{"id":286,"date":"2026-06-21T04:45:53","date_gmt":"2026-06-21T04:45:53","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/21\/russia-cyberattacchi-infrastrutture-critiche-europa-2026\/"},"modified":"2026-06-21T04:47:10","modified_gmt":"2026-06-21T04:47:10","slug":"russia-cyberattacchi-infrastrutture-critiche-europa-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/21\/russia-cyberattacchi-infrastrutture-critiche-europa-2026\/","title":{"rendered":"Russia Colpisce Acqua ed Energia in 6 Paesi UE: +50% Attacchi ICS [2026]"},"content":{"rendered":"\n

Nel dicembre 2025, durante la notte di San Silvestro, i sistemi di controllo di parchi eolici, centrali a cogenerazione e impianti industriali polacchi si sono disconnessi in sequenza. L’obiettivo era preciso: provocare blackout di corrente e riscaldamento che avrebbero colpito milioni di cittadini nel momento pi\u00f9 vulnerabile dell’anno. Non \u00e8 successo per un soffio. Quattro mesi dopo, in Norvegia, una valvola di una diga si \u00e8 aperta da sola per quattro ore. In Danimarca, gli acquedotti di almeno un comune hanno subito accessi non autorizzati. In Svezia, un impianto di riscaldamento \u00e8 stato messo fuori uso. In totale, dall’inizio del 2022 a oggi, le agenzie di intelligence europee hanno documentato oltre 150 incidenti<\/strong> di sabotaggio, cyberattacchi e operazioni di influenza collegati alla Russia contro infrastrutture critiche del continente.<\/p>\n\n\n\n

Questa non \u00e8 pi\u00f9 soltanto una guerra digitale: \u00e8 una guerra ibrida che punta a destabilizzare le societ\u00e0 europee senza attraversare un confine militare. L’escalation del primo semestre 2026 segna un salto qualitativo rispetto al passato: i gruppi hacker pro-russi sono passati dai tradizionali attacchi DDoS (Distributed Denial of Service) a operazioni distruttive contro sistemi OT (Operational Technology) e ICS (Industrial Control Systems), l’infrastruttura digitale che controlla centrali elettriche, acquedotti e reti ferroviarie.<\/p>\n\n\n\n

Polonia: Il Blackout Sfiorato del Dicembre 2025<\/h2>\n\n\n\n

Tra il 29 e il 30 dicembre 2025, un’ondata coordinata di cyberattacchi ha preso di mira l’infrastruttura energetica polacca in quella che le agenzie di sicurezza europee hanno definito la prima operazione ad alta intensit\u00e0 mai registrata contro uno stato membro dell’UE<\/strong>. Fino ad allora, attacchi di questa portata erano stati documentati soltanto in Ucraina, dove il gruppo GRU russo Sandworm ha spento le luci di Kiev in pi\u00f9 occasioni dal 2015 in avanti.<\/p>\n\n\n\n

Gli attaccanti hanno colpito parchi eolici, impianti solari e centrali a cogenerazione, compromettendo sia i sistemi IT sia quelli OT. Il risultato: i sistemi di controllo industriale si sono disconnessi, alcune apparecchiature sono state danneggiate in modo irreparabile<\/strong> e le comunicazioni tra gli asset energetici e i gestori di rete si sono interrotte. Un blackout nazionale \u00e8 stato evitato, ma le intenzioni erano esplicite. Krzysztof Gawkowski<\/strong>, vice premier polacco e ministro per gli Affari Digitali, ha attribuito la campagna ad attori collegati alla Russia e ha confermato che nello stesso periodo una grande citt\u00e0 polacca (il cui nome non \u00e8 stato reso pubblico) ha rischiato di perdere l’approvvigionamento idrico per un attacco ai sistemi di gestione delle acque.<\/p>\n\n\n\n

In un rapporto separato, l’Agenzia per la Sicurezza Interna polacca (ABW) ha elencato gli attacchi agli acquedotti di cinque comuni<\/strong>: Jab\u0142onna Lacka, Szczytno, Ma\u0142dyty, Tolkmicko e Sierakowo. In tutti i casi, gli aggressori sono riusciti ad accedere ai sistemi di controllo degli impianti di trattamento delle acque. Il CERT francese (CERT-FR) ha classificato la campagna come “la prima di questo tipo per uno stato membro UE”, segnalando che la gravit\u00e0 delle operazioni era paragonabile agli attacchi condotti contro l’Ucraina negli anni precedenti.<\/p>\n\n\n\n

Norvegia: La Diga Sabotata di Bremanger (Aprile 2026)<\/h2>\n\n\n\n

Il 19 agosto 2025, la direttrice del Servizio di Sicurezza della Polizia Norvegese (PST), Beate Gang\u00e5s<\/strong>, ha annunciato che gli hacker russi sono probabilmente responsabili di un atto di sabotaggio alla diga di Bremanger, sul lago Risvatnet, nella Norvegia occidentale. L’incidente era avvenuto ad aprile 2026: qualcuno aveva aperto da remoto una delle valvole della diga, aumentando il flusso d’acqua per circa quattro ore<\/strong>. L’area circostante non ha subito danni diretti, ma l’episodio ha dimostrato la capacit\u00e0 degli attaccanti di interferire fisicamente con infrastrutture idrauliche critiche.<\/p>\n\n\n\n

La responsabilit\u00e0 \u00e8 stata attribuita all’Alleanza Z-Pentest<\/strong>, un gruppo di hacker ritenuto di possibile origine serba ma con chiare connessioni operative ai servizi di sicurezza russi. Ron Fabela<\/strong>, direttore della cybersicurezza industriale presso ABS Consulting, che aveva individuato un video pubblicato su Telegram che documentava l’attacco ad aprile, ha dichiarato: “Questo tipo di video \u00e8 tipico di Z-Pentest. Il gruppo ha una firma riconoscibile: dimostrare l’accesso fisico ai sistemi OT attraverso prove visive pubblicate online, creando paura senza necessariamente causare danni irreversibili nell’immediato.”<\/p>\n\n\n\n

L’episodio norvegese si inserisce in un pattern gi\u00e0 documentato: nel 2024 la Danimarca aveva subito un attacco da parte di Z-Pentest a un acquedotto comunale, con accesso non autorizzato ai sistemi di controllo. L’attribuzione era stata resa pubblica a dicembre 2025 dal Servizio di Intelligence della Difesa danese (DDIS), nell’ambito di un aggiornamento sulla minaccia ibrida russa.<\/p>\n\n\n\n

Danimarca: Elezioni, Acquedotti e il Gruppo NoName057<\/h2>\n\n\n\n

In Danimarca, la minaccia si \u00e8 manifestata su due fronti distinti. Il primo, gi\u00e0 citato, riguarda gli attacchi agli acquedotti. Il secondo \u00e8 pi\u00f9 sottile ma potenzialmente pi\u00f9 pericoloso per la tenuta democratica: nel novembre 2025<\/strong>, durante le elezioni locali danesi, il gruppo pro-russo NoName057(16)<\/strong> ha lanciato una campagna DDoS coordinata contro i siti ufficiali di pi\u00f9 partiti politici e contro il sito del Parlamento danese (Folketing). L’obiettivo era aumentare la sfiducia nelle istituzioni e creare confusione informativa nei giorni cruciali del voto.<\/p>\n\n\n\n

NoName057(16) \u00e8 uno dei gruppi hacktivisti pro-russi pi\u00f9 attivi in Europa, noto per colpire i paesi NATO in risposta agli aiuti militari e finanziari all’Ucraina. A differenza di Z-Pentest, che punta ai sistemi OT, NoName057 si specializza in operazioni DDoS ad alto impatto mediatico e operazioni di interferenza digitale. CERT-EU ha incluso entrambe le operazioni danesi nel proprio bollettino CB26-01, pubblicato a gennaio 2026, confermando i legami con servizi di intelligence russi.<\/p>\n\n\n\n

Svezia: La Transizione dal DDoS alla Distruzione Fisica<\/h2>\n\n\n\n

Il caso svedese \u00e8 forse il pi\u00f9 significativo dal punto di vista strategico, perch\u00e9 documenta il salto qualitativo nella tattica russa. Nel 2025, un impianto di riscaldamento nella Svezia occidentale \u00e8 stato colpito da un cyberattacco che ha causato danni fisici ai sistemi. L’indagine del governo svedese ha concluso che l’operazione \u00e8 stata condotta da un gruppo pro-russo con legami diretti con i servizi di sicurezza e intelligence russi.<\/p>\n\n\n\n

Il ministro della Difesa Civile svedese Carl-Oskar Bohlin<\/strong> ha dichiarato pubblicamente: “I gruppi pro-russi che un tempo conducevano attacchi di denial-of-service ora tentano cyberattacchi distruttivi contro organizzazioni in Europa. Nell’ultimo anno, i metodi della Russia sono cambiati.” Questa dichiarazione riassume la traiettoria: da operazioni di disturbo a operazioni progettate per causare danni fisici reali, interruzioni di servizi essenziali e perdite economiche concrete.<\/p>\n\n\n\n

La Svezia ha anche documentato il coinvolgimento di APT28<\/strong>, il gruppo collegato al GRU russo, in operazioni di spionaggio contro obiettivi governativi e di difesa svedesi nel 2025. Questo si \u00e8 aggiunto alla pressione gi\u00e0 esercitata sulla Finlandia, la Norvegia e i paesi baltici, che si trovano sulla prima linea geografica della minaccia russa.<\/p>\n\n\n\n

Tabella: Principali Attacchi Russi alle Infrastrutture Critiche UE (2024-2026)<\/h2>\n\n\n\n
Paese<\/th>Data<\/th>Obiettivo<\/th>Gruppo Attaccante<\/th>Impatto<\/th><\/tr><\/thead>
Polonia<\/td>29-30 Dic 2025<\/td>Rete elettrica (eolico, solare, cogenerazione)<\/td>Attori Russia-linked<\/td>Sistemi OT\/IT offline, danni irreparabili a impianti<\/td><\/tr>
Polonia<\/td>2025 (multipli)<\/td>Acquedotti in 5 comuni<\/td>Non attribuito<\/td>Accesso ai sistemi ICS di trattamento acque<\/td><\/tr>
Norvegia<\/td>Apr 2026<\/td>Diga di Bremanger (Lago Risvatnet)<\/td>Z-Pentest Alliance<\/td>Valvola aperta per 4 ore, nessun danno civile immediato<\/td><\/tr>
Danimarca<\/td>2024<\/td>Acquedotto comunale<\/td>Z-Pentest Alliance<\/td>Accesso non autorizzato ai sistemi di controllo<\/td><\/tr>
Danimarca<\/td>Nov 2025<\/td>Siti Parlamento e partiti politici<\/td>NoName057(16)<\/td>DDoS durante elezioni locali<\/td><\/tr>
Svezia<\/td>2025<\/td>Impianto di riscaldamento (ovest Svezia)<\/td>Gruppo Russia-linked<\/td>Danni fisici ai sistemi, impianto fuori servizio<\/td><\/tr>
Germania<\/td>Ago 2024<\/td>Controllo del traffico aereo (DFS)<\/td>APT28 (GRU)<\/td>Disruzione sistemi IT, attribuita il 12 Dic 2025<\/td><\/tr>
Francia\/Romania<\/td>2025<\/td>Servizi postali e sistemi idrici<\/td>Gruppi pro-russi<\/td>Disruzione operativa documentata da CERT-EU<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

I Gruppi Hacker Pro-Russi: Chi Sono e Come Operano<\/h2>\n\n\n\n

L’ecosistema dei gruppi hacktivisti pro-russi \u00e8 cresciuto significativamente dall’invasione dell’Ucraina. Nel solo primo trimestre 2026, le agenzie di sicurezza hanno stimato l’esistenza di almeno 60 gruppi individuali attivi<\/strong>, ciascuno con specializzazioni tattiche diverse. Secondo un’analisi di Cyble Research, nel primo trimestre 2025 i gruppi pi\u00f9 attivi contro infrastrutture critiche europee erano cinque: NoName057(16), Hacktivist Sandworm, Z-Pentest, Sector 16 e Overflame<\/strong>. Tutti e cinque hanno preso di mira principalmente nazioni allineate alla NATO e paesi che sostengono l’Ucraina.<\/p>\n\n\n\n

Z-Pentest Alliance<\/strong> \u00e8 il gruppo pi\u00f9 pericoloso per le infrastrutture OT. A differenza dei gruppi DDoS tradizionali, Z-Pentest dimostra competenze in ambito ICS\/SCADA (Supervisory Control and Data Acquisition), sistemi specializzati che controllano fisicamente pompe, valvole, generatori e interruttori di rete. Il gruppo pubblica video delle proprie intrusioni su Telegram per massimizzare l’impatto psicologico, documentando l’accesso fisico ai sistemi senza necessariamente causare danni catastrofici immediati. L’obiettivo primario \u00e8 la deterrenza e la dimostrazione di capacit\u00e0.<\/p>\n\n\n\n

Sandworm<\/strong>, operante sotto l’egida del GRU (intelligence militare russa), rimane il gruppo pi\u00f9 sofisticato e distruttivo. Responsabile degli attacchi alle reti elettriche ucraine nel 2015 e nel 2016, Sandworm ha sviluppato malware specifici per sistemi ICS, incluso Industroyer2. In primavera 2024, CERT-UA ha documentato attacchi di Sandworm a quasi 20 impianti energetici ucraini<\/strong>, con infezioni che hanno colpito fornitori di energia, acqua e riscaldamento in 10 regioni<\/strong> del paese. Il modello operativo ucraino viene ora replicato in Europa occidentale.<\/p>\n\n\n\n

APT28<\/strong> (noto anche come Fancy Bear), anch’esso collegato al GRU, si \u00e8 concentrato maggiormente su operazioni di spionaggio e interferenza elettorale. L’attribuzione da parte del governo tedesco dell’attacco al Controllo del Traffico Aereo Tedesco (DFS) ad agosto 2024 ha confermato che APT28 non esita a colpire sistemi di sicurezza critica. Lo stesso gruppo \u00e8 responsabile della campagna di operazioni informative (Storm-1516) che ha tentato di influenzare le elezioni federali tedesche del febbraio 2025.<\/p>\n\n\n\n

ICS\/OT: Attacchi ai Sistemi Industriali Aumentati del 50% in un Mese<\/h2>\n\n\n\n

I dati pubblicati da Cyble Research nel rapporto sul Q1 2025 mostrano un trend allarmante: gli attacchi hacktivisti ai sistemi ICS\/OT sono cresciuti del 50% nel solo mese di marzo 2025<\/strong>. Questo salto \u00e8 stato attribuito all’intensificarsi delle operazioni pro-russe contro le nazioni NATO, in risposta ai pacchetti di aiuti militari all’Ucraina approvati in quel periodo. Il settore energetico e i servizi di pubblica utilit\u00e0 si sono confermati come il principale bersaglio degli attacchi ICS nel primo trimestre, davanti al governo, alle banche e alle telecomunicazioni.<\/p>\n\n\n\n

La differenza rispetto al passato non riguarda solo la frequenza, ma la sofisticazione. I gruppi pro-russi stanno sfruttando sistemi ICS\/OT esposti direttamente su Internet, molti dei quali appartengono a piccoli comuni o utility locali privi di personale specializzato in cybersicurezza OT. Secondo il rapporto di Virtual Routes pubblicato a giugno 2026, il settore idrico europeo \u00e8 particolarmente vulnerabile: la maggior parte degli acquedotti comunali non ha implementato l’autenticazione a pi\u00f9 fattori (MFA) sui sistemi di controllo remoto, non dispone di soluzioni di segmentazione di rete adeguate e non effettua patch regolari sui sistemi SCADA.<\/p>\n\n\n\n

La convergenza IT\/OT ha amplificato il problema. Sistemi SCADA che in passato operavano in reti isolate (air-gapped) sono stati progressivamente connessi a reti aziendali e a Internet per ragioni di efficienza operativa e monitoraggio remoto. Questo ha creato una superficie di attacco vastamente pi\u00f9 ampia, senza che le pratiche di sicurezza OT si siano evolute di conseguenza. Molti sistemi industriali comunicano ancora con protocolli datati degli anni ’90 (Modbus, DNP3) privi di meccanismi di autenticazione o crittografia nativi.<\/p>\n\n\n\n

Tabella: Confronto tra i Principali Gruppi Hacker Pro-Russi Attivi in Europa<\/h2>\n\n\n\n
Gruppo<\/th>Affiliazione<\/th>Specializzazione<\/th>Obiettivi Principali<\/th>Metodi Chiave<\/th><\/tr><\/thead>
Z-Pentest Alliance<\/td>Pro-Russia (poss. origine serba)<\/td>Sistemi OT\/ICS\/SCADA<\/td>Acquedotti, dighe, utility<\/td>Accesso fisico remoto, video Telegram<\/td><\/tr>
NoName057(16)<\/td>Hacktivista pro-Russia<\/td>DDoS, interferenza elettorale<\/td>Governo, parlamenti, media<\/td>DDoS coordinato, campagne Telegram<\/td><\/tr>
Sandworm (GRU)<\/td>GRU russo (intelligence militare)<\/td>Malware ICS distruttivo<\/td>Reti elettriche, energia<\/td>Industroyer2, wiper, supply chain<\/td><\/tr>
APT28 \/ Fancy Bear<\/td>GRU russo (intelligence militare)<\/td>Spionaggio, interferenza elezioni<\/td>Governo, difesa, trasporti<\/td>Phishing avanzato, malware su misura<\/td><\/tr>
Sector 16<\/td>Pro-Russia<\/td>Attacchi ICS, petrolio e gas<\/td>Energia, industria pesante<\/td>Accesso HMI, manipolazione set-point<\/td><\/tr>
Overflame<\/td>Pro-Russia<\/td>DDoS, defacement<\/td>Media, NATO, infrastrutture minori<\/td>DDoS, pressione psicologica<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Munich Security Report 2026: I Cyberattacchi Sono il Rischio #1 nel G7<\/h2>\n\n\n\n

Il Munich Security Report 2026, uno dei documenti di riferimento pi\u00f9 autorevoli per l’analisi della sicurezza globale, ha segnato una svolta storica: per la prima volta, i cyberattacchi sono stati classificati come il rischio di sicurezza pi\u00f9 grave nell’intero G7<\/strong>. Questa percezione non \u00e8 pi\u00f9 limitata agli esperti tecnici, ma si \u00e8 diffusa tra i cittadini e i governi dei paesi pi\u00f9 industrializzati del mondo.<\/p>\n\n\n\n

Il rapporto descrive come la Russia stia “mescolando sempre pi\u00f9 tattiche cyber e cinetiche nelle sue operazioni di sorveglianza, sabotaggio e attacchi alle reti energetiche europee”. La distinzione tra sicurezza informatica e sicurezza energetica “ha effettivamente cessato di esistere” per le nazioni sul fianco orientale e settentrionale dell’Europa. La Finlandia, l’Estonia, la Lettonia e la Lituania sentono questa convergenza con pi\u00f9 urgenza immediata, ma la traiettoria \u00e8 chiara: la minaccia si sposta verso ovest e verso sud.<\/p>\n\n\n\n

Le agenzie di intelligence occidentali stimate che la Russia potrebbe ricostituire le proprie capacit\u00e0 militari per un’operazione contro uno stato confinante entro 6 mesi<\/strong> da un eventuale cessate il fuoco in Ucraina, e per una guerra regionale nel Mar Baltico entro 2 anni<\/strong>. In questo scenario, gli attacchi alle infrastrutture critiche europee servono a testare le capacit\u00e0 difensive dei paesi NATO, identificare vulnerabilit\u00e0 e creare dipendenze strategiche da sfruttare in un futuro scenario di escalation.<\/p>\n\n\n\n

La Risposta dell’UE: CERT-EU, ENISA e il Cyber Diplomacy Toolbox<\/h2>\n\n\n\n

La risposta istituzionale europea alla minaccia \u00e8 aumentata ma rimane frammentata. CERT-EU, l’agenzia responsabile della protezione delle istituzioni UE, ha pubblicato a gennaio 2026 il bollettino di intelligence CB26-01, in cui afferma che “i servizi di intelligence russi continueranno con alta probabilit\u00e0 le operazioni cyber e fisiche contro i governi europei e le infrastrutture critiche almeno fino alla met\u00e0 del 2026”. \u00c8 la prima volta che CERT-EU formula una valutazione predittiva di questa chiarezza nel testo pubblico di un bollettino ufficiale.<\/p>\n\n\n\n

L’ENISA (Agenzia dell’Unione Europea per la Cybersicurezza) ha ampliato il proprio mandato nell’ambito del Cyber Solidarity Act, ma le risorse dedicate al settore OT\/ICS rimangono insufficienti rispetto alla portata della minaccia. Il rapporto di Virtual Routes suggerisce tre interventi prioritari per l’UE: il lancio di un programma di “igiene cyber” per le utility idriche (con finanziamenti dedicati all’MFA, segmentazione di rete e patching); la creazione di un Centro ISAC europeo per il settore idrico per la condivisione di intelligence sulle minacce; e il maggiore utilizzo del Cyber Diplomacy Toolbox, lo strumento UE che consente sanzioni e attribuzioni pubbliche per rispondere agli attacchi.<\/p>\n\n\n\n

Quest’ultimo punto \u00e8 cruciale: nonostante lo strumento esista dal 2017 e sia stato usato in risposta a NotPetya e WannaCry, il suo utilizzo per attacchi al settore idrico \u00e8 stato minimo. La logica degli attaccanti sfrutta esattamente questa riluttanza a rispondere diplomaticamente ad attacchi che causano danni limitati ma dimostrano capacit\u00e0 significative. Il NCSC britannico ha segnalato a giugno 2026 che le infrastrutture del Regno Unito sono sotto “pressione cyber sostenuta” da Russia, Cina e Iran, un campanello d’allarme che rispecchia esattamente il panorama europeo.<\/p>\n\n\n\n

L’Italia nel Mirino: Campagne Hacktiviste e Vulnerabilit\u00e0 OT<\/h2>\n\n\n\n

L’Italia non \u00e8 immune da questa minaccia. Secondo il rapporto Cyble sul Q1 2025, l’Italia \u00e8 uno dei principali bersagli delle campagne hacktiviste pro-russe in Europa, insieme a Francia e Spagna. La Penisola \u00e8 nel mirino per la sua posizione di paese NATO, per il sostegno politico all’Ucraina espresso dal governo e per la presenza di infrastrutture portuali, energetiche e ferroviarie strategicamente rilevanti.<\/p>\n\n\n\n

Nel gennaio 2025, un gruppo filo-russo ha rivendicato un attacco DDoS a siti governativi italiani, inclusi ministeri, servizi pubblici e piattaforme di trasporto a Roma e Palermo, in risposta all’incontro tra la premier Giorgia Meloni e il presidente ucraino Zelensky. L’attacco ha avuto impatti limitati, ma ha dimostrato la capacit\u00e0 di colpire servizi pubblici in modo coordinato. Il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche) ha gestito l’incidente, ma la velocit\u00e0 di risposta ha evidenziato lacune nella preparazione di molti enti locali.<\/p>\n\n\n\n

La vulnerabilit\u00e0 principale per l’Italia riguarda le infrastrutture idriche dei comuni minori, molte delle quali ancora gestite con sistemi SCADA datati, privi di aggiornamenti di sicurezza recenti e con interfacce di gestione accessibili da Internet senza sistemi di autenticazione robusta. La direttiva NIS2, recepita in Italia con una base di 12.000 aziende<\/strong> obbligate, include le utility idriche tra i soggetti essenziali, ma l’implementazione pratica dei requisiti di sicurezza OT resta indietro rispetto alle scadenze previste.<\/p>\n\n\n\n

Dal DDoS alla Distruzione Fisica: Perch\u00e9 il 2026 \u00e8 Diverso<\/h2>\n\n\n\n

Per comprendere la portata del cambiamento in atto, \u00e8 utile tracciare la linea di evoluzione degli attacchi russi alle infrastrutture critiche europee negli ultimi quattro anni. Dal 2022 al 2023, la strategia dominante era il DDoS: attacchi volumetrici progettati per rendere irraggiungibili siti web governativi, bancari e mediali nei paesi che sostenevano l’Ucraina. Fastidiosi, ma reversibili in poche ore.<\/p>\n\n\n\n

Dal 2024 in poi, la tattica ha subito un’evoluzione significativa. I gruppi pi\u00f9 capaci hanno investito in competenze OT e hanno iniziato a colpire sistemi SCADA. La soglia di complessit\u00e0 tecnica per questi attacchi \u00e8 pi\u00f9 alta rispetto al DDoS, ma il potenziale impatto \u00e8 incomparabilmente superiore: un impianto di trattamento delle acque manipolato potrebbe alterare la composizione chimica dell’acqua potabile di un’intera citt\u00e0, una centrale elettrica compromessa potrebbe causare blackout prolungati durante l’inverno. Dall’inizio del 2022 a oggi, le agenzie europee hanno documentato oltre 150 incidenti<\/strong> riconducibili alla Russia, che spaziano da operazioni cyber pure a sabotaggio fisico di cavi sottomarini, ferrovie e gasdotti.<\/p>\n\n\n\n

L’Atlantic Council ha analizzato questo pattern e ha concluso che rappresenta “un approccio pi\u00f9 propenso al rischio nell’ambito di una campagna sostenuta per fare pressione sugli stati europei che sostengono l’Ucraina, testarne la resilienza, creare incertezza e dimostrare capacit\u00e0 senza provocare un confronto militare diretto”. In altre parole: una guerra che si combatte sotto la soglia del conflitto armato, ma con effetti concreti e misurabili sulle vite dei cittadini europei.<\/p>\n\n\n\n

5 Previsioni per il 2026-2027<\/h2>\n\n\n\n

Sulla base dei dati raccolti e delle tendenze in atto, ecco cinque scenari ritenuti probabili per i prossimi 12-18 mesi:<\/p>\n\n\n\n

  1. Espansione geografica degli attacchi OT verso l’Europa meridionale.<\/strong> Finora, i casi documentati di attacchi ai sistemi industriali si sono concentrati su Polonia, Svezia e Norvegia. Il 2026-2027 vedr\u00e0 probabilmente un’intensificazione delle operazioni contro infrastrutture di Italia, Spagna e Portogallo, paesi NATO con infrastrutture idriche ed energetiche pi\u00f9 frammentate e meno protette a livello OT.<\/li>
  2. Primo incidente con impatto fisico grave su territorio UE.<\/strong> La progressione tattica rende probabile che entro 18 mesi si verifichi un incidente con un impatto fisico significativo su territorio UE: un blackout prolungato di ore (non minuti), un acquedotto fuori servizio per pi\u00f9 giorni, o danni a un impianto energetico che richiedano settimane di riparazione.<\/li>
  3. Maggiore utilizzo del Cyber Diplomacy Toolbox.<\/strong> La pressione politica interna nei paesi colpiti spinger\u00e0 l’UE a utilizzare pi\u00f9 frequentemente lo strumento per attribuire pubblicamente attacchi e imporre sanzioni. Si stima che nei prossimi 12 mesi vengano effettuate almeno 3-5 attribuzioni pubbliche formali per attacchi alle infrastrutture critiche UE.<\/li>
  4. Istituzione di un ISAC europeo per il settore idrico.<\/strong> Le raccomandazioni del rapporto Virtual Routes e le pressioni politiche post-incidenti porteranno all’avvio formale di un Centro ISAC europeo per il settore idrico entro il 2027, con finanziamenti nell’ambito del programma UE Horizon Europe o del Digital Europe Programme.<\/li>
  5. Convergenza tra AI e attacchi OT.<\/strong> I gruppi hacker pi\u00f9 sofisticati inizieranno a integrare strumenti di intelligenza artificiale per automatizzare la ricognizione di sistemi SCADA esposti su Internet, riducendo i tempi di intrusione e personalizzando gli attacchi in base alle caratteristiche specifiche degli impianti target. Questa convergenza potrebbe moltiplicare la scala e la frequenza degli attacchi contro utility con difese OT inadeguate.<\/li><\/ol>\n\n\n\n

    Copertura Correlata<\/h2>\n\n\n\n