L’attacco informatico che ha colpito la Polonia lo scorso 29 dicembre 2025 rappresenta un’importante escalation nella strategia di sabotaggio digitale della Russia contro le infrastrutture critiche europee.
L’operazione ha preso di mira trenta impianti energetici, tra cui centrali di cogenerazione e sistemi di gestione della distribuzione di energia da fonti rinnovabili, che nel paese rappresentano il 29% della produzione totale.
Gli aggressori sono riusciti a penetrare nei sistemi di tecnologia operativa, l’interfaccia che collega le reti informatiche ai dispositivi fisici, danneggiando alcune apparecchiature.
L’attacco ha interessato anche un grande impianto di cogenerazione che fornisce calore a quasi mezzo milione di utenti: secondo le autorità polacche non si sono verificate interruzioni effettive della fornitura, ma l’episodio ha comunque dimostrato il potenziale impatto che un’operazione di questo tipo avrebbe potuto avere in un momento in cui le temperature erano particolarmente rigide.
Indice degli argomenti
Le evidenze dell’attacco russo
L’aspetto più significativo di questa vicenda, secondo l’analisi condotta dalla società di sicurezza informatica Dragos e confermato da funzionari polacchi e specialisti del settore, riguarda l’identità degli autori dell’attacco.
Le evidenze raccolte da Dragos puntano verso un gruppo identificato con il nome di Electrum, mentre altre valutazioni tecniche e istituzionali collegano l’operazione a un’unità dell’FSB, il servizio di sicurezza dello stato russo, conosciuta nell’ambiente della cybersecurity come Berserk Bear.
Questa distinzione rivela un mutamento nelle tattiche e nella strategia operativa russa. L’ipotesi di un coinvolgimento diretto di Berserk Bear, qualora confermata, segnerebbe un cambiamento significativo rispetto al passato.
Storicamente, infatti, le operazioni più distruttive contro infrastrutture critiche erano state attribuite principalmente a Sandworm e al GRU, noti per un approccio aggressivo e orientato al sabotaggio immediato. Il GRU ha storicamente privilegiato approcci rumorosi e distruttivi, puntando al caos immediato piuttosto che alla segretezza prolungata.
Le sue operazioni sono spesso descritte come aggressive e poco attente alla discrezione. L’FSB, al contrario, ha sempre condotto operazioni digitali orientate principalmente allo spionaggio, caratterizzate da lentezza, discrezione e cautela.
Come sottolineato da John Hultquist, analista capo del Threat Intelligence Group di Google, in dodici anni di presenza nelle reti avversarie, questo gruppo non aveva mai mostrato l’intenzione di provocare interruzioni operative, limitandosi a posizionarsi in profondità nei sistemi e attendere ordini che potessero arrivare in futuro.
L’attacco polacco rappresenta quindi la prima volta che Berserk Bear passa dalla ricognizione all’azione, segnando un cambio di dottrina operativa.
Intensificazione delle attività ostili russe in Europa: l’incidente polacco
L’incidente polacco si inserisce in un quadro più ampio di intensificazione delle attività ostili russe in Europa.
Nel 2023 soggetti legati alla Russia hanno interferito con il traffico ferroviario nella Polonia nord-occidentale trasmettendo, tramite frequenze radio, un segnale non autorizzato di arresto di emergenza che ha provocato la fermata di circa venti treni su rotte utilizzate anche per l’invio di aiuti all’Ucraina. L’operazione aveva dimostrato la capacità di creare disservizi su infrastrutture di trasporto critiche, seppure con effetti limitati.
Negli stessi anni diversi paesi europei, tra cui la Repubblica Ceca, hanno denunciato ripetuti tentativi di intrusione e sabotaggio contro reti ferroviarie e altri sistemi essenziali, confermando un pattern di attività ostili mirate alle linee di rifornimento verso il fronte ucraino.
Successivamente, la campagna si è estesa a obiettivi civili senza connessione diretta al conflitto ucraino: lo scorso anno è stata presa di mira una diga nel sud-ovest della Norvegia, provocando il flusso incontrollato di acqua per quattro ore.
L’escalation
Queste operazioni rappresentano un’escalation rispetto al comportamento russo degli anni precedenti. Gli hacker russi hanno da tempo violato reti informatiche europee per raccogliere informazioni e sondare le infrastrutture alla ricerca di vulnerabilità, ma si erano spinti molto oltre solo in Ucraina, dove nel 2015 e 2016 avevano condotto attacchi particolarmente audaci contro la rete elettrica, causando blackout che avevano colpito centinaia di migliaia di persone.
Al di fuori del teatro ucraino, invece, avevano mantenuto un approccio più cauto, che ora sembra progressivamente abbandonato. Il cambiamento di strategia suggerisce una valutazione diversa del rapporto rischio-beneficio da parte del Cremlino, che evidentemente ritiene di poter sostenere le conseguenze diplomatiche e politiche di operazioni più aggressive.
La finestra di opportunità che il Cremlino sta sfruttando
Gli analisti prevedono un ulteriore deterioramento della situazione nei prossimi mesi e anni.
Chelsea Cederbaum, ex analista della CIA ora presso la società di intelligence Recorded Future, individua una finestra di opportunità che il Cremlino sta attivamente sfruttando: le divisioni tra Usa ed Europa, evidenziate in particolare dalla questione della Groenlandia, e il periodo che precede le elezioni presidenziali americane del 2028, che potrebbero portare all’insediamento di un presidente meno filorusso.
In questo contesto, la tolleranza al rischio da parte russa sarebbe in rapida crescita, con una disposizione a testare i limiti della risposta occidentale attraverso azioni sempre più audaci.
I Giochi Olimpici invernali in Italia: un possibile obiettivo ad alto profilo
La Russia è stata esclusa dall’evento dei Giochi Olimpici invernali in Italia e in precedenza aveva già dimostrato la propria capacità e volontà di attaccare grandi manifestazioni sportive, colpendo le Olimpiadi di Pyeongchang nel 2018 e quelle di Parigi nel 2024.
Il 5 febbraio, mentre i giochi stavano per iniziare, le autorità italiane hanno dichiarato di aver bloccato attacchi russi contro siti web collegati all’evento, confermando la concretezza della minaccia e l’importanza di mantenere elevati livelli di vigilanza.
La capacità di prevenire questi attacchi dimostra che, nonostante l’escalation delle minacce, le difese europee stanno migliorando e sviluppando maggiore resilienza di fronte alle campagne di sabotaggio digitale russe, sebbene rimanga fondamentale non abbassare la guardia e continuare a investire in capacità difensive e di intelligence.
