Il 29 dicembre 2025, alle prime ore del mattino, un singolo threat actor ha colpito la Polonia con uno degli attacchi più sofisticati mai registrati contro l’infrastruttura energetica di un paese membro della NATO. In poche ore, oltre 30 impianti eolici e fotovoltaici, due centrali di cogenerazione e un sistema di gestione dell’energia rinnovabile sono stati compromessi. Uno degli impianti colpiti forniva calore a quasi 500.000 famiglie, in una notte in cui le temperature erano scese a meno 15 gradi centigradi. Questo è lo stato attuale della guerra ibrida russa contro l’Europa.
Nei mesi successivi, la Svezia, la Norvegia e la Danimarca hanno rivelato attacchi analoghi contro le loro infrastrutture energetiche e idriche. L’Atlantic Council ha documentato oltre 150 episodi di sabotaggio, cyberattacchi e operazioni di influenza riconducibili alla Russia in tutta Europa dal 2022. La fase degli attacchi DDoS dimostrativi è finita: Sandworm e i suoi affiliati puntano ora a distruggere fisicamente le infrastrutture critiche europee.
L’Attacco del 29 Dicembre 2025: Anatomia di un’Operazione Distruttiva
CERT Polska ha pubblicato il rapporto ufficiale il 30 gennaio 2026, dopo settimane di analisi forense. I dati sono inequivocabili: il 29 dicembre 2025, nelle ore mattutine e pomeridiane, un singolo threat actor ha condotto attacchi coordinati contro obiettivi multipli nell’infrastruttura energetica polacca. Gli attacchi avevano un obiettivo puramente distruttivo, non di esfiltrazione di dati.
La lista degli obiettivi colpiti include più di 30 impianti eolici e fotovoltaici distribuiti su tutto il territorio nazionale, una grande centrale di cogenerazione (CHP) che alimentava il sistema di riscaldamento di quasi 500.000 famiglie, una società manifatturiera privata, e il sistema SCADA utilizzato per gestire l’energia proveniente da fonti rinnovabili (RES). Quest’ultimo bersaglio era strategico: rendendo “cieco” il sistema di bilanciamento della rete rispetto al 25% della produzione energetica polacca (la quota delle rinnovabili), gli aggressori puntavano a innescare un collasso della frequenza di rete.
Il tempismo non era casuale. La notte del 29 dicembre 2025, la Polonia registrava temperature di meno 15 gradi centigradi. Un blackout in quelle condizioni avrebbe avuto conseguenze umanitarie immediate. Il Primo Ministro polacco Donald Tusk, parlando a una conferenza stampa il 15 gennaio 2026, ha dichiarato: “Tutto indica che questi attacchi sono stati preparati da gruppi direttamente collegati ai servizi russi. La Polonia si è difesa con successo e non ci sono state conseguenze negative come la destabilizzazione del sistema energetico nazionale o un blackout.”
La difesa ha retto, ma non senza danni. CERT Polska e l’Atlantic Council confermano che alcune apparecchiature industriali sono state danneggiate oltre la possibilità di riparazione e che le comunicazioni tra gli asset energetici e i loro operatori sono state degradate per ore. Nessun blackout, ma la dimostrazione che un’infrastruttura NATO è vulnerabile a un attacco ICS/SCADA di questa portata.
Il 30 dicembre, lo stesso giorno successivo all’attacco principale, il threat actor ha effettuato un secondo tentativo, questa volta contro una seconda centrale di cogenerazione e contro le reti di gestione centrale della rete elettrica. CERT Polska nota che tra i 29 e i 30 dicembre sono stati colpiti anche sistemi IT e OT (operational technology), con danni che si sono propagati dalle reti di comunicazione ai componenti fisici degli impianti. Alcune stazioni di controllo remoto per la gestione delle turbine eoliche hanno perso il collegamento con i sistemi centrali per ore.
Sandworm o Dragonfly? La Doppia Attribuzione che Rivela la Struttura del Cyber Russo
L’attribuzione dell’attacco polacco ha prodotto due conclusioni apparentemente contrastanti che, in realtà, si completano. CERT Polska, analizzando l’infrastruttura utilizzata (server VPS compromessi, router, pattern di traffico e infrastruttura di anonimizzazione), ha individuato una sovrapposizione molto alta con il cluster di attività noto come Static Tundra (Cisco), Berserk Bear (CrowdStrike), Ghost Blizzard (Microsoft) e Dragonfly (Symantec). Questo gruppo è associato a FSB Center 16, un’unità chiave del Servizio Federale di Sicurezza russo, come confermato da un alert dell’FBI pubblicato nell’agosto 2025.
ESET, la più grande azienda di cybersecurity dell’UE per ricerca in Europa orientale, ha analizzato il malware utilizzato nell’attacco e ha concluso che il responsabile è con alta probabilità Sandworm, noto anche come APT44, il gruppo affiliato al GRU (l’intelligence militare russa) già associato ad attacchi distruttivi in Ucraina, incluso il blackout della rete elettrica di Kyiv del 2015 e la creazione di NotPetya nel 2017. CERT Polska nota esplicitamente che questa è “la prima attività distruttiva pubblicamente descritta attribuita a questo cluster di attività” in riferimento a Static Tundra/Dragonfly, suggerendo una possibile coordinazione operativa tra i due gruppi.
La distinzione operativa tra Sandworm (GRU) e Dragonfly (FSB Center 16) riflette la struttura dell’apparato cyber russo: il GRU tende a operazioni più audaci e distruttive, l’FSB si concentra sulla ricognizione e sul posizionamento a lungo termine nelle reti di infrastrutture critiche. L’attacco del 29 dicembre combina entrambi gli approcci: un lungo accesso preliminare seguito da un’azione distruttiva pianificata con precisione. La dualità dell’attribuzione potrebbe indicare che le due agenzie russe hanno cooperato in questa operazione, il che rappresenterebbe un’escalation significativa rispetto alle operazioni precedenti.
270.000 Attacchi in Polonia nel 2025: Il Contesto Numerico della Minaccia
L’attacco di dicembre non è stato un episodio isolato. Il Vice Ministro degli Affari Digitali polacco Paweł Olszewski, parlando il 24 marzo 2026, ha rivelato che nel 2025 la Polonia ha subito 270.000 cyberattacchi, un aumento di 2,5 volte rispetto all’anno precedente. La Polonia, per la sua posizione geografica e il suo supporto all’Ucraina, è da anni il bersaglio principale dei cyberattacchi russi in Europa: nel primo anno dell’invasione aperta della Russia in Ucraina, i cyberattacchi contro la Polonia erano già aumentati del 300%.
Il dato di 270.000 attacchi annuali corrisponde a circa 740 attacchi al giorno, 31 ogni ora. La stragrande maggioranza sono attacchi di opportunità (phishing, DDoS, tentativi di exploit automatizzati), ma l’attacco del 29 dicembre rappresenta una categoria completamente diversa: un’operazione pianificata per mesi, con ricognizione preliminare delle reti SCADA, sviluppo di malware wiper personalizzato e coordinazione di attacchi simultanei su più bersagli. I ricercatori di OMICRON Cybersecurity stimano che la fase di ricognizione dell’attacco polacco sia iniziata almeno sei mesi prima degli attacchi distruttivi.
Olszewski ha definito l’incidente del 29 dicembre “senza precedenti tra i paesi NATO e UE”: per la prima volta, un attacco informatico ha causato danni fisici permanenti a impianti di generazione energetica in un paese dell’Alleanza Atlantica. Il fatto che l’attacco non abbia provocato un blackout non riduce la sua gravità, ma ne sottolinea la natura: Sandworm e Dragonfly stavano testando le difese polacche e dimostrando le proprie capacità, non cercando il massimo danno immediato.
La Svezia Rivela: dai DDoS agli Attacchi con Capacità Distruttiva
Il 16 aprile 2026, il Ministro della Difesa Civile svedese Carl-Oskar Bohlin ha tenuto una conferenza stampa a Stoccolma con un annuncio significativo: il governo svedese aveva concluso che un cyberattacco del 2025 contro un impianto di riscaldamento nella Svezia occidentale era stato condotto da un gruppo filo-russo con legami con i servizi di sicurezza e intelligence russi. Le autorità svedesi hanno esplicitamente collegato l’incidente agli attacchi polacchi di dicembre e a operazioni simili in Norvegia e Danimarca.
La dichiarazione più rilevante di Bohlin riguarda l’evoluzione tattica: “I gruppi filo-russi che un tempo conducevano attacchi denial-of-service stanno ora tentando cyberattacchi distruttivi contro organizzazioni in Europa.” Questa frase cattura il cambio di paradigma che ENISA e le agenzie di intelligence europee stavano osservando da mesi: la transizione dagli attacchi dimostrativi (DDoS, defacement) alle operazioni con capacità fisicamente distruttive. L’obiettivo non è più interrompere un sito web per qualche ora. L’obiettivo è danneggiare permanentemente le infrastrutture fisiche.
L’impianto di riscaldamento svedese colpito serviva una città nella Svezia occidentale. Come nel caso polacco, il targeting di infrastrutture di teleriscaldamento in inverno massimizza l’impatto potenziale sulla popolazione civile. Si tratta di una tattica deliberata: creare una minaccia concreta ai cittadini comuni senza attraversare la soglia di un attacco militare diretto. Il governo svedese non ha divulgato il nome dell’impianto colpito né la portata esatta dei danni per ragioni di sicurezza operativa, ma ha confermato che i sistemi di controllo dell’impianto erano stati compromessi.
Norvegia, Danimarca e i Primi Mesi del 2026: il Pattern si Allarga
La conferenza stampa di Bohlin ha confermato che la campagna non si limita alla Polonia e alla Svezia. Le autorità svedesi hanno collegato esplicitamente il loro incidente ad attacchi analoghi in Norvegia e Danimarca. TechCrunch, nel suo report sui peggiori attacchi del 2026 pubblicato il 7 giugno 2026, documenta una diga norvegese compromessa con conseguente fuoriuscita d’acqua, e impianti di trattamento delle acque polacchi colpiti nei primi mesi del 2026.
Questa distribuzione geografica non è casuale. I bersagli si trovano tutti in paesi della NATO o dell’UE che hanno fornito supporto militare o politico significativo all’Ucraina. La scelta di infrastrutture idriche ed energetiche, invece di obiettivi militari o governativi, riflette la logica della guerra ibrida: creare incertezza, dimostrare vulnerabilità, aumentare il costo politico del supporto a Kyiv, senza fornire un pretesto inequivocabile per la risposta militare. Il protocollo SCADA delle dighe norvegesi e degli impianti idrici polacchi è, in molti casi, decenni meno recente dei sistemi colpiti e molto più difficile da proteggere retroattivamente.
Nei primi mesi del 2026, sempre secondo le fonti di intelligence europee, si è registrata anche l’Operazione Neusploit: a gennaio 2026, APT28 (GRU Unit 26165, noto anche come Fancy Bear) ha condotto una campagna multi-fase contro governi nell’Europa centrale e orientale, installando backdoor su sistemi governativi. L’operazione è distinta dagli attacchi alle infrastrutture critiche, ma fa parte della stessa campagna complessiva di pressione ibrida che la Russia sta conducendo contro i paesi che supportano Kyiv.
Tabella degli Incidenti: Campagna Russa contro le Infrastrutture Critiche Europee (2025-2026)
| Data | Paese | Settore | Obiettivi | Impatto | Attribuzione |
|---|---|---|---|---|---|
| 29-30 dic 2025 | Polonia | Energia (rinnovabile) | 30+ impianti eolici/FV, 2 CHP, sistema RES SCADA | Danni fisici a apparecchiature; 500.000 famiglie a rischio; no blackout | Sandworm/APT44 (GRU) + Dragonfly/FSB Center 16 |
| 2025 (Q4) | Svezia | Energia termica | Impianto di riscaldamento, Svezia occidentale | Sistemi di controllo compromessi; servizio di riscaldamento interrotto | Gruppo filo-russo con legami FSB/intelligence (gov. svedese) |
| 2025-2026 | Norvegia | Infrastruttura idrica | Diga (nome classificato) | Fuoriuscita d’acqua; rischio per la popolazione | Russia-linked (indagine in corso) |
| 2025-2026 | Danimarca | Energia | Infrastrutture energetiche (dettagli non divulgati) | Non divulgato pubblicamente | Russia-linked (indagine in corso) |
| Gen 2026 | Europa centrale/orientale | Governo/IT | Sistemi governativi, paesi UE | Backdoor installate; campagna di spionaggio attiva | APT28/Fancy Bear (GRU Unit 26165), “Operation Neusploit” |
| Q1 2026 | Polonia | Acqua | Impianti di trattamento delle acque | Sistemi SCADA compromessi; risposta di emergenza attivata | Russia-linked (indagine in corso) |
I Cinque Principali Gruppi APT Russi Attivi in Europa: Confronto
| Gruppo | Affiliazione | Specializzazione | Obiettivi principali | Attacchi noti in Europa | Minaccia 2026 |
|---|---|---|---|---|---|
| Sandworm / APT44 | GRU (intelligence militare) | Attacchi distruttivi ICS/SCADA, wiper malware | Energia, industria, difesa | Polonia dic. 2025; blackout Ucraina 2015-2022; NotPetya 2017 | Critica |
| Dragonfly / Berserk Bear / Ghost Blizzard / Static Tundra | FSB Center 16 | Ricognizione a lungo termine, accesso ICS | Energia, acqua, infrastrutture critiche | Polonia dic. 2025; reti energetiche UE 2014-2026 | Critica |
| APT28 / Fancy Bear | GRU Unit 26165 | Spionaggio, influenza, backdoor | Governo, difesa, politica | Operation Neusploit gen. 2026; hack parlamenti UE; MP italiani (2024) | Alta |
| Gamaredon / Armageddon | FSB | Spionaggio, accesso persistente | Ucraina e paesi vicini, paesi NATO | Operazioni continue dal 2013; target UE in crescita dal 2022 | Alta |
| Turla / Snake | FSB Center 16 | Spionaggio avanzato, rootkit, firmware implant | Diplomatici, governi, difesa | Operazioni documentate in Germania, Francia, Italia | Alta |
150 Incidenti dal 2022: la Guerra Ibrida Come Strategia Sistematica
L’Atlantic Council ha documentato oltre 150 episodi tra sabotaggi fisici, cyberattacchi e operazioni di influenza riconducibili alla Russia in tutta Europa dal febbraio 2022. Questa cifra deve essere interpretata nel suo contesto strategico: non si tratta di attacchi opportunistici casuali, ma di una campagna coordinata che punta a pressare i governi europei, testare la resilienza delle infrastrutture NATO/UE e dimostrare una capacità di proiezione del potere al di sotto della soglia del conflitto armato diretto.
La logica è quella della negazione plausibile e dell’escalation controllata. Mosca sa che un attacco informatico che provoca un blackout regionale in Polonia è difficilmente interpretabile come casus belli ai sensi dell’Articolo 5 del Trattato NATO, almeno nell’attuale contesto politico. Allo stesso tempo, dimostra agli alleati europei di Kyiv che supportare l’Ucraina ha un costo reale per le loro popolazioni. L’evoluzione dagli attacchi DDoS agli attacchi con wiper malware contro ICS/SCADA rappresenta un’escalation significativa: si è passati dall’interruzione temporanea dei servizi al danno fisico permanente alle infrastrutture.
Il WEF Global Cybersecurity Outlook 2026, pubblicato a gennaio 2026, ha rilevato che il 31% degli intervistati dichiarava bassa fiducia nella capacità di risposta ai grandi incidenti informatici, in aumento dal 26% dell’anno precedente. Il dato riflette la crescente consapevolezza della vulnerabilità sistemica delle infrastrutture critiche europee. Lo stesso report cita specificamente il cyberattacco agli aeroporti europei del settembre 2025 come esempio paradigmatico: un attacco ransomware al software MUSE di Collins Aerospace ha paralizzato i sistemi di check-in a Heathrow, Bruxelles e Berlino, causando 29 cancellazioni di voli in poche ore e costringendo i passeggeri al check-in manuale. Thales, in un report citato dalla BBC, ha calcolato un aumento del 600% degli attacchi al settore dell’aviazione nell’anno precedente al settembre 2025.
Il Ruolo di ENISA e la Risposta Europea: NIS2 alla Prova dei Fatti
ENISA ha organizzato Cyber Europe 2026 il 10-11 giugno 2026, l’8a edizione della serie di esercitazioni pan-europee per la risposta a crisi informatiche nei settori ferroviario e marittimo, con oltre 950 esperti dai 27 stati membri e da Svizzera, Norvegia, Regno Unito e Ucraina. L’esercitazione ha testato procedure di risposta agli incidenti e meccanismi di condivisione delle informazioni in scenari di crisi transfrontaliera. Sul proprio sito, ENISA ha dichiarato: “La nostra missione principale è compiere un passo avanti significativo nel rafforzamento della preparazione informatica delle infrastrutture critiche dell’UE, contribuendo a un’Europa più sicura e resiliente.”
I dati dell’ENISA Threat Landscape 2024 mostrano che il settore dei trasporti era il secondo più colpito in Europa nel 2024, con l’11% di tutti gli incidenti informatici a livello globale e il 15% di quelli diretti contro obiettivi UE. Il settore energetico, bersaglio primario degli attacchi russi del dicembre 2025, non è da meno. Il rapporto ENISA NIS360 2024 ha segnalato che il settore marittimo si trova nella “zona di rischio” in termini di maturità rispetto alla criticità, mentre il settore ferroviario si trova al limite di tale zona. In altri termini, queste infrastrutture sono al tempo stesso critiche e insufficientemente protette.
La Direttiva NIS2, entrata in vigore nell’ottobre 2024, obbliga le organizzazioni nei settori di alta criticità (energia, trasporti, acqua, infrastrutture digitali) a implementare misure obbligatorie di sicurezza informatica e a notificare gli incidenti significativi entro 24 ore. Il Lussemburgo ha dichiarato che la sua partecipazione a Cyber Europe 2026 era specificamente orientata a testare la conformità con i requisiti NIS2. Tuttavia, l’implementazione della direttiva rimane disomogenea tra gli stati membri, e molte organizzazioni nel settore delle rinnovabili, come le fattorie eoliche polacche attaccate, operano con sistemi OT/SCADA molto più difficili da proteggere rispetto ai sistemi IT tradizionali.
Perché gli Impianti Rinnovabili Sono un Bersaglio Ideale per Sandworm
La specificità tecnica degli attacchi contro le fattorie eoliche e fotovoltaiche polacche rivela perché il settore delle rinnovabili è diventato un bersaglio di elezione per gli attori statali russi. Gli impianti di energia rinnovabile condividono una serie di vulnerabilità strutturali che li rendono particolarmente esposti agli attacchi ICS/SCADA.
La distribuzione geografica è il primo fattore: una fattoria eolica con 50 turbine su un’area di 10 km quadrati non può avere personale di sicurezza in loco a ogni turbina. Il controllo avviene da remoto tramite protocolli industriali (Modbus, DNP3, IEC 61850) che in molti casi sono stati progettati prima che la cybersecurity fosse una priorità industriale. L’integrazione con le reti IT aziendali per la fatturazione, il monitoraggio e la manutenzione predittiva crea ponti tra la rete OT (operativa) e la rete IT (informativa), permettendo agli aggressori di muoversi dall’una all’altra. Il software di gestione SCADA per gli impianti rinnovabili spesso proviene da fornitori con cicli di patch lenti e supporto a lungo termine limitato.
L’analisi di CERT Polska suggerisce che l’accesso iniziale agli impianti polacchi è avvenuto settimane, probabilmente mesi, prima degli attacchi del 29 dicembre. I server VPS e i router compromessi utilizzati mostrano un pattern di ricognizione estesa. Sandworm non ha bussato alla porta il 29 dicembre: era già dentro, aspettando il momento di massimo impatto. La temperatura di meno 15 gradi centigradi e il picco di consumo energetico delle festività natalizie rappresentavano quel momento.
Cosa Devono Fare le Organizzazioni Italiane di Fronte a Questa Minaccia
L’Italia non è immune da questa campagna. Il CSIS ha documentato che nel marzo 2024, hacker cinesi avevano preso di mira parlamentari italiani dell’Inter-Parliamentary Alliance on China, mentre i gruppi russi hanno una storia consolidata di operazioni contro infrastrutture europee. L’Italia possiede infrastrutture critiche con le stesse vulnerabilità ICS/SCADA identificate in Polonia. Operatori come Terna (rete di trasmissione), Enel, A2A, Hera e i gestori delle reti idriche regionali gestiscono sistemi di controllo industriale che rientrano nell’ambito della Direttiva NIS2 e che condividono molte delle caratteristiche degli impianti polacchi colpiti.
Le organizzazioni italiane nei settori di alta criticità devono prioritariamente affrontare tre aree di rischio. Prima: la segmentazione della rete OT/IT. Molti impianti energetici e idrici italiani non hanno ancora implementato una separazione efficace tra i sistemi operativi (SCADA, DCS) e le reti IT aziendali. Seconda: la visibilità OT. Senza un sistema di monitoraggio continuo delle reti industriali, un attore come Sandworm può rimanere nascosto per mesi prima di agire. Terza: la gestione delle patch per i sistemi ICS. I cicli di aggiornamento per i sistemi di controllo industriale sono tipicamente molto più lenti rispetto ai sistemi IT, lasciando vulnerabilità note non corrette per anni.
Il Cyber Resilience Act dell’UE, entrato in vigore nel 2024, aggiunge requisiti di sicurezza by-design per i prodotti con elementi digitali, inclusi i componenti utilizzati negli impianti industriali. Le organizzazioni che integrano questi requisiti nelle loro procedure di acquisto oggi avranno un vantaggio significativo nei prossimi anni. L’ACN (Agenzia per la Cybersicurezza Nazionale) ha emesso linee guida specifiche per gli operatori NIS2 italiani, ma la conformità richiede investimenti significativi in strumenti di monitoraggio OT e in formazione del personale.
5 Previsioni: Come Evolverà la Minaccia Entro Fine 2027
1. Gli attacchi distruttivi contro le infrastrutture energetiche europee aumenteranno del 40-60% entro fine 2026. La campagna russa ha dimostrato che questi attacchi producono effetti geopolitici misurabili a un costo operativo molto basso per Mosca. Non esiste alcun segnale che questa strategia venga abbandonata.
2. Sandworm espanderà il targeting alle reti di trasmissione ad alta tensione (HV) entro il 2027. Gli attacchi del dicembre 2025 hanno colpito le estremità della rete (produzione rinnovabile). Il passo successivo logico è prendere di mira i nodi di trasmissione, dove un’interruzione può cascadare sull’intera rete nazionale.
3. Almeno due paesi UE subiranno attacchi alle infrastrutture idriche con impatto documentato su decine di migliaia di persone entro fine 2026. Gli impianti di trattamento delle acque hanno sistemi SCADA spesso molto più datati e mal protetti rispetto agli impianti energetici, e il pattern norvegese/polacco indica che questo settore è già nel mirino.
4. L’UE aumenterà il budget ENISA di almeno il 30% entro il 2027 per potenziare la capacità di risposta agli incidenti nelle infrastrutture critiche. Le pressioni politiche generate dagli attacchi alle infrastrutture civili stanno creando le condizioni per un aumento significativo degli investimenti nella difesa informatica europea.
5. Entro il 2027, almeno 10 paesi UE avranno implementato sistemi di monitoraggio OT obbligatori per le infrastrutture critiche, modellati sul framework sviluppato da CERT Polska dopo il dicembre 2025. L’incidente polacco sta diventando il caso di studio di riferimento per la cybersecurity delle reti energetiche in Europa, e il framework di risposta sviluppato da Varsavia sarà probabilmente adottato come modello a livello UE.
Approfondimenti Correlati
- Cyber Europe 2026: 5.000 Esperti, Treni e Porti (l’esercitazione ENISA di risposta a crisi nei trasporti)
- Commissione Europea Hackerata Due Volte: 350 GB Rubati (l’attacco di marzo 2026 all’infrastruttura cloud di Europa)
- Cyber Resilience Act: 15M€ e 3 Scadenze UE (il regolamento UE per la sicurezza dei prodotti digitali)
- Cybersecurity Act 2.0: ENISA e 28.700 Aziende UE (il quadro normativo europeo per la certificazione della sicurezza)
- Zero-Day Oracle PeopleSoft: CVSS 9.8, 68% Atenei (come le vulnerabilità nei sistemi enterprise facilitano gli attacchi alle infrastrutture)
Per approfondire la documentazione tecnica degli attacchi: il rapporto di CERT Polska del 30 gennaio 2026 è la fonte primaria più dettagliata sull’attacco del 29 dicembre. L’analisi dell’Atlantic Council, Dispatches from the Front Lines of Russia-Linked Cyberattacks on Europe, fornisce il contesto geopolitico più ampio. L’articolo di AP News del 24 marzo 2026 documenta i dati ufficiali del governo polacco. La conferenza stampa ufficiale del Primo Ministro polacco è disponibile sul sito del governo. Le esercitazioni di risposta agli incidenti dell’UE sono coordinate da ENISA attraverso il programma Cyber Europe.
FAQ: Sandworm, Guerra Ibrida e Infrastrutture Critiche Europee
Cosa è successo esattamente il 29 dicembre 2025 in Polonia?
Un singolo threat actor ha condotto attacchi coordinati e distruttivi contro oltre 30 impianti eolici e fotovoltaici, due centrali di cogenerazione e il sistema SCADA di gestione dell’energia rinnovabile polacca. L’attacco ha causato danni fisici permanenti ad alcune apparecchiature industriali e ha degradato le comunicazioni tra gli asset energetici e i loro operatori. Nessun blackout si è verificato. CERT Polska ha pubblicato il rapporto ufficiale il 30 gennaio 2026, confermando la natura puramente distruttiva dell’operazione.
Chi è Sandworm e perché è considerato il gruppo APT più pericoloso al mondo?
Sandworm (APT44) è affiliato al GRU, l’intelligence militare russa. Si specializza in attacchi distruttivi contro sistemi di controllo industriale (ICS) e infrastrutture critiche. Ha causato il blackout della rete elettrica ucraina nel 2015, ha creato NotPetya nel 2017 (oltre 10 miliardi di dollari di danni globali), e ha ora dimostrato capacità distruttive contro un’infrastruttura NATO. La sua pericolosità risiede nella combinazione di risorse statali illimitate, sofisticazione tecnica e un mandato esplicito a condurre operazioni distruttive.
Qual è la differenza operativa tra Sandworm e Dragonfly?
Sandworm (APT44) è affiliato al GRU russo e si specializza in attacchi distruttivi ad alto impatto, con tempi brevi tra accesso iniziale e azione. Dragonfly (Berserk Bear, Static Tundra, Ghost Blizzard), affiliato all’FSB Center 16, preferisce la ricognizione a lungo termine e il posizionamento silenzioso nelle reti di infrastrutture critiche per mesi o anni. L’attacco polacco del dicembre 2025 ha mostrato infrastrutture tecniche sovrapposte tra i due gruppi, suggerendo una cooperazione operativa che rappresenta un’escalation rispetto alle operazioni precedenti.
L’Italia è a rischio di attacchi simili a quelli subiti dalla Polonia?
Sì. L’Italia possiede infrastrutture energetiche, idriche e di trasporto con le stesse vulnerabilità ICS/SCADA identificate negli impianti polacchi. La Direttiva NIS2 impone obblighi di sicurezza specifici per le organizzazioni nei settori critici, ma l’implementazione è ancora in corso. Operatori come Terna, Enel, A2A e i gestori delle reti idriche regionali sono teoricamente nel mirino di attori come Sandworm se la situazione geopolitica dovesse deteriorarsi. L’ACN (Agenzia per la Cybersicurezza Nazionale) ha emesso linee guida specifiche per gli operatori NIS2 italiani.
Cosa significa “attacco distruttivo ICS/SCADA” rispetto a un attacco ransomware?
Un attacco ransomware cripta i dati e chiede un riscatto per ripristinarli: i sistemi sono bloccati ma recuperabili. Un attacco distruttivo ICS/SCADA manipola i comandi inviati ai sistemi di controllo industriale per causare condizioni operative anomale che danneggiano fisicamente le apparecchiature, come avvenuto in Polonia. Il danno non è recuperabile con il pagamento di un riscatto: le apparecchiature devono essere fisicamente sostituite, un processo che può richiedere settimane e costare milioni di euro. Questo rende gli attacchi ICS distruttivi molto più gravi degli attacchi ransomware tradizionali.
Cosa deve fare un’organizzazione che opera in un settore critico NIS2 per proteggersi da Sandworm?
Le misure fondamentali sono: segmentazione rigorosa tra rete OT e rete IT con firewall industriali e zone DMZ; monitoraggio continuo delle reti OT con strumenti specializzati (es. Claroty, Dragos, Nozomi Networks); inventario completo degli asset ICS/SCADA e gestione delle patch per i sistemi industriali; simulazioni di risposta agli incidenti che includano scenari di attacco a sistemi ICS; notifica tempestiva a CERT/CSIRT nazionali in caso di anomalie. Il framework di risposta sviluppato da CERT Polska dopo l’attacco del dicembre 2025 è un buon punto di partenza per le organizzazioni che devono costruire una postura di sicurezza OT robusta.
Quanti attacchi informatici ha subito la Polonia nel 2025 e perché è il paese più colpito in Europa?
La Polonia ha subito 270.000 cyberattacchi nel 2025, 2,5 volte più che nel 2024, secondo il Vice Ministro degli Affari Digitali Paweł Olszewski (dato comunicato il 24 marzo 2026). È il paese più colpito in Europa per tre ragioni: la sua posizione geografica come confine NATO con la Bielorussia (alleata della Russia), il suo essere il principale hub logistico per le forniture militari all’Ucraina, e il suo supporto politico e militare molto attivo a Kyiv. Nel 2022, i cyberattacchi contro la Polonia erano già aumentati del 300% rispetto al 2021.
