SOMMARIO: 1. Il teatro di conflitto ibrido del cyberspazio. 2. NoName57: identità, struttura e modus operandi. 3. Cronologia e obiettivi degli attacchi contro l’Italia. 4. DDoS quale minaccia asimmetrica nel contesto della guerra cibernetica. 5. Il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) nella difesa dell’Italia. 6. Strategie di difesa e resilienza digitale. 7. Verso un nuovo paradigma di sicurezza cibernetica.
Abstract
Il cyberspazio è ormai dominio strategico della guerra ibrida, in cui attori statali e non statali impiegano operazioni informatiche per influenzare equilibri geopolitici, colpire infrastrutture critiche e destabilizzare la fiducia nelle istituzioni. Il contributo analizza la campagna di Distributed Denial of Service (DDoS) condotta dal gruppo hacker filo-russo NoName57 contro l’Italia tra il 17 e il 26 febbraio 2025. Gli attacchi, mirati a settori chiave come trasporti, finanza, difesa e amministrazioni pubbliche, non solo hanno interrotto temporaneamente i servizi digitali, ma si sono inseriti in una più ampia strategia di pressione psicologica e disinformazione, volta a minare la percezione della sicurezza nazionale e a influenzare le dinamiche politiche interne. L’analisi evidenzia da un lato il modus operandi di NoName57, caratterizzato da una combinazione di attacchi informatici coordinati e campagne di manipolazione dell’informazione, che amplificano l’impatto delle offensive cibernetiche e, dall’altro, il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) nella risposta agli attacchi, mettendo in luce il rafforzamento delle capacità di rilevamento, la cooperazione con partner internazionali e l’adozione di soluzioni avanzate basate su intelligenza artificiale e analisi predittiva delle minacce. Oltre alla ricostruzione degli eventi, l’articolo propone un’analisi predittiva dell’evoluzione della guerra cibernetica, delineando scenari futuri dominati da una crescente convergenza tra guerra cibernetica, intelligence artificiale e guerra informativa. L’emergere di attacchi sempre più sofisticati e adattivi, il ruolo degli hacktivisti sponsorizzati da Stati e la progressiva militarizzazione dello spazio digitale pongono nuove sfide alla sicurezza nazionale. In questo contesto, la capacità d’ implementare una strategia di deterrenza cibernetica efficace — basata su difesa attiva, capacità di risposta autonoma e alleanze strategiche con partner tecnologicamente avanzati — sarà determinante per la sovranità digitale e la protezione delle infrastrutture critiche dell’Italia nel contesto geopolitico globale.
Il teatro di conflitto ibrido del cyberspazio
Negli ultimi anni, il cyberspazio si è trasformato in una delle arene più rilevanti del conflitto geopolitico globale. Il crescente ricorso a operazioni di cyberwarfare, capaci di colpire infrastrutture critiche e istituzioni governative, ha reso il dominio digitale uno strumento di pressione politica, economica e strategica. Un esempio emblematico di questa dinamica è l’attacco al sistema energetico ucraino nel 2015, noto come BlackEnergy, che ha causato un blackout massiccio colpendo circa 225.000 cittadini. Questo episodio ha dimostrato come attacchi informatici possano generare effetti devastanti su larga scala, evidenziando il crescente impiego delle offensive cibernetiche come strumento di guerra ibrida e coercizione geopolitica. Tra gli attori più attivi in questo scenario emergono gruppi di hacker con forti legami con Stati nazionali, come NoName57, una formazione filorussa che ha condotto una serie di attacchi Distributed Denial of Service (DDoS) contro numerosi paesi europei, tra cui l’Italia. L’analisi degli attacchi perpetrati da NoName57 e delle loro implicazioni geopolitiche è cruciale per comprendere l’evoluzione delle minacce informatiche contemporanee e sviluppare strategie di difesa adeguate.
NoName57: identità, struttura e modus operandi
NoName57 è un gruppo hacker emerso nel contesto del conflitto tra Russia e Ucraina. Sebbene la sua composizione interna rimanga perlopiù sconosciuta, l’organizzazione si caratterizza per una forte ideologia filorussa e un modus operandi tipico delle operazioni di guerra ibrida. Il gruppo utilizza prevalentemente canali Telegram per coordinare attacchi e diffondere la propria propaganda, seguendo una strategia già impiegata da altre entità simili come Killnet. Le operazioni di NoName57 mirano a colpire siti governativi, istituzioni finanziarie e aziende strategiche attraverso attacchi DDoS che, pur non distruggendo infrastrutture, ne compromettono la funzionalità e minano la percezione pubblica della sicurezza informatica.
A livello operativo, il gruppo si distingue per l’uso sistematico di attacchi DDoS su larga scala, spesso accompagnati da campagne di disinformazione parallele. Un caso esemplificativo è l’uso combinato di attacchi informatici e fake news durante le operazioni contro l’Ucraina, dove NoName57 ha diffuso narrazioni manipolate sui social media per attribuire agli stessi paesi bersaglio la responsabilità degli attacchi o per amplificare il senso di vulnerabilità interna. Questo tipo di operazioni rientra in un modello di guerra informativa coordinata, vòlto a destabilizzare le percezioni pubbliche e minare la fiducia nelle istituzioni colpite, aggravando l’effetto dell’attacco informatico stesso. La disinformazione parallela gioca quindi un ruolo essenziale nella strategia complessiva del gruppo, contribuendo alla costruzione di un ambiente di insicurezza e caos comunicativo. Tale modus operandi ha lo scopo di amplificare l’impatto degli attacchi informatici, creando un effetto domino che genera panico mediatico e sfiducia nelle istituzioni. Inoltre, la decentralizzazione del gruppo e la sua capacità di attrarre volontari e simpatizzanti attraverso il dark web e forum clandestini lo rendono un attore difficile da individuare e neutralizzare.
Cronologia e obiettivi degli attacchi contro l’Italia.
Negli ultimi giorni, NoName57 ha intensificato le proprie attività offensive contro l’Italia, prendendo di mira infrastrutture strategiche e istituzioni governative. Il 17 febbraio, una serie di attacchi ha colpito gli aeroporti di Linate e Malpensa, l’Autorità dei Trasporti, i porti di Taranto e Trieste e il sito della banca Intesa Sanpaolo. Il giorno successivo, la campagna si è estesa al Ministero delle Imprese e del Made in Italy (MIMIT) e alla Guardia di Finanza. Il 19 febbraio sono stati colpiti i siti di Mediobanca, Nexi, Benelli Armi, Fiocchi Munizioni, Franchi e Danieli. Dal 20 al 26 febbraio, NoName57 ha proseguito la campagna offensiva colpendo un’ampia gamma di obiettivi, tra cui i siti delle Regioni Abruzzo e Puglia, di vari Comuni italiani come Bologna, Catania e Giugliano in Campania, oltre ai portali della Presidenza del Consiglio e del Ministero dell’Economia e delle Finanze. Particolarmente rilevante è stato l’attacco del 24 febbraio contro il sito dell’Aeronautica Militare e della Guardia di Finanza, simbolo della risposta italiana alle minacce ibride.
In questa fase, NoName57 ha dimostrato un’evoluzione strategica: mentre inizialmente gli attacchi erano concentrati su obiettivi altamente simbolici e mediatici, successivamente il gruppo ha mirato a infrastrutture amministrative locali, con l’intento di colpire la percezione pubblica della sicurezza cibernetica nazionale. Le aggressioni cibernetiche in parola sono state rivendicate come risposta alle dichiarazioni del presidente della Repubblica Sergio Mattarella, che aveva paragonato l’invasione russa dell’Ucraina alle guerre di conquista del Terzo Reich. L’obiettivo dichiarato del gruppo era quello di punire il governo italiano per la sua posizione filo-ucraina e mettere alla prova la resilienza delle infrastrutture informatiche nazionali.
Simili offensive, tuttavia, non devono essere considerate come eventi isolati. Essi si inseriscono in un contesto più ampio di guerra psicologica, in cui l’obiettivo non è solo arrecare danni materiali, ma anche minare la fiducia nella capacità dello Stato di proteggere le proprie infrastrutture critiche. Il tempismo e la selezione dei bersagli suggeriscono una chiara intenzione di destabilizzare il settore dei trasporti e il comparto finanziario, entrambi essenziali per la sicurezza economica del paese.
DDoS quale minaccia asimmetrica nel contesto della guerra cibernetica.
Gli attacchi DDoS rappresentano una delle tecniche più diffuse nel panorama della cyberwarfare. Questa tipologia di attacco prevede l’invio massiccio di richieste a un server, con l’obiettivo di saturarne le risorse e renderlo inaccessibile. Esistono diverse modalità di attacco DDoS, tra cui attacchi volumetrici, attacchi di esaurimento delle risorse e attacchi applicativi. Nel caso di NoName57, la strategia impiegata sembra essere quella degli attacchi volumetrici su larga scala, eseguiti tramite botnet distribuite a livello internazionale. Sebbene gli attacchi DDoS non comportino la compromissione permanente dei sistemi, il loro impatto può essere significativo, causando interruzioni di servizio, danni economici e perdita di fiducia nei confronti delle istituzioni colpite.
Una delle sfide principali nella difesa contro questo tipo di minaccia è l’imprevedibilità degli attacchi. Gli attaccanti utilizzano reti di dispositivi compromessi, spesso ignari della loro compromissione, per generare volumi di traffico ingestibili. Le organizzazioni colpite devono dunque investire in tecnologie di rilevamento avanzate, capaci di identificare pattern anomali nel traffico e attivare misure di mitigazione in tempo reale.
Il ruolo dell’Agenzia per la Cybersicurezza Nazionale (ACN) nella difesa dell’Italia
L’Agenzia per la Cybersicurezza Nazionale (ACN) rappresenta il fulcro della strategia di protezione cibernetica italiana, svolgendo una funzione critica nella difesa delle infrastrutture digitali e garantendo la continuità operativa di settori strategici. Oltre a coordinare la risposta agli attacchi informatici, l’ACN ha il compito di delineare un quadro strategico nazionale per la sicurezza informatica, favorendo la cooperazione tra istituzioni pubbliche, settore privato e partner internazionali. Tuttavia, la crescente sofisticazione delle minacce cibernetiche impone un costante aggiornamento delle tecnologie di difesa e delle metodologie di mitigazione del rischio. Dal 20 febbraio in poi, ACN ha intensificato le contromisure attraverso un monitoraggio avanzato delle minacce e un miglioramento delle capacità di mitigazione. L’uso di algoritmi di AI predittiva ha permesso di identificare pattern anomali nei flussi di traffico, consentendo una risposta più tempestiva agli attacchi successivi. Inoltre, la cooperazione con partner internazionali come la NATO e l’Unione Europea ha accelerato la condivisione di intelligence sulle nuove modalità operative di NoName57, dimostrando l’importanza di un approccio coordinato alla cyber-difesa. Uno degli aspetti più critici è la necessità di rafforzare le capacità predittive, adottando un paradigma basato sulla prevenzione piuttosto che sulla reazione agli attacchi. L’impiego di tecnologie avanzate di intelligenza artificiale e machine learning può risultare determinante in questa transizione, consentendo il monitoraggio in tempo reale di grandi volumi di dati e l’identificazione di schemi anomali riconducibili a potenziali minacce. Algoritmi di apprendimento automatico possono affinare le capacità di rilevamento e risposta, adattandosi dinamicamente all’evoluzione delle tecniche di attacco. L’integrazione di queste soluzioni con piattaforme di Security Information and Event Management (SIEM) e di threat intelligence può migliorare sensibilmente la gestione degli incidenti, riducendo il tempo di reazione e rafforzando la resilienza digitale.
Nel contesto cybergeopolitico, il ruolo dell’ACN è particolarmente rilevante per le aziende italiane e per le infrastrutture critiche, che rappresentano bersagli privilegiati di operazioni di sabotaggio cibernetico. La protezione di asset strategici quali il settore energetico, le telecomunicazioni, la finanza e i trasporti non è soltanto una questione di sicurezza nazionale, ma assume una valenza geopolitica cruciale. Un attacco riuscito contro una di queste infrastrutture potrebbe avere ripercussioni non solo economiche, ma anche diplomatiche, con potenziali effetti sulla stabilità politica del paese. In tale contesto, l’ACN deve rafforzare le partnership internazionali e promuovere l’adozione di standard di sicurezza uniformi a livello europeo, contribuendo alla costruzione di un ecosistema cyber-resiliente capace di rispondere efficacemente alle minacce emergenti.
Un altro aspetto fondamentale è la necessità di fornire alle aziende italiane strumenti adeguati per proteggere i propri asset digitali, riducendo la loro vulnerabilità agli attacchi informatici. Il rafforzamento delle sinergie tra ACN e imprese private, attraverso programmi di formazione avanzata, incentivi per l’adozione di tecnologie di sicurezza all’avanguardia e la condivisione di intelligence sulle minacce, è essenziale per migliorare la sicurezza dell’intero sistema economico nazionale. Inoltre, in un contesto sempre più caratterizzato da una competizione globale sul controllo delle risorse tecnologiche e digitali, la capacità dell’ACN di tutelare le imprese italiane dall’ingerenza di attori ostili sarà determinante per la sovranità economica e tecnologica del Paese.
In definitiva, la sicurezza informatica non può essere considerata solo una questione tecnica, ma deve essere pienamente integrata nelle strategie di difesa nazionale ed economica. L’ACN ha la responsabilità di guidare questo processo, garantendo che l’Italia sia pronta ad affrontare le sfide della guerra cibernetica moderna e a proteggere le proprie infrastrutture critiche da minacce sempre più sofisticate e pervasive. Oltre a coordinare la risposta agli attacchi informatici, l’ACN ha il compito di sviluppare una strategia nazionale di cybersecurity, promuovendo la cooperazione tra istituzioni pubbliche, settore privato e partner internazionali. Tuttavia, la crescente sofisticazione delle minacce impone un costante aggiornamento delle tecnologie e delle metodologie di difesa.
Uno degli aspetti critici è la necessità di rafforzare le capacità predittive, passando da una logica reattiva a un approccio preventivo. L’impiego di tecnologie basate su intelligenza artificiale e machine learning può rappresentare un elemento chiave per questa transizione. Sistemi avanzati di IA possono analizzare grandi quantità di dati in tempo reale, individuando pattern anomali che potrebbero indicare attività malevole imminenti. Algoritmi di apprendimento automatico permettono inoltre di affinare le capacità di rilevamento e risposta, adattandosi dinamicamente all’evoluzione delle minacce. L’integrazione di queste soluzioni con i SIEM e le piattaforme di threat intelligence consente una gestione più efficace degli incidenti, riducendo il tempo di reazione e migliorando la capacità di prevenzione delle minacce cibernetiche. Ciò implica l’adozione di sistemi basati su intelligenza artificiale per il monitoraggio delle minacce e la formazione di una forza lavoro altamente specializzata, capace di anticipare gli sviluppi del panorama cyber. La sicurezza informatica non può essere considerata solo un problema tecnico, ma deve essere integrata nelle strategie di sicurezza nazionale ed economica.
Strategie di difesa e resilienza digitale
Per contrastare minacce come quelle rappresentate da NoName57, l’Italia deve adottare un approccio multilivello che includa investimenti in infrastrutture di protezione avanzata, cooperazione internazionale e formazione continua. La sicurezza cibernetica non può più essere considerata un ambito specialistico separato, ma deve essere integrata in una strategia nazionale più ampia che coinvolga istituzioni pubbliche, aziende fino ai cittadini.
Un primo passo essenziale è il potenziamento delle capacità di rilevamento e mitigazione degli attacchi, attraverso l’implementazione di sistemi di difesa basati su intelligenza artificiale, capaci di analizzare grandi volumi di dati e identificare anomalie in tempo reale. Inoltre, la cooperazione internazionale con partner strategici come la NATO e l’Unione Europea è fondamentale per lo scambio di informazioni sulle minacce emergenti e per l’armonizzazione delle risposte ai cyber-attacchi.
Parallelamente, la formazione continua dei professionisti della cybersecurity e l’educazione del personale delle aziende e delle infrastrutture critiche devono diventare una priorità. Campagne di sensibilizzazione rivolte al settore privato e alla popolazione possono ridurre i rischi legati alle vulnerabilità umane, che rappresentano sempre e sempre saranno l’anello debole della sicurezza informatica e delle informazioni.
Infine, la costruzione di una resilienza digitale efficace richiede anche un rafforzamento delle capacità di risposta immediata agli incidenti, attraverso simulazioni periodiche, esercitazioni su larga scala e scenari di crisi che permettano di testare la tenuta delle difese. L’Italia deve sviluppare centri di risposta agli incidenti informatici (CSIRT) altamente specializzati, dotati di strumenti avanzati per il contenimento delle minacce e la ripresa delle operazioni in tempi ridotti. Solo attraverso un impegno costante e una visione strategica di lungo termine sarà possibile affrontare con successo le sfide della guerra cibernetica contemporanea.
Verso un nuovo paradigma di sicurezza cibernetica
Gli attacchi di NoName57 dimostrano che la guerra cibernetica è ormai una componente strutturale delle moderne strategie di conflitto. L’Italia deve dotarsi di strumenti adeguati per fronteggiare questa minaccia, rafforzando la sua capacità di difesa e collaborando con partner internazionali per garantire la sicurezza delle proprie infrastrutture critiche. A tal fine, potrebbe essere opportuno potenziare le collaborazioni nell’ambito della NATO, in particolare sfruttando il Cooperative Cyber Defence Centre of Excellence (CCDCOE) di Tallinn per migliorare le capacità difensive e di intelligence cibernetica. Allo stesso modo, il rafforzamento della cooperazione con l’Unione Europea tramite la direttiva NIS2 e le iniziative di condivisione delle minacce dell’ENISA (Agenzia dell’UE per la sicurezza informatica) rappresentano un passo cruciale per la resilienza informatica del paese. Sul piano bilaterale, accordi con nazioni tecnologicamente avanzate come gli Stati Uniti e Israele potrebbero favorire l’acquisizione di competenze e strumenti avanzati di cyber intelligence e cyber-deterrenza. È necessario, inoltre, valutare l’opportunità di istituire un framework multilaterale che includa paesi strategici nel Mediterraneo per rafforzare la sicurezza delle infrastrutture critiche regionali e prevenire attacchi coordinati su larga scala. Solo attraverso un approccio integrato sarà possibile preservare la sovranità digitale del Paese e proteggere la stabilità economica e politica nazionale. L’evoluzione degli eventi tra il 20 e il 26 febbraio evidenzia un trend crescente verso attacchi distribuiti, multi-vettore e adattivi, che sfruttano vulnerabilità emergenti per destabilizzare le infrastrutture critiche. Questo suggerisce la necessità di un modello di cyber-resilienza che combini difesa attiva, tecnologie predittive e simulazioni avanzate per anticipare le mosse degli attori ostili. Dal punto di vista della cyber-geopolitica, è probabile che nei prossimi mesi assisteremo a un incremento dell’uso di attacchi cibernetici come strumenti di pressione politica, sia in contesti di crisi aperta che in situazioni di tensione diplomatica latente. L’Italia, come membro NATO e dell’UE, dovrà adottare una postura proattiva, rafforzando le proprie capacità di deterrenza cibernetica e sviluppando strategie di risposta più rapide ed efficaci per proteggere le proprie infrastrutture strategiche.
Le opinioni espresse negli articoli del Belfablog sono quelle dei rispettivi autori e potrebbero non rispecchiare le posizioni del Centro Studi Machiavelli.
Federica Bertoni è una libera professionista, analista e consulente in materia di Digital Forensics, Cybersecurity and Cyber Geopolitica. Già Affiliate Scholar and Fellow Researcher presso l’ISLC di Unimi, focalizza le sue ricerche sulla sicurezza delle infrastrutture critiche, sistemi di voto elettronico, APTs, cyberespionage e attacchi state-sponsored. Esplora le interazioni tra web, politica e tecnologie, con un focus crescente sulla cyber security dello spazio.
Italiano 
English
Scrivi un commento