Il 29 dicembre 2025, alle prime ore del mattino, un singolo threat actor ha colpito la Polonia con uno degli attacchi pi\u00f9 sofisticati mai registrati contro l’infrastruttura energetica di un paese membro della NATO. In poche ore, oltre 30 impianti eolici e fotovoltaici, due centrali di cogenerazione e un sistema di gestione dell’energia rinnovabile sono stati compromessi. Uno degli impianti colpiti forniva calore a quasi 500.000 famiglie, in una notte in cui le temperature erano scese a meno 15 gradi centigradi. Questo \u00e8 lo stato attuale della guerra ibrida russa contro l’Europa.<\/p>\n\n\n\n
Nei mesi successivi, la Svezia, la Norvegia e la Danimarca hanno rivelato attacchi analoghi contro le loro infrastrutture energetiche e idriche. L’Atlantic Council ha documentato oltre 150 episodi di sabotaggio, cyberattacchi e operazioni di influenza<\/strong> riconducibili alla Russia in tutta Europa dal 2022. La fase degli attacchi DDoS dimostrativi \u00e8 finita: Sandworm e i suoi affiliati puntano ora a distruggere fisicamente le infrastrutture critiche europee.<\/p>\n\n\n\n CERT Polska ha pubblicato il rapporto ufficiale il 30 gennaio 2026, dopo settimane di analisi forense. I dati sono inequivocabili: il 29 dicembre 2025, nelle ore mattutine e pomeridiane, un singolo threat actor ha condotto attacchi coordinati contro obiettivi multipli nell’infrastruttura energetica polacca. Gli attacchi avevano un obiettivo puramente distruttivo<\/strong>, non di esfiltrazione di dati.<\/p>\n\n\n\n La lista degli obiettivi colpiti include pi\u00f9 di 30 impianti eolici e fotovoltaici distribuiti su tutto il territorio nazionale, una grande centrale di cogenerazione (CHP) che alimentava il sistema di riscaldamento di quasi 500.000 famiglie, una societ\u00e0 manifatturiera privata, e il sistema SCADA utilizzato per gestire l’energia proveniente da fonti rinnovabili (RES). Quest’ultimo bersaglio era strategico: rendendo “cieco” il sistema di bilanciamento della rete rispetto al 25% della produzione energetica polacca (la quota delle rinnovabili), gli aggressori puntavano a innescare un collasso della frequenza di rete.<\/p>\n\n\n\n Il tempismo non era casuale. La notte del 29 dicembre 2025, la Polonia registrava temperature di meno 15 gradi centigradi. Un blackout in quelle condizioni avrebbe avuto conseguenze umanitarie immediate. Il Primo Ministro polacco Donald Tusk, parlando a una conferenza stampa il 15 gennaio 2026, ha dichiarato: “Tutto indica che questi attacchi sono stati preparati da gruppi direttamente collegati ai servizi russi. La Polonia si \u00e8 difesa con successo e non ci sono state conseguenze negative come la destabilizzazione del sistema energetico nazionale o un blackout.”<\/strong><\/p>\n\n\n\n La difesa ha retto, ma non senza danni. CERT Polska e l’Atlantic Council confermano che alcune apparecchiature industriali sono state danneggiate oltre la possibilit\u00e0 di riparazione<\/strong> e che le comunicazioni tra gli asset energetici e i loro operatori sono state degradate per ore. Nessun blackout, ma la dimostrazione che un’infrastruttura NATO \u00e8 vulnerabile a un attacco ICS\/SCADA di questa portata.<\/p>\n\n\n\n Il 30 dicembre, lo stesso giorno successivo all’attacco principale, il threat actor ha effettuato un secondo tentativo, questa volta contro una seconda centrale di cogenerazione e contro le reti di gestione centrale della rete elettrica. CERT Polska nota che tra i 29 e i 30 dicembre sono stati colpiti anche sistemi IT e OT (operational technology), con danni che si sono propagati dalle reti di comunicazione ai componenti fisici degli impianti. Alcune stazioni di controllo remoto per la gestione delle turbine eoliche hanno perso il collegamento con i sistemi centrali per ore.<\/p>\n\n\n\n L’attribuzione dell’attacco polacco ha prodotto due conclusioni apparentemente contrastanti che, in realt\u00e0, si completano. CERT Polska, analizzando l’infrastruttura utilizzata (server VPS compromessi, router, pattern di traffico e infrastruttura di anonimizzazione), ha individuato una sovrapposizione molto alta con il cluster di attivit\u00e0 noto come Static Tundra (Cisco), Berserk Bear (CrowdStrike), Ghost Blizzard (Microsoft) e Dragonfly (Symantec)<\/strong>. Questo gruppo \u00e8 associato a FSB Center 16, un’unit\u00e0 chiave del Servizio Federale di Sicurezza russo, come confermato da un alert dell’FBI pubblicato nell’agosto 2025.<\/p>\n\n\n\n ESET, la pi\u00f9 grande azienda di cybersecurity dell’UE per ricerca in Europa orientale, ha analizzato il malware utilizzato nell’attacco e ha concluso che il responsabile \u00e8 con alta probabilit\u00e0 Sandworm, noto anche come APT44<\/strong>, il gruppo affiliato al GRU (l’intelligence militare russa) gi\u00e0 associato ad attacchi distruttivi in Ucraina, incluso il blackout della rete elettrica di Kyiv del 2015 e la creazione di NotPetya nel 2017. CERT Polska nota esplicitamente che questa \u00e8 “la prima attivit\u00e0 distruttiva pubblicamente descritta attribuita a questo cluster di attivit\u00e0”<\/strong> in riferimento a Static Tundra\/Dragonfly, suggerendo una possibile coordinazione operativa tra i due gruppi.<\/p>\n\n\n\n La distinzione operativa tra Sandworm (GRU) e Dragonfly (FSB Center 16) riflette la struttura dell’apparato cyber russo: il GRU tende a operazioni pi\u00f9 audaci e distruttive, l’FSB si concentra sulla ricognizione e sul posizionamento a lungo termine nelle reti di infrastrutture critiche. L’attacco del 29 dicembre combina entrambi gli approcci: un lungo accesso preliminare seguito da un’azione distruttiva pianificata con precisione. La dualit\u00e0 dell’attribuzione potrebbe indicare che le due agenzie russe hanno cooperato in questa operazione, il che rappresenterebbe un’escalation significativa rispetto alle operazioni precedenti.<\/p>\n\n\n\n L’attacco di dicembre non \u00e8 stato un episodio isolato. Il Vice Ministro degli Affari Digitali polacco Pawe\u0142 Olszewski, parlando il 24 marzo 2026, ha rivelato che nel 2025 la Polonia ha subito 270.000 cyberattacchi, un aumento di 2,5 volte rispetto all’anno precedente<\/strong>. La Polonia, per la sua posizione geografica e il suo supporto all’Ucraina, \u00e8 da anni il bersaglio principale dei cyberattacchi russi in Europa: nel primo anno dell’invasione aperta della Russia in Ucraina, i cyberattacchi contro la Polonia erano gi\u00e0 aumentati del 300%.<\/p>\n\n\n\n Il dato di 270.000 attacchi annuali corrisponde a circa 740 attacchi al giorno, 31 ogni ora. La stragrande maggioranza sono attacchi di opportunit\u00e0 (phishing, DDoS, tentativi di exploit automatizzati), ma l’attacco del 29 dicembre rappresenta una categoria completamente diversa: un’operazione pianificata per mesi, con ricognizione preliminare delle reti SCADA, sviluppo di malware wiper personalizzato e coordinazione di attacchi simultanei su pi\u00f9 bersagli. I ricercatori di OMICRON Cybersecurity stimano che la fase di ricognizione dell’attacco polacco sia iniziata almeno sei mesi prima degli attacchi distruttivi.<\/p>\n\n\n\n Olszewski ha definito l’incidente del 29 dicembre “senza precedenti tra i paesi NATO e UE”: per la prima volta, un attacco informatico ha causato danni fisici permanenti a impianti di generazione energetica in un paese dell’Alleanza Atlantica. Il fatto che l’attacco non abbia provocato un blackout non riduce la sua gravit\u00e0, ma ne sottolinea la natura: Sandworm e Dragonfly stavano testando le difese polacche e dimostrando le proprie capacit\u00e0, non cercando il massimo danno immediato.<\/p>\n\n\n\n Il 16 aprile 2026, il Ministro della Difesa Civile svedese Carl-Oskar Bohlin ha tenuto una conferenza stampa a Stoccolma con un annuncio significativo: il governo svedese aveva concluso che un cyberattacco del 2025 contro un impianto di riscaldamento nella Svezia occidentale era stato condotto da un gruppo filo-russo con legami con i servizi di sicurezza e intelligence russi<\/strong>. Le autorit\u00e0 svedesi hanno esplicitamente collegato l’incidente agli attacchi polacchi di dicembre e a operazioni simili in Norvegia e Danimarca.<\/p>\n\n\n\n La dichiarazione pi\u00f9 rilevante di Bohlin riguarda l’evoluzione tattica: “I gruppi filo-russi che un tempo conducevano attacchi denial-of-service stanno ora tentando cyberattacchi distruttivi contro organizzazioni in Europa.”<\/strong> Questa frase cattura il cambio di paradigma che ENISA e le agenzie di intelligence europee stavano osservando da mesi: la transizione dagli attacchi dimostrativi (DDoS, defacement) alle operazioni con capacit\u00e0 fisicamente distruttive. L’obiettivo non \u00e8 pi\u00f9 interrompere un sito web per qualche ora. L’obiettivo \u00e8 danneggiare permanentemente le infrastrutture fisiche.<\/p>\n\n\n\n L’impianto di riscaldamento svedese colpito serviva una citt\u00e0 nella Svezia occidentale. Come nel caso polacco, il targeting di infrastrutture di teleriscaldamento in inverno massimizza l’impatto potenziale sulla popolazione civile. Si tratta di una tattica deliberata: creare una minaccia concreta ai cittadini comuni senza attraversare la soglia di un attacco militare diretto. Il governo svedese non ha divulgato il nome dell’impianto colpito n\u00e9 la portata esatta dei danni per ragioni di sicurezza operativa, ma ha confermato che i sistemi di controllo dell’impianto erano stati compromessi.<\/p>\n\n\n\n La conferenza stampa di Bohlin ha confermato che la campagna non si limita alla Polonia e alla Svezia. Le autorit\u00e0 svedesi hanno collegato esplicitamente il loro incidente ad attacchi analoghi in Norvegia e Danimarca<\/strong>. TechCrunch, nel suo report sui peggiori attacchi del 2026 pubblicato il 7 giugno 2026, documenta una diga norvegese compromessa con conseguente fuoriuscita d’acqua, e impianti di trattamento delle acque polacchi colpiti nei primi mesi del 2026.<\/p>\n\n\n\n Questa distribuzione geografica non \u00e8 casuale. I bersagli si trovano tutti in paesi della NATO o dell’UE che hanno fornito supporto militare o politico significativo all’Ucraina. La scelta di infrastrutture idriche ed energetiche, invece di obiettivi militari o governativi, riflette la logica della guerra ibrida: creare incertezza, dimostrare vulnerabilit\u00e0, aumentare il costo politico del supporto a Kyiv, senza fornire un pretesto inequivocabile per la risposta militare. Il protocollo SCADA delle dighe norvegesi e degli impianti idrici polacchi \u00e8, in molti casi, decenni meno recente dei sistemi colpiti e molto pi\u00f9 difficile da proteggere retroattivamente.<\/p>\n\n\n\n Nei primi mesi del 2026, sempre secondo le fonti di intelligence europee, si \u00e8 registrata anche l’Operazione Neusploit: a gennaio 2026, APT28 (GRU Unit 26165, noto anche come Fancy Bear) ha condotto una campagna multi-fase contro governi nell’Europa centrale e orientale, installando backdoor su sistemi governativi. L’operazione \u00e8 distinta dagli attacchi alle infrastrutture critiche, ma fa parte della stessa campagna complessiva di pressione ibrida che la Russia sta conducendo contro i paesi che supportano Kyiv.<\/p>\n\n\n\nL’Attacco del 29 Dicembre 2025: Anatomia di un’Operazione Distruttiva<\/h2>\n\n\n\n
Sandworm o Dragonfly? La Doppia Attribuzione che Rivela la Struttura del Cyber Russo<\/h2>\n\n\n\n
270.000 Attacchi in Polonia nel 2025: Il Contesto Numerico della Minaccia<\/h2>\n\n\n\n
La Svezia Rivela: dai DDoS agli Attacchi con Capacit\u00e0 Distruttiva<\/h2>\n\n\n\n
Norvegia, Danimarca e i Primi Mesi del 2026: il Pattern si Allarga<\/h2>\n\n\n\n
Tabella degli Incidenti: Campagna Russa contro le Infrastrutture Critiche Europee (2025-2026)<\/h2>\n\n\n\n