Nel dicembre 2025, durante la notte di San Silvestro, i sistemi di controllo di parchi eolici, centrali a cogenerazione e impianti industriali polacchi si sono disconnessi in sequenza. L’obiettivo era preciso: provocare blackout di corrente e riscaldamento che avrebbero colpito milioni di cittadini nel momento più vulnerabile dell’anno. Non è successo per un soffio. Quattro mesi dopo, in Norvegia, una valvola di una diga si è aperta da sola per quattro ore. In Danimarca, gli acquedotti di almeno un comune hanno subito accessi non autorizzati. In Svezia, un impianto di riscaldamento è stato messo fuori uso. In totale, dall’inizio del 2022 a oggi, le agenzie di intelligence europee hanno documentato oltre 150 incidenti di sabotaggio, cyberattacchi e operazioni di influenza collegati alla Russia contro infrastrutture critiche del continente.
Questa non è più soltanto una guerra digitale: è una guerra ibrida che punta a destabilizzare le società europee senza attraversare un confine militare. L’escalation del primo semestre 2026 segna un salto qualitativo rispetto al passato: i gruppi hacker pro-russi sono passati dai tradizionali attacchi DDoS (Distributed Denial of Service) a operazioni distruttive contro sistemi OT (Operational Technology) e ICS (Industrial Control Systems), l’infrastruttura digitale che controlla centrali elettriche, acquedotti e reti ferroviarie.
Polonia: Il Blackout Sfiorato del Dicembre 2025
Tra il 29 e il 30 dicembre 2025, un’ondata coordinata di cyberattacchi ha preso di mira l’infrastruttura energetica polacca in quella che le agenzie di sicurezza europee hanno definito la prima operazione ad alta intensità mai registrata contro uno stato membro dell’UE. Fino ad allora, attacchi di questa portata erano stati documentati soltanto in Ucraina, dove il gruppo GRU russo Sandworm ha spento le luci di Kiev in più occasioni dal 2015 in avanti.
Gli attaccanti hanno colpito parchi eolici, impianti solari e centrali a cogenerazione, compromettendo sia i sistemi IT sia quelli OT. Il risultato: i sistemi di controllo industriale si sono disconnessi, alcune apparecchiature sono state danneggiate in modo irreparabile e le comunicazioni tra gli asset energetici e i gestori di rete si sono interrotte. Un blackout nazionale è stato evitato, ma le intenzioni erano esplicite. Krzysztof Gawkowski, vice premier polacco e ministro per gli Affari Digitali, ha attribuito la campagna ad attori collegati alla Russia e ha confermato che nello stesso periodo una grande città polacca (il cui nome non è stato reso pubblico) ha rischiato di perdere l’approvvigionamento idrico per un attacco ai sistemi di gestione delle acque.
In un rapporto separato, l’Agenzia per la Sicurezza Interna polacca (ABW) ha elencato gli attacchi agli acquedotti di cinque comuni: Jabłonna Lacka, Szczytno, Małdyty, Tolkmicko e Sierakowo. In tutti i casi, gli aggressori sono riusciti ad accedere ai sistemi di controllo degli impianti di trattamento delle acque. Il CERT francese (CERT-FR) ha classificato la campagna come “la prima di questo tipo per uno stato membro UE”, segnalando che la gravità delle operazioni era paragonabile agli attacchi condotti contro l’Ucraina negli anni precedenti.
Norvegia: La Diga Sabotata di Bremanger (Aprile 2026)
Il 19 agosto 2025, la direttrice del Servizio di Sicurezza della Polizia Norvegese (PST), Beate Gangås, ha annunciato che gli hacker russi sono probabilmente responsabili di un atto di sabotaggio alla diga di Bremanger, sul lago Risvatnet, nella Norvegia occidentale. L’incidente era avvenuto ad aprile 2026: qualcuno aveva aperto da remoto una delle valvole della diga, aumentando il flusso d’acqua per circa quattro ore. L’area circostante non ha subito danni diretti, ma l’episodio ha dimostrato la capacità degli attaccanti di interferire fisicamente con infrastrutture idrauliche critiche.
La responsabilità è stata attribuita all’Alleanza Z-Pentest, un gruppo di hacker ritenuto di possibile origine serba ma con chiare connessioni operative ai servizi di sicurezza russi. Ron Fabela, direttore della cybersicurezza industriale presso ABS Consulting, che aveva individuato un video pubblicato su Telegram che documentava l’attacco ad aprile, ha dichiarato: “Questo tipo di video è tipico di Z-Pentest. Il gruppo ha una firma riconoscibile: dimostrare l’accesso fisico ai sistemi OT attraverso prove visive pubblicate online, creando paura senza necessariamente causare danni irreversibili nell’immediato.”
L’episodio norvegese si inserisce in un pattern già documentato: nel 2024 la Danimarca aveva subito un attacco da parte di Z-Pentest a un acquedotto comunale, con accesso non autorizzato ai sistemi di controllo. L’attribuzione era stata resa pubblica a dicembre 2025 dal Servizio di Intelligence della Difesa danese (DDIS), nell’ambito di un aggiornamento sulla minaccia ibrida russa.
Danimarca: Elezioni, Acquedotti e il Gruppo NoName057
In Danimarca, la minaccia si è manifestata su due fronti distinti. Il primo, già citato, riguarda gli attacchi agli acquedotti. Il secondo è più sottile ma potenzialmente più pericoloso per la tenuta democratica: nel novembre 2025, durante le elezioni locali danesi, il gruppo pro-russo NoName057(16) ha lanciato una campagna DDoS coordinata contro i siti ufficiali di più partiti politici e contro il sito del Parlamento danese (Folketing). L’obiettivo era aumentare la sfiducia nelle istituzioni e creare confusione informativa nei giorni cruciali del voto.
NoName057(16) è uno dei gruppi hacktivisti pro-russi più attivi in Europa, noto per colpire i paesi NATO in risposta agli aiuti militari e finanziari all’Ucraina. A differenza di Z-Pentest, che punta ai sistemi OT, NoName057 si specializza in operazioni DDoS ad alto impatto mediatico e operazioni di interferenza digitale. CERT-EU ha incluso entrambe le operazioni danesi nel proprio bollettino CB26-01, pubblicato a gennaio 2026, confermando i legami con servizi di intelligence russi.
Svezia: La Transizione dal DDoS alla Distruzione Fisica
Il caso svedese è forse il più significativo dal punto di vista strategico, perché documenta il salto qualitativo nella tattica russa. Nel 2025, un impianto di riscaldamento nella Svezia occidentale è stato colpito da un cyberattacco che ha causato danni fisici ai sistemi. L’indagine del governo svedese ha concluso che l’operazione è stata condotta da un gruppo pro-russo con legami diretti con i servizi di sicurezza e intelligence russi.
Il ministro della Difesa Civile svedese Carl-Oskar Bohlin ha dichiarato pubblicamente: “I gruppi pro-russi che un tempo conducevano attacchi di denial-of-service ora tentano cyberattacchi distruttivi contro organizzazioni in Europa. Nell’ultimo anno, i metodi della Russia sono cambiati.” Questa dichiarazione riassume la traiettoria: da operazioni di disturbo a operazioni progettate per causare danni fisici reali, interruzioni di servizi essenziali e perdite economiche concrete.
La Svezia ha anche documentato il coinvolgimento di APT28, il gruppo collegato al GRU russo, in operazioni di spionaggio contro obiettivi governativi e di difesa svedesi nel 2025. Questo si è aggiunto alla pressione già esercitata sulla Finlandia, la Norvegia e i paesi baltici, che si trovano sulla prima linea geografica della minaccia russa.
Tabella: Principali Attacchi Russi alle Infrastrutture Critiche UE (2024-2026)
| Paese | Data | Obiettivo | Gruppo Attaccante | Impatto |
|---|---|---|---|---|
| Polonia | 29-30 Dic 2025 | Rete elettrica (eolico, solare, cogenerazione) | Attori Russia-linked | Sistemi OT/IT offline, danni irreparabili a impianti |
| Polonia | 2025 (multipli) | Acquedotti in 5 comuni | Non attribuito | Accesso ai sistemi ICS di trattamento acque |
| Norvegia | Apr 2026 | Diga di Bremanger (Lago Risvatnet) | Z-Pentest Alliance | Valvola aperta per 4 ore, nessun danno civile immediato |
| Danimarca | 2024 | Acquedotto comunale | Z-Pentest Alliance | Accesso non autorizzato ai sistemi di controllo |
| Danimarca | Nov 2025 | Siti Parlamento e partiti politici | NoName057(16) | DDoS durante elezioni locali |
| Svezia | 2025 | Impianto di riscaldamento (ovest Svezia) | Gruppo Russia-linked | Danni fisici ai sistemi, impianto fuori servizio |
| Germania | Ago 2024 | Controllo del traffico aereo (DFS) | APT28 (GRU) | Disruzione sistemi IT, attribuita il 12 Dic 2025 |
| Francia/Romania | 2025 | Servizi postali e sistemi idrici | Gruppi pro-russi | Disruzione operativa documentata da CERT-EU |
I Gruppi Hacker Pro-Russi: Chi Sono e Come Operano
L’ecosistema dei gruppi hacktivisti pro-russi è cresciuto significativamente dall’invasione dell’Ucraina. Nel solo primo trimestre 2026, le agenzie di sicurezza hanno stimato l’esistenza di almeno 60 gruppi individuali attivi, ciascuno con specializzazioni tattiche diverse. Secondo un’analisi di Cyble Research, nel primo trimestre 2025 i gruppi più attivi contro infrastrutture critiche europee erano cinque: NoName057(16), Hacktivist Sandworm, Z-Pentest, Sector 16 e Overflame. Tutti e cinque hanno preso di mira principalmente nazioni allineate alla NATO e paesi che sostengono l’Ucraina.
Z-Pentest Alliance è il gruppo più pericoloso per le infrastrutture OT. A differenza dei gruppi DDoS tradizionali, Z-Pentest dimostra competenze in ambito ICS/SCADA (Supervisory Control and Data Acquisition), sistemi specializzati che controllano fisicamente pompe, valvole, generatori e interruttori di rete. Il gruppo pubblica video delle proprie intrusioni su Telegram per massimizzare l’impatto psicologico, documentando l’accesso fisico ai sistemi senza necessariamente causare danni catastrofici immediati. L’obiettivo primario è la deterrenza e la dimostrazione di capacità.
Sandworm, operante sotto l’egida del GRU (intelligence militare russa), rimane il gruppo più sofisticato e distruttivo. Responsabile degli attacchi alle reti elettriche ucraine nel 2015 e nel 2016, Sandworm ha sviluppato malware specifici per sistemi ICS, incluso Industroyer2. In primavera 2024, CERT-UA ha documentato attacchi di Sandworm a quasi 20 impianti energetici ucraini, con infezioni che hanno colpito fornitori di energia, acqua e riscaldamento in 10 regioni del paese. Il modello operativo ucraino viene ora replicato in Europa occidentale.
APT28 (noto anche come Fancy Bear), anch’esso collegato al GRU, si è concentrato maggiormente su operazioni di spionaggio e interferenza elettorale. L’attribuzione da parte del governo tedesco dell’attacco al Controllo del Traffico Aereo Tedesco (DFS) ad agosto 2024 ha confermato che APT28 non esita a colpire sistemi di sicurezza critica. Lo stesso gruppo è responsabile della campagna di operazioni informative (Storm-1516) che ha tentato di influenzare le elezioni federali tedesche del febbraio 2025.
ICS/OT: Attacchi ai Sistemi Industriali Aumentati del 50% in un Mese
I dati pubblicati da Cyble Research nel rapporto sul Q1 2025 mostrano un trend allarmante: gli attacchi hacktivisti ai sistemi ICS/OT sono cresciuti del 50% nel solo mese di marzo 2025. Questo salto è stato attribuito all’intensificarsi delle operazioni pro-russe contro le nazioni NATO, in risposta ai pacchetti di aiuti militari all’Ucraina approvati in quel periodo. Il settore energetico e i servizi di pubblica utilità si sono confermati come il principale bersaglio degli attacchi ICS nel primo trimestre, davanti al governo, alle banche e alle telecomunicazioni.
La differenza rispetto al passato non riguarda solo la frequenza, ma la sofisticazione. I gruppi pro-russi stanno sfruttando sistemi ICS/OT esposti direttamente su Internet, molti dei quali appartengono a piccoli comuni o utility locali privi di personale specializzato in cybersicurezza OT. Secondo il rapporto di Virtual Routes pubblicato a giugno 2026, il settore idrico europeo è particolarmente vulnerabile: la maggior parte degli acquedotti comunali non ha implementato l’autenticazione a più fattori (MFA) sui sistemi di controllo remoto, non dispone di soluzioni di segmentazione di rete adeguate e non effettua patch regolari sui sistemi SCADA.
La convergenza IT/OT ha amplificato il problema. Sistemi SCADA che in passato operavano in reti isolate (air-gapped) sono stati progressivamente connessi a reti aziendali e a Internet per ragioni di efficienza operativa e monitoraggio remoto. Questo ha creato una superficie di attacco vastamente più ampia, senza che le pratiche di sicurezza OT si siano evolute di conseguenza. Molti sistemi industriali comunicano ancora con protocolli datati degli anni ’90 (Modbus, DNP3) privi di meccanismi di autenticazione o crittografia nativi.
Tabella: Confronto tra i Principali Gruppi Hacker Pro-Russi Attivi in Europa
| Gruppo | Affiliazione | Specializzazione | Obiettivi Principali | Metodi Chiave |
|---|---|---|---|---|
| Z-Pentest Alliance | Pro-Russia (poss. origine serba) | Sistemi OT/ICS/SCADA | Acquedotti, dighe, utility | Accesso fisico remoto, video Telegram |
| NoName057(16) | Hacktivista pro-Russia | DDoS, interferenza elettorale | Governo, parlamenti, media | DDoS coordinato, campagne Telegram |
| Sandworm (GRU) | GRU russo (intelligence militare) | Malware ICS distruttivo | Reti elettriche, energia | Industroyer2, wiper, supply chain |
| APT28 / Fancy Bear | GRU russo (intelligence militare) | Spionaggio, interferenza elezioni | Governo, difesa, trasporti | Phishing avanzato, malware su misura |
| Sector 16 | Pro-Russia | Attacchi ICS, petrolio e gas | Energia, industria pesante | Accesso HMI, manipolazione set-point |
| Overflame | Pro-Russia | DDoS, defacement | Media, NATO, infrastrutture minori | DDoS, pressione psicologica |
Munich Security Report 2026: I Cyberattacchi Sono il Rischio #1 nel G7
Il Munich Security Report 2026, uno dei documenti di riferimento più autorevoli per l’analisi della sicurezza globale, ha segnato una svolta storica: per la prima volta, i cyberattacchi sono stati classificati come il rischio di sicurezza più grave nell’intero G7. Questa percezione non è più limitata agli esperti tecnici, ma si è diffusa tra i cittadini e i governi dei paesi più industrializzati del mondo.
Il rapporto descrive come la Russia stia “mescolando sempre più tattiche cyber e cinetiche nelle sue operazioni di sorveglianza, sabotaggio e attacchi alle reti energetiche europee”. La distinzione tra sicurezza informatica e sicurezza energetica “ha effettivamente cessato di esistere” per le nazioni sul fianco orientale e settentrionale dell’Europa. La Finlandia, l’Estonia, la Lettonia e la Lituania sentono questa convergenza con più urgenza immediata, ma la traiettoria è chiara: la minaccia si sposta verso ovest e verso sud.
Le agenzie di intelligence occidentali stimate che la Russia potrebbe ricostituire le proprie capacità militari per un’operazione contro uno stato confinante entro 6 mesi da un eventuale cessate il fuoco in Ucraina, e per una guerra regionale nel Mar Baltico entro 2 anni. In questo scenario, gli attacchi alle infrastrutture critiche europee servono a testare le capacità difensive dei paesi NATO, identificare vulnerabilità e creare dipendenze strategiche da sfruttare in un futuro scenario di escalation.
La Risposta dell’UE: CERT-EU, ENISA e il Cyber Diplomacy Toolbox
La risposta istituzionale europea alla minaccia è aumentata ma rimane frammentata. CERT-EU, l’agenzia responsabile della protezione delle istituzioni UE, ha pubblicato a gennaio 2026 il bollettino di intelligence CB26-01, in cui afferma che “i servizi di intelligence russi continueranno con alta probabilità le operazioni cyber e fisiche contro i governi europei e le infrastrutture critiche almeno fino alla metà del 2026”. È la prima volta che CERT-EU formula una valutazione predittiva di questa chiarezza nel testo pubblico di un bollettino ufficiale.
L’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza) ha ampliato il proprio mandato nell’ambito del Cyber Solidarity Act, ma le risorse dedicate al settore OT/ICS rimangono insufficienti rispetto alla portata della minaccia. Il rapporto di Virtual Routes suggerisce tre interventi prioritari per l’UE: il lancio di un programma di “igiene cyber” per le utility idriche (con finanziamenti dedicati all’MFA, segmentazione di rete e patching); la creazione di un Centro ISAC europeo per il settore idrico per la condivisione di intelligence sulle minacce; e il maggiore utilizzo del Cyber Diplomacy Toolbox, lo strumento UE che consente sanzioni e attribuzioni pubbliche per rispondere agli attacchi.
Quest’ultimo punto è cruciale: nonostante lo strumento esista dal 2017 e sia stato usato in risposta a NotPetya e WannaCry, il suo utilizzo per attacchi al settore idrico è stato minimo. La logica degli attaccanti sfrutta esattamente questa riluttanza a rispondere diplomaticamente ad attacchi che causano danni limitati ma dimostrano capacità significative. Il NCSC britannico ha segnalato a giugno 2026 che le infrastrutture del Regno Unito sono sotto “pressione cyber sostenuta” da Russia, Cina e Iran, un campanello d’allarme che rispecchia esattamente il panorama europeo.
L’Italia nel Mirino: Campagne Hacktiviste e Vulnerabilità OT
L’Italia non è immune da questa minaccia. Secondo il rapporto Cyble sul Q1 2025, l’Italia è uno dei principali bersagli delle campagne hacktiviste pro-russe in Europa, insieme a Francia e Spagna. La Penisola è nel mirino per la sua posizione di paese NATO, per il sostegno politico all’Ucraina espresso dal governo e per la presenza di infrastrutture portuali, energetiche e ferroviarie strategicamente rilevanti.
Nel gennaio 2025, un gruppo filo-russo ha rivendicato un attacco DDoS a siti governativi italiani, inclusi ministeri, servizi pubblici e piattaforme di trasporto a Roma e Palermo, in risposta all’incontro tra la premier Giorgia Meloni e il presidente ucraino Zelensky. L’attacco ha avuto impatti limitati, ma ha dimostrato la capacità di colpire servizi pubblici in modo coordinato. Il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) ha gestito l’incidente, ma la velocità di risposta ha evidenziato lacune nella preparazione di molti enti locali.
La vulnerabilità principale per l’Italia riguarda le infrastrutture idriche dei comuni minori, molte delle quali ancora gestite con sistemi SCADA datati, privi di aggiornamenti di sicurezza recenti e con interfacce di gestione accessibili da Internet senza sistemi di autenticazione robusta. La direttiva NIS2, recepita in Italia con una base di 12.000 aziende obbligate, include le utility idriche tra i soggetti essenziali, ma l’implementazione pratica dei requisiti di sicurezza OT resta indietro rispetto alle scadenze previste.
Dal DDoS alla Distruzione Fisica: Perché il 2026 è Diverso
Per comprendere la portata del cambiamento in atto, è utile tracciare la linea di evoluzione degli attacchi russi alle infrastrutture critiche europee negli ultimi quattro anni. Dal 2022 al 2023, la strategia dominante era il DDoS: attacchi volumetrici progettati per rendere irraggiungibili siti web governativi, bancari e mediali nei paesi che sostenevano l’Ucraina. Fastidiosi, ma reversibili in poche ore.
Dal 2024 in poi, la tattica ha subito un’evoluzione significativa. I gruppi più capaci hanno investito in competenze OT e hanno iniziato a colpire sistemi SCADA. La soglia di complessità tecnica per questi attacchi è più alta rispetto al DDoS, ma il potenziale impatto è incomparabilmente superiore: un impianto di trattamento delle acque manipolato potrebbe alterare la composizione chimica dell’acqua potabile di un’intera città, una centrale elettrica compromessa potrebbe causare blackout prolungati durante l’inverno. Dall’inizio del 2022 a oggi, le agenzie europee hanno documentato oltre 150 incidenti riconducibili alla Russia, che spaziano da operazioni cyber pure a sabotaggio fisico di cavi sottomarini, ferrovie e gasdotti.
L’Atlantic Council ha analizzato questo pattern e ha concluso che rappresenta “un approccio più propenso al rischio nell’ambito di una campagna sostenuta per fare pressione sugli stati europei che sostengono l’Ucraina, testarne la resilienza, creare incertezza e dimostrare capacità senza provocare un confronto militare diretto”. In altre parole: una guerra che si combatte sotto la soglia del conflitto armato, ma con effetti concreti e misurabili sulle vite dei cittadini europei.
5 Previsioni per il 2026-2027
Sulla base dei dati raccolti e delle tendenze in atto, ecco cinque scenari ritenuti probabili per i prossimi 12-18 mesi:
- Espansione geografica degli attacchi OT verso l’Europa meridionale. Finora, i casi documentati di attacchi ai sistemi industriali si sono concentrati su Polonia, Svezia e Norvegia. Il 2026-2027 vedrà probabilmente un’intensificazione delle operazioni contro infrastrutture di Italia, Spagna e Portogallo, paesi NATO con infrastrutture idriche ed energetiche più frammentate e meno protette a livello OT.
- Primo incidente con impatto fisico grave su territorio UE. La progressione tattica rende probabile che entro 18 mesi si verifichi un incidente con un impatto fisico significativo su territorio UE: un blackout prolungato di ore (non minuti), un acquedotto fuori servizio per più giorni, o danni a un impianto energetico che richiedano settimane di riparazione.
- Maggiore utilizzo del Cyber Diplomacy Toolbox. La pressione politica interna nei paesi colpiti spingerà l’UE a utilizzare più frequentemente lo strumento per attribuire pubblicamente attacchi e imporre sanzioni. Si stima che nei prossimi 12 mesi vengano effettuate almeno 3-5 attribuzioni pubbliche formali per attacchi alle infrastrutture critiche UE.
- Istituzione di un ISAC europeo per il settore idrico. Le raccomandazioni del rapporto Virtual Routes e le pressioni politiche post-incidenti porteranno all’avvio formale di un Centro ISAC europeo per il settore idrico entro il 2027, con finanziamenti nell’ambito del programma UE Horizon Europe o del Digital Europe Programme.
- Convergenza tra AI e attacchi OT. I gruppi hacker più sofisticati inizieranno a integrare strumenti di intelligenza artificiale per automatizzare la ricognizione di sistemi SCADA esposti su Internet, riducendo i tempi di intrusione e personalizzando gli attacchi in base alle caratteristiche specifiche degli impianti target. Questa convergenza potrebbe moltiplicare la scala e la frequenza degli attacchi contro utility con difese OT inadeguate.
Copertura Correlata
- Cyber Europe 2026: 5.000 Esperti Testano la Risposta UE su Ferrovie e Porti
- Fortinet Report 2026: 640 Miliardi di Attacchi, Ransomware +389%
- NIS2 Italia 2026: 12.000 Aziende e Sanzioni fino a €10M
- DragonForce: 580 Vittime nel 2026, Italia al 5° Posto
- Attacco alla Commissione UE: 350 GB Rubati [2026]
Fonti
- CERT-EU Cyber Brief CB26-01, gennaio 2026
- Atlantic Council: Cyberattacks on Europe 2026, aprile 2026
- Industrial Cyber / Cyble Research: +50% ICS/OT Attacks March 2025
- CSO Online: Russia-linked Attacks on European Water Infrastructure
- Industrial Cyber / Virtual Routes: Europe Water Systems Under Siege, giugno 2026
FAQ: Russia e Infrastrutture Critiche Europee
Quali paesi europei sono stati colpiti dagli attacchi russi alle infrastrutture critiche nel 2025-2026?
I casi documentati con attribuzione pubblica includono Polonia (rete elettrica e acquedotti in 5 comuni), Norvegia (diga di Bremanger), Danimarca (acquedotto e siti elettorali), Svezia (impianto di riscaldamento) e Germania (controllo traffico aereo). Francia e Romania hanno subito disruzioni a servizi postali e sistemi idrici nel 2025. Dall’inizio del 2022, si contano oltre 150 incidenti in tutta Europa collegati alla Russia.
Cos’è la Z-Pentest Alliance e perché è pericolosa per le infrastrutture idriche?
Z-Pentest Alliance è un gruppo hacker pro-russo, probabilmente di origine serba, specializzato in sistemi OT e ICS. A differenza dei gruppi DDoS tradizionali, Z-Pentest accede fisicamente ai sistemi di controllo di acquedotti, dighe e impianti industriali, documentando la propria capacità con video pubblicati su Telegram. Ha colpito un acquedotto danese nel 2024 e la diga norvegese di Bremanger nell’aprile 2026.
Cosa significa l’aumento del 50% degli attacchi ICS/OT nel marzo 2025?
Il dato di Cyble Research indica che nel marzo 2025 gli attacchi hacktivisti ai sistemi di controllo industriale sono aumentati del 50% rispetto al mese precedente. Il salto è correlato all’intensificarsi delle operazioni pro-russe in risposta ai nuovi pacchetti di aiuti militari all’Ucraina. Il settore energia e utility è rimasto il comparto più colpito nel primo trimestre 2025.
Come si sta difendendo l’UE dagli attacchi alle infrastrutture critiche?
Le principali misure includono: i bollettini di intelligence di CERT-EU (CB26-01), i requisiti OT della direttiva NIS2, il Cyber Resilience Act per i prodotti connessi e l’esercitazione Cyber Europe 2026. Il Cyber Diplomacy Toolbox dell’UE consente attribuzioni pubbliche e sanzioni, ma resta sottoutilizzato per gli attacchi al settore idrico rispetto a quanto sarebbe necessario.
L’Italia è a rischio di attacchi russi alle infrastrutture critiche?
Sì. Il rapporto Cyble Q1 2025 identifica l’Italia tra i principali bersagli hacktivisti pro-russi in Europa. Nel gennaio 2025, siti governativi italiani sono stati colpiti da attacchi DDoS. La principale vulnerabilità riguarda i sistemi SCADA obsoleti degli acquedotti comunali minori, molti accessibili da Internet senza MFA o segmentazione di rete adeguata.
Cosa prevede la NIS2 per la protezione delle infrastrutture idriche italiane?
La direttiva NIS2, recepita in Italia con una platea di 12.000 aziende obbligate, include le utility idriche tra i “soggetti essenziali”. I requisiti includono: un sistema di gestione della sicurezza (ISMS), misure specifiche per i sistemi OT/ICS, incident reporting entro 24 ore, valutazione del rischio dei fornitori e test di sicurezza periodici. Le sanzioni per la mancata conformità possono arrivare a 10 milioni di euro.
Perché Sandworm è considerato la minaccia più grave per le reti energetiche europee?
Sandworm è l’unico gruppo documentato ad aver spento fisicamente una rete elettrica nazionale, come ha fatto in Ucraina nel 2015 e nel 2016. Il gruppo ha sviluppato malware specifici per sistemi ICS (Industroyer, Industroyer2) e ha dimostrato la capacità di coordinare attacchi cyber con operazioni cinetiche (missili e droni). Nella primavera 2024 ha colpito quasi 20 impianti energetici ucraini in 10 regioni. Il fatto che stia ora trasferendo queste tattiche in Europa occidentale è la ragione principale per cui il Munich Security Report 2026 classifica i cyberattacchi come il rischio #1 nel G7.
