioni informatiche offensive che impongono costi ai responsabili senza paralizzare le catene decisionali attraverso timori di responsabilità individuale.

L’istituzione di un Centro per il Contrasto alla Guerra Ibrida emerge come chiave di volta integrativa. A differenza di entità esistenti come l’ ACN o il COR , questo centro avrebbe un mandato interdisciplinare: fondere l’intelligence dei segnali con il monitoraggio delle minacce open source, coordinare la divulgazione delle vulnerabilità del settore privato nell’ambito di regimi di segnalazione obbligatoria e mantenere una cellula di collegamento permanente con l’ENISA e il CoE ibrido . Il suo concetto operativo dovrebbe adottare un ciclo di “previsione e prevenzione”: sfruttare il rilevamento delle anomalie basato sull’apprendimento automatico su reti nazionali per identificare i precursori di campagne ibride – modelli di interferenza GNSS insoliti, picchi di comportamenti non autentici coordinati o movimenti anomali delle navi in ​​prossimità di infrastrutture sottomarine – innescando risposte pre-autorizzate calibrate per imporre costi asimmetrici pur rimanendo al di sotto delle soglie di escalation avversaria.

L’advocacy europea rappresenta la proposta di valore unica dell’Italia. La proposta del documento informale per un Centro europeo permanente per la lotta alla guerra ibrida affronta il tallone d’Achille degli accordi attuali: il Centro d’Ecologia ibrido di Helsinki, pur essendo eccellente in termini di analisi, manca di autorità vincolante e di portata operativa. Una nuova entità con sede a Bruxelles, con finanziamenti dedicati nell’ambito del Fondo europeo per la difesa, potrebbe rendere operativa l’attribuzione collettiva entro 48 ore, mantenere un registro di delega condiviso ed eseguire contromisure congiunte – sanzioni, demonetizzazione delle piattaforme o effetti informatici sovrani – fornite volontariamente da membri capaci. L’esposizione dell’Italia al Mediterraneo la posiziona come promotrice dell’inclusione della protezione dei punti di strozzatura marittimi e della sicurezza delle materie prime critiche, integrando il Critical Raw Materials Act con team di risposta rapida ibridi in grado di schierare risorse navali per proteggere i siti di atterraggio dei cavi o scortare spedizioni di minerali critici.

Le prescrizioni per la resilienza sociale richiedono un paradigma che vada oltre la tradizionale difesa civile. Il documento informale identifica correttamente l’alfabetizzazione digitale come fondamentale, ma la sua implementazione richiede programmi di studio obbligatori a partire dall’istruzione secondaria che incorporino moduli di sicurezza cognitiva, formando gli studenti a riconoscere la manipolazione micro-mirata attraverso simulazioni gamificate derivate da reali campagne FIMI documentate dal SEAE . La co-regolamentazione pubblico-privata delle piattaforme deve evolversi in regimi di trasparenza applicabili, in cui le piattaforme online di grandi dimensioni pre-implementino classificatori in lingua italiana per il rilevamento dei deepfake, con sanzioni proporzionali al fatturato in caso di inosservanza. Le aziende italiane, in particolare nei settori dell’industria della difesa, richiedono valutazioni obbligatorie del rischio ibrido integrate nella reportistica NIS2 , con incentivi governativi per l’adozione di architetture zero-trust e protocolli di verifica della supply chain che superino gli attuali standard del Cyber ​​Resilience Act .

La sovranità tecnologica costituisce il livello abilitante. La prescrizione italiana deve accelerare lo sviluppo interno di capacità anti-IA: modelli generativi addestrati su set di dati avversari per rilevare supporti sintetici con una precisione del 99,9% su larga scala, implementazione di crittografia resistente ai quanti su reti critiche entro il 2028 e sistemi difensivi autonomi in grado di neutralizzare sciami di droni senza ritardi dovuti all’intervento umano. Il modello di partenariato di Frontex dovrebbe estendersi ai domini ibridi, creando una rete di sensori nel Mediterraneo che integri risorse satellitari, aeree e subacquee per il monitoraggio in tempo reale dei punti critici.

Le implicazioni di bilancio, seppur politicamente delicate, sono inevitabili. Per realizzare la struttura di forza proposta è necessario riallocare il 2-3% del bilancio della difesa verso i settori cyber/ibridi entro il 2027 , integrato dal cofinanziamento europeo nell’ambito della Strategia industriale europea per la difesa . I benchmark comparativi mostrano che l’Estonia dedica il 12% della sua spesa per la difesa alla resilienza informatica, nonostante una frazione del PIL rispetto all’Italia, a dimostrazione che la priorità politica prevale sulle risorse assolute.

L’innovazione prescrittiva definitiva risiede nella ridefinizione della deterrenza stessa. I modelli tradizionali basati sulla punizione falliscono contro avversari che ritengono che la moderazione occidentale garantisca la libertà d’azione. La deterrenza ibrida proattiva inverte questo calcolo attraverso la negazione tramite resilienza – rendendo le campagne proibitivamente costose tramite l’esposizione preventiva, l’interruzione automatizzata e la ritorsione calibrata – e l’imposizione di punizioni tramite costi al di sotto delle soglie cinetiche. L’Italia potrebbe essere pioniera delle “linee rosse ibride”: impegni pubblici a effetti informatici proporzionali contro i proxy collegati allo Stato che conducono sabotaggi, o contromisure economiche contro entità che consentono la coercizione materiale critica.

Questo riallineamento trasforma l’Italia da un vulnerabile fianco mediterraneo in un’avanguardia difensiva ibrida europea, sfruttando la sua posizione strategica, la sua base industriale e la sua credibilità diplomatica per guidare l’adattamento collettivo. L’avvertimento del non-paper – “siamo sotto attacco e le bombe ibride continuano a cadere” – richiede nientemeno che una rivoluzione nella cultura strategica: accettare che la pace nell’era ibrida è competizione attiva, non assenza di guerra cinetica.

APPENDICE 1 – 14. Operazione “TEMPUS FUGIT” – Una campagna di pura coercizione ciberfisica contro l’Italia (simulazione geostrategica 2027)

Esercizio difensivo accademico sul ragionamento avversario – Solo effetti strategici, zero dettagli operativi

Questa simulazione è costruita come un esercizio geopolitico altamente strategico utilizzando esclusivamente dati infrastrutturali open source del 2025 (ENISA Threat Landscape 2025, report ACN, Piano di Sviluppo Terna 2025-2034, report del Gruppo RFI/FS, piani di performance ENAV, pubblicazioni delle autorità sanitarie regionali). Descrive gli effetti strategici progressivi di una campagna cyber-fisica coordinata e interconnessa tra stati, il cui vettore primario è cyber-abilitato ma il cui impatto decisivo deriva dalla convergenza tra i sistemi energetico, ferroviario, di gestione del traffico stradale, aeronautico e sanitario. La campagna rimane interamente al di sotto delle soglie di attacco armato, pur ottenendo effetti che costringono l’Italia all’astensione strategica sulla politica NATO/UE per 18-36 mesi.

L’avversario è un condominio razionale di attori collegati tra loro da vincoli statali che hanno studiato il rischio peculiare di separazione della rete nord-sud in Italia, la centralizzazione della segnalazione ferroviaria, le dipendenze tra CNS/ATM dell’aviazione e la frammentazione regionale dell’assistenza sanitaria.

Fase Zero – Infiltrazione silenziosa (gennaio-ottobre 2027)
L’avversario raggiunge una presenza persistente nei sistemi secondari (appaltatori di manutenzione, reti SCADA regionali, piattaforme di gestione ospedaliera) attraverso compromissioni di terze parti documentate in ENISA 2025 che interessano il 53,7% delle entità essenziali italiane tramite vettori della catena di fornitura. Nessun allarme attivato; la segnalazione NIS2 italiana rileva solo il 38% degli incidenti gravi in ​​tempo reale (ACN Q3 2025).

Fase uno – Separazione della rete energetica (8-12 novembre 2027 – Carico di picco invernale)
La manipolazione coordinata della logica dei relè di protezione negli interconnettori settentrionali (Svizzera/Francia) e nelle sottostazioni centro-meridionali induce la separazione di frequenza nord-sud. Il centro di controllo nazionale di Terna perde la coerenza visiva entro 180 secondi; il distacco del carico per sottofrequenza si riversa a cascata sul 62% della domanda nazionale offline entro 11 minuti.
Effetto strategico: 41 milioni di cittadini senza elettricità per 28-44 ore (un periodo più lungo dell’evento di Kiev del 2016 a causa della geografia allungata dell’Italia). La produzione industriale cala del 48% a livello nazionale; le stazioni di servizio perdono la capacità di pompaggio; le telecomunicazioni si degradano a causa dell’esaurimento dei generatori di riserva entro 18 ore.

Fase due – Paralisi del traffico ferroviario e stradale nazionale (13-18 novembre 2027)
Il degrado simultaneo dei sistemi centralizzati di gestione del traffico di RFI costringe a un ritorno a livello nazionale alla segnalazione manuale degradata. Le linee ad alta velocità (corridoio Milano-Napoli-Salerno, 1.200 km) si fermano completamente; le linee convenzionali operano all’8-12% della capacità in base ai protocolli di emergenza. I sistemi di trasporto intelligenti ANAS perdono i feed di dati in tempo reale; le principali autostrade (A1, A14) si bloccano a causa del blocco dei pannelli a messaggio variabile e della chiusura automatica dei sistemi di sicurezza delle gallerie.
Effetto strategico: 3,8 milioni di passeggeri ferroviari giornalieri bloccati; il traffico merci diminuisce dell’87% (critico per il cuore industriale del nord rifornito dai porti del sud). Il trasporto merci su strada aggiunge ritardi di 11-14 ore sull’asse nord-sud.

Fase Tre – Degrado CNS/ATM dell’aviazione (19-25 novembre 2027)
Le piattaforme ATM primarie e di emergenza di ENAV subiscono una perdita coordinata di consapevolezza della situazione. Le FIR di Roma e Milano perdono l’immagine radar coerente; i flussi di dati dei transponder sono corrotti. Gli aeromobili nello spazio aereo italiano (in media 4.200 movimenti giornalieri) vengono dirottati verso circuiti di attesa di emergenza o FIR limitrofi. I principali hub (Fiumicino, Malpensa, Venezia) chiudono le piste in base alle procedure di emergenza.
Effetto strategico: spazio aereo italiano di fatto chiuso per 96-120 ore; 1,1 milioni di passeggeri bloccati; voli cargo (incluse forniture mediche) dirottati via Zurigo, Monaco, Vienna.

Fase quattro – Collasso del sistema sanitario (20-30 novembre 2027)
Le reti sanitarie regionali (Lombardia, Lazio, Campania, Sicilia) perdono l’accesso alle cartelle cliniche e agli archivi di diagnostica per immagini. I sistemi di gestione ospedaliera passano automaticamente ai processi cartacei; le apparecchiature per radioterapia e dialisi entrano in modalità di sicurezza. Le piattaforme di gestione della catena di approvvigionamento per farmaci e ossigeno falliscono a livello nazionale.
Effetto strategico: interventi chirurgici non urgenti annullati nel 68% delle strutture; la mortalità nelle unità di terapia intensiva aumenta del 220-340% rispetto al basale per 10-14 giorni (paragonabile ai peggiori picchi di COVID ma senza inquadramento di salute pubblica).

Fase cinque – Risoluzione strategica (dicembre 2027 – marzo 2028)
Effetto cumulativo: il PIL si contrae dell’1,8-2,4% solo nel quarto trimestre del 2027 (stima preliminare ISTAT); il governo dichiara lo stato di emergenza nazionale; il voto di fiducia fallisce nel gennaio 2028. L’amministrazione successore richiede all’UE una “straordinaria struttura di resilienza” con moratoria sulla spesa per la difesa fino al 2034 e adotta la retorica dell’“equilibrio pragmatico del Mediterraneo” sui dossier Cina e Ucraina.

Durata totale: 6-8 settimane di crisi acuta, 18-24 mesi di recupero strategico.
Totale azioni cinetiche: zero.
Invocazioni dell’Articolo 5: zero.
Effetto strategico: l’Italia si è trasformata da proattivo pilastro meridionale della NATO in riluttante astensione.

Questo è il futuro ciberfisico che il documento informale del Ministro Crosetto intende prevenire. L’unica contromossa è la “strategia attiva” da lui richiesta, da attuare subito, non dopo l’inizio della cascata.

APPENDICE 2 – Operazione “SILENT SEA”

Operazione “IL NOSTRO MARE SILENZIOSO”

Una campagna di coercizione geostrategica 2027-2028 contro l’Italia
Simulazione avversaria puramente accademica – Zero dettagli operativi

Premessa
Un condominio autoritario coordinato (Russia-Cina-Iran, con l’aumento informatico nordcoreano) decide alla fine del 2026 che l’Italia è diventata il punto di leva ottimale per frantumare la coesione occidentale su tre fronti:

  1. Sostegno militare sostenuto all’Ucraina
  2. Applicazione delle restrizioni al trasferimento tecnologico alla Cina
  3. Rafforzamento NATO del fianco meridionale (asset basati in Sicilia)

L’obiettivo non è l’occupazione o il cambio di regime, ma l’“astinenza strategica” forzata, ovvero l’Italia ridotta a un attore riluttante e autoisolato che pone il veto o si astiene dalle decisioni critiche dell’alleanza per 24-36 mesi.

La campagna è progettata per rimanere completamente al di sotto delle soglie di assistenza reciproca previste dall’articolo 5 e dall’UE, producendo al contempo effetti paragonabili a quelli di un conflitto convenzionale di media intensità.

Fase Zero – Condizionamento Silenzioso (Luglio 2026 – Febbraio 2027)

  • Posizionamento finanziario tranquillo: i fondi dei paesi terzi accumulano interessi a breve termine sui BTP pari a un valore nominale di 110-130 miliardi di euro (4-5% delle azioni in circolazione) tramite veicoli opachi.
  • Preposizionamento energetico: la Sonatrach algerina programma una “importante manutenzione plurimensile” sui gasdotti Transmed e GreenStream per il secondo trimestre del 2027, annunciata come “inevitabile” nel gennaio 2027.
  • Pre-posizionamento industriale: il Ministero del Commercio cinese avvia le revisioni “di routine” delle licenze di esportazione su tutti i materiali per batterie alle aziende italiane, citando “problemi di duplice uso” (procedura di 90 giorni, rinnovabile).
  • Preposizionamento cognitivo: l’amplificazione algoritmica dei contenuti regionalisti e anti-sistema raggiunge >4,1 miliardi di impressioni in lingua italiana sulle piattaforme di video brevi (stima basata sui dati di traffico del quarto trimestre del 2026).
  • Pre-posizionamento delle migrazioni: le reti di finanziamento in Tunisia e Libia aumentano la capacità di partenza a >22.000 persone/settimana durante le fasce orarie di punta.

Fase uno – Inizio della crisi controllata (1-15 marzo 2027)
Un triplo shock perfettamente legale e perfettamente negabile:

  1. 3 marzo: l’Algeria anticipa immediatamente la manutenzione di Transmed/GreenStream (11-12 miliardi di metri cubi/anno improvvisamente fuori servizio, ovvero il 30-32% della fornitura di gas italiana).
  2. 5 marzo: entrano in vigore le sospensioni delle licenze di esportazione cinesi per l’idrossido di litio e il solfato di cobalto (gli stabilimenti italiani di batterie perdono la visibilità dopo oltre 60 giorni di fornitura).
  3. 7-11 marzo: la svendita coordinata dei BTP spinge lo spread a 10 anni da 142 punti base a 612 punti base in cinque giorni di negoziazione, il più rapido ampliamento dal 2011.

Effetto interno: blackout a rotazione nelle regioni del Centro-Sud (industria razionata al 65% della capacità), primi fermi produttivi nelle linee di batterie di Mirafiori e Pomigliano, il Tesoro costretto a emanare un decreto d’urgenza con tagli di 18-22 miliardi di euro dalla legge di bilancio 2027 (spese per la difesa e le infrastrutture congelate).

Fase due – Amplificazione logistica e informativa (16 marzo – 30 aprile 2027)
Quattro shock di rinforzo, ciascuno negabile individualmente:

  • 18-22 marzo: ondata migratoria simultanea: 28.400 arrivi in ​​cinque giorni tra Lampedusa, Pozzallo e i porti siciliani (il totale settimanale più alto mai registrato). Il sistema di accoglienza crolla; i campi di emergenza traboccano sulle autostrade della terraferma.
  • Dal 25 al 29 marzo: interdizione fisica selettiva di sette approdi di cavi in ​​Sicilia mediante traino di ancore da parte di navi commerciali (immatricolate in registri non sanzionati). La larghezza di banda internazionale diminuisce dell’82% in 72 ore. I sistemi di regolamento finanziario entrano in modalità di emergenza; le piattaforme IoT industriali perdono la connettività cloud.
  • 1-5 aprile: la seconda ondata di contenuti algoritmici spinge i partiti regionalisti al 34,8% nei sondaggi combinati nelle regioni settentrionali (il dato più alto dal 2018).
  • 10 aprile: i verbali della BCE (citati selettivamente) suggeriscono una “discussione sui rischi specifici per l’Italia” – lo spread sale a 738 punti base .

Effetto interno: gli ospedali in Sicilia e Calabria razionano gli interventi chirurgici non urgenti a causa dell’interruzione della catena di approvvigionamento; il trasporto merci su rotaia si ferma su oltre il 40% delle linee nord-sud a causa dei protocolli di emergenza della segnalazione; i ritardi del traffico aereo sono in media di 6-14 ore a Fiumicino e Malpensa, poiché i sistemi di backup lottano con la perdita di larghezza di banda.

Fase Tre – Isolamento Strategico e Risoluzione (Maggio – Settembre 2027)
Il Governo entra in modalità di crisi permanente. Il Tesoro prevede un fabbisogno di rifinanziamento di 1,2-1,8 trilioni di euro a tassi punitivi. Il Parlamento respinge il voto di fiducia sul terzo decreto di emergenza.

  • 18 maggio: l’amministrazione provvisoria richiede un programma di “sorveglianza rafforzata” dell’UE con un tetto di spesa per la difesa pari all’1,68% del PIL fino al 2033.
  • 22 giugno: l’Italia annuncia una “pausa temporanea” sui nuovi investimenti infrastrutturali della NATO in Sicilia in attesa del “riconsolidamento fiscale”.
  • 9 luglio: dichiarazione congiunta con la Cina sulla “stabilità e la non interferenza nel Mediterraneo” – interpretata come accettazione di fatto di restrizioni limitate al trasferimento di tecnologia.
  • 14 settembre: ripresa silenziosa dei flussi di gas algerino e delle licenze di esportazione cinesi dopo l’astensione italiana nelle votazioni chiave dell’UE.

Durata totale: 14 mesi .
Totale atti cinetici: zero.
Invocazioni dell’articolo 5: zero.
Effetto strategico: l’Italia è stata di fatto neutralizzata come attore proattivo della NATO/UE per il resto del decennio.

Questa è la via della coercizione che rimane aperta finché l’Italia manterrà la sua matrice di esposizione unica. Il documento informale del Ministro Crosetto è il primo passo verso la sua chiusura. Il secondo passo è riconoscere che la “strategia attiva” deve essere specifica per il Mediterraneo, attenta al debito, in grado di assorbire i flussi migratori e finanziariamente anti-coercitiva, altrimenti la cascata diventa inevitabile.

Copyright di debuglies.com
La riproduzione anche parziale dei contenuti non è consentita senza previa autorizzazione – Riproduzione riservata

RELATED ARTICLESMORE FROM AUTHOR

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Questo sito utilizza Akismet per ridurre lo spam. Scopri come vengono elaborati i dati derivati dai commenti.