Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

sicurezza nazionale

Privacy sotto assedio: anche in guerra i dati dei civili non devono diventare armi

Home Norme e adeguamenti
Partecipa al dibattito
Indirizzo copiato

Nel nuovo dominio della guerra ibrida, la protezione dei dati civili si colloca all’incrocio tra GDPR, Diritto Internazionale Umanitario e sicurezza nazionale. Serve una cornice tecnico-giuridica integrata per prevenire l’abuso dell’identità digitale in tempo di guerra

Pubblicato il 23 mar 2026
Marco Toiati

Ingegnere, IT Security Manager

Il riarmo della Nato: le sfide per la cyber in Europa; Privacy sotto assedio: anche in guerra i dati dei civili non devono diventare armi

In sintesi

  • La digitalizzazione del conflitto trasforma i dati personali e l’identità digitale in vettori strategici, esponendo i civili alla weaponization attraverso cloud e supply chain.
  • Il targeting algoritmico sfrutta AI e metadati per identificare e colpire civili, minando i principi di distinzione e proporzionalità del DIU e la tutela garantita dal GDPR.
  • Occorre una cornice tecnico‑giuridica integrata: crittografia end‑to‑end, confidential computing, data minimization, governance dei dati biometrici e resilienza della supply chain.
Riassunto generato con AI

La digitalizzazione del conflitto armato ha trasformato i dati personali in vettori strategici di intelligence, coercizione e controllo territoriale.

Nel nuovo dominio bellico ibrido, la protezione dei dati civili si colloca all’incrocio tra GDPR, Diritto Internazionale Umanitario (DIU) e sicurezza nazionale.

Ecco il valore operativo dei dati, le vulnerabilità introdotte da cloud e supply chain, le lacune normative in materia di targeting algoritmico e weaponization dei dati umanitari. Serve una cornice tecnico-giuridica integrata per prevenire l’abuso dell’identità digitale in tempo di guerra.

Telecamere di Teheran hackerate e IA: l’arma letale del Mossad per uccidere Khamenei

I dati personali come nuovo “territorio” di guerra

La trasformazione del conflitto armato da dominio fisico a dominio informativo ha ridefinito la nozione stessa di “bene civile”. Il Tallinn Manual 3.0 afferma che i dati devono essere considerati beni suscettibili di protezione al pari degli asset fisici [1].

L’identità digitale diventa così parte integrante della persona civile, estendendo la responsabilità degli attori armati ben oltre il danno cinetico.

La vulnerabilità dei dati è oggi moltiplicata da tre fattori:

  • la dipendenza crescente di servizi essenziali da registri digitali;
  • la correlazione massiva resa possibile dall’intelligenza artificiale;
  • la possibilità che la compromissione di un dataset causi danni diffusi e non immediatamente visibili.

Uno scenario caratterizzato da queste dinamiche trasforma il dato civile in un bene dual-use: civile per funzione, militare per potenziale sfruttamento.

Targeting algoritmico: l’evoluzione digitale del ciclo dell’intelligence

Le moderne operazioni militari sfruttano enormi volumi di dati civili per potenziare il ciclo dell’intelligence.

Questa pratica – definita targeting algoritmico – combina tecniche di data
mining con modelli predittivi. Di seguito un esempio di utilizzo del targeting algoritmico per scopi bellici.

Fase di acquisizione

Gli attori ostili puntano a database civili ad alta densità informativa quali:

  • anagrafi e registri sanitari;
  • infrastrutture telco (location data, metadata di rete);
  • sistemi biometrici impiegati da ONG e agenzie internazionali.

Fase di analisi

I modelli di AI generano cluster comportamentali utili a individuare:

  • dissidenti politici;
  • funzionari pubblici chiave;
  • gruppi etnici o religiosi vulnerabili;
  • percorsi di evacuazione o movimenti di rifugiati.

Fase di selezione

La selezione di target basata su algoritmi può violare i principi di distinzione e proporzionalità del DIU, soprattutto quando le fonti dati includono informazioni civili acquisite senza consenso.

Studi recenti [2] mostrano che la manipolazione dei metadati civili può produrre effetti più devastanti della distruzione fisica di infrastrutture quali, ad esempio, interruzione della distribuzione degli aiuti, alterazione della catena logistica sanitaria e paralisi dei servizi amministrativi.

Weaponization dei dati umanitari: un rischio sistemico

Organizzazioni come UNHCR e OCHA gestiscono volumi enormi di dati biometrici per l’erogazione degli aiuti nelle zone di crisi.

Privacy International [3] dimostra come, in diversi teatri di conflitto, la vulnerabilità di tali sistemi possa trasformare queste informazioni in:

  • liste di obiettivi (“kill lists”);
  • strumenti di persecuzione politica;
  • mezzi per controllare gli spostamenti della popolazione;
  • vettori per operazioni di sorveglianza di massa.

Il DIU tutela la neutralità dell’assistenza umanitaria, ma non disciplina in modo completo la gestione dei dati raccolti a fini umanitari.

La lacuna normativa espone ONG e civili a rischi non intenzionali ma strutturali.

Infrastrutture, cloud e sovranità digitale: la vulnerabilità invisibile

La guerra ai dati non riguarda solo i contenuti informativi, ma anche l’infrastruttura che li ospita:

  • Cyberoccupazione dei data center;
  • CloudFirst but SovereignAlways;
  • Supply chain come vettore di compromissione.

In contesti bellici, il controllo fisico di un data center permette all’attore ostile di appropriarsi dei database civili nazionali, manipolare i registri amministrativi e iniettare backdoor con effetto su tutti i sistemi connessi.

La resilienza digitale passa per architetture cloud ibride capaci di spostare i carichi di lavoro in tempo reale verso ambienti esterni al territorio occupato.

ENISA [4] identifica la supply chain software come uno dei principali rischi di sicurezza nazionale: un singolo fornitore compromesso può violare simultaneamente l’integrità di numerosi enti pubblici. La direttiva NIS2 eleva questi rischi a materia di sicurezza strategica.

Il quadro giuridico: tra GDPR e Diritto Internazionale Umanitario

Il GDPR non cessa di esistere in scenari di conflitto, ma l’art. 23 consente deroghe per finalità di sicurezza nazionale e difesa.

Tuttavia:

  • le deroghe devono essere necessarie;
  • devono rispettare l’essenza dei diritti fondamentali;
  • devono essere proporzionate.

Il problema centrale è che gli attori dominanti in tempo di guerra – eserciti, gruppi armati non statali, forze occupanti – non ricadono nel perimetro del GDPR. Il DIU, d’altro canto, protegge la popolazione civile, ma non definisce in modo puntuale la tutela dei dati personali.

La comunità giuridica internazionale riconosce tre aree critiche:

  • Assenza di norme esplicite sulla protezione dei dati nel testo delle Convenzioni di Ginevra;
  • Ambiguità nello status dei dati come oggetti civili, con implicazioni sul diritto di attacco;
  • Mancanza di limiti chiari all’uso dell’AI nel targeting, un vuoto normativo che rischia di amplificare l’impatto dei data breach.

L’analisi della Geneva Academy [5] evidenzia come la protezione dei dati debba essere interpretata come parte integrante della protezione dei civili, indipendentemente dalla materialità del danno.

Verso una dottrina integrata di Digital Human Security

La difesa dei dati civili nei conflitti moderni richiede un’integrazione tra policy, tecnologia e diritto. Di seguito le soluzioni che caratterizzano questi tre aspetti ritenute necessarie.

Misure tecniche necessarie:

  • architetture ZeroKnowledge e confidential computing;
  • crittografia endtoend con gestione autonoma delle chiavi;
  • ridondanza geografica dei sistemi;
  • sistemi di data minimization bydesign;
  • processi di wipe sicuro dei registri sensibili.

Misure giuridiche necessarie:

  • criteri di proporzionalità applicati al trattamento algoritmico;
  • adozione di principi di necessità anche in scenari militari;
  • definizione del dato civile come oggetto protetto dal DIU.

Misure strategiche necessarie:

  • resilienza della supply chain;
  • cloud sovrano;
  • audit continui basati su threat intelligence;
  • governance nazionale dei dati biometrici.

La protezione dell’identità digitale diventa così un pilastro della sicurezza nazionale e dell’etica umanitaria.

La resilienza di una popolazione si misura dalla capacità di impedire che i propri dati siano trasformati in strumenti di sorveglianza, controllo o sterminio digitale.

La protezione dei dati è la nuova protezione dei civili

Il fronte più delicato della guerra moderna non è fatto di droni, missili o attacchi cyber ad alta intensità. È fatto di numeri, metadati, registri civili. Proteggere l’identità digitale delle persone è oggi una forma di difesa umanitaria a tutti gli effetti.

E la resilienza di un Paese si misurerà sempre più sulla capacità di garantire una semplice, fondamentale verità: anche in guerra, i dati dei civili non devono diventare armi.

Bibliografia

[1] Schmitt, M. N., Tallinn Manual 3.0 on the International Law Applicable to Cyber Operations. Regolamento (UE) 2016/679, GDPR, Art. 23.

[2] Baltic Journal of Law & Politics, The Applicability of IHL to Data in Armed Conflict, 2024.

[3] Privacy International, Data Protection as a Humanitarian Issue, 2024.

[4] ENISA, Threat Landscape for 2025: Sectoral Analysis of Cyber-Attacks.

[5] Geneva Academy of International Humanitarian Law, Perspectives on the
Protection of Data in Armed Conflict, 2023.

[6] Microsoft, Digital Defense Report 2025: The Evolution of Nation-State Threats.

[7] Wired Italia, Guerra e algoritmi: come l’AI sta trasformando il targeting militare.

[8] Corriere della Sera, L’IA nella guerra senza regole.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

T
Marco Toiati
Ingegnere, IT Security Manager

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • Web3 cos'è e come funziona

  • BLOCKCHAIN

    Il nuovo Web3: cos'è, come funziona e le implicazioni di cyber security

    07 Apr 2025

    di Redazione Cybersecurity360.it

    Condividi
  • OVH Canada

  • Cloud e giurisdizione

    Il caso OVH, quando il Canada sfida la sovranità digitale UE: i rischi per i nostri dati

    12 Gen 2026

    di Rosario Palumbo

    Condividi
  • WhatsApp aziendale e privacy; WhatsApp introduce le impostazioni restrittive dell'account: come attivarle su iPhone e Android

  • la sanzione

    WhatsApp aziendale e privacy: perché serve il consenso per aggiungere dipendenti nei gruppi

    21 Ott 2025

    di Chiara Ponti

    Condividi
  • Vulnerabilità in Apple iOs per attacchi mirati: la patch è urgente

  • sicurezza mobile

    Vulnerabilità in Apple iOS, basta un'immagine per sferrare attacchi mirati: patch urgente

    26 Ago 2025

    di Mirella Castigli

    Condividi
0
Lascia un commento, la tua opinione conta.x