Le tensioni geopolitiche e i conflitti sono tra i motivi scatenanti dell’escalation di attacchi informatici a livello mondiale. La guerra tradizionale è solitamente preceduta da attacchi digitali che puntano a interrompere le comunicazioni; poi è accompagnata da azioni dimostrative di attivismo digitale nelle aree dei conflitti e da operazioni digitali orientati a rallentare i servizi secondari, recuperare le informazioni strategiche, destabilizzare le infrastrutture critiche e i sistemi industriali.
La guerra fra Russia e Ucraina aveva già evidenziato queste dinamiche con un incremento significativo delle operazioni digitali da entrambe le parti, attività che si erano riverberate in tutta Europa.
L’attuale contrapposizione fra Stati Uniti e Israele con l’Iran ha contribuito ad accrescere una minaccia sempre più ibrida e liquida, ormai a livello globale.
Per le aziende questa dinamica si traduce in un rischio aumentato di varia natura che richiede conoscenza approfondita della minaccia verso la propria organizzazione, riduzione dell’esposizione, solida postura di sicurezza e stabili pratiche di cyber igiene ma anche di formazione specifica.
Indice degli argomenti
Scenario della minaccia legato alle evoluzioni del conflitto iraniano
Il conflitto mediorientale e le relative rappresaglie sembrano includere ritorsioni informatiche anche se non è del tutto certa una vera e propria controffensiva informatica coordinata da parte dell’Iran.
Informazioni in merito alle operazioni sul campo arrivano dagli esperti di intelligence. In qualche caso sono state rilasciate gratuitamente piattaforme di monitoraggio dei dati sul conflitto (come fu fatto durante la pandemia di covid-19 per tracciare i contagi) con aggiornamenti continui come, ad esempio, l’Iran conflict monitor.
Per le operazioni digitali sono invece i monitoraggi specifici di cyber intelligence a fornire un quadro della minaccia, che si è evoluta con cadenze specifiche come sottolinea Pierguido Iezzi, strategic director di Zenita Group: “Sono stati osservati DDoS e attacchi ‘hacktivist’ su Israele e Stati Uniti nelle prime ore del conflitto, seguiti da campagne mirate di phishing e raccolta informazioni nelle 12-24 ore successive. Operazioni di ampliamento dei bersagli verso i settori energetici nei paesi del Golfo (Emirati, Arabia Saudita, Qatar, Kuwait, Bahrain, Oman) per furto dati e operazioni di influenza/pressione sono iniziate a 24-48 ore e infine sono stati osservati precursori rilevanti su ambienti OT/ICS (i sistemi che controllano processi industriali, n.d.r.) nelle 48-72 ore con attività progressiva e caratterizzata da aumento della volatilità, maggiore autonomia di gruppi ‘proxy’ e ingresso di attori opportunisti, che rendono difficile l’attribuzione, ma si caratterizzano per minore pericolosità”.
Il riverbero di queste operazioni digitali sull’Europa e ogni singolo stato UE, può dipendere sia dalla posizione che sarà assunta rispetto al conflitto, sia dalla solita escalation di azioni a basso costo e ad alta visibilità.
Operazioni che i gruppi avversari possono effettuare a mezzo attacchi di tipo negazione distribuita del servizio (DDOS) e disturbo di servizi essenziali e/o secondari.
Ruolo del “rumore” mediatico sul conflitto
In effetti, una menzione particolare è dedicata al “rumore” che si genera attorno ad un conflitto e che offre la copertura ideale per azioni malevole motivate da Stati o da semplici criminali in cerca di lucro.
Gli esperti di threat intelligence di Fortinet Aamir Lakhani, Carl Windsor e Derek Manky sottolineano come ciò includa “il lancio di campagne di phishing incentrate sulle ultime notizie, la distribuzione di falsi avvisi contenenti malware o aggiornamenti di sicurezza fittizi, che passano sottotraccia grazie al caos della situazione, perché si fa più complicato risalire alle fonti e distinguere le segnalazioni attendibili da quelle fasulle, mentre è più semplice organizzare operazioni sotto falsa bandiera”.
Inoltre “le prove di operazioni informatiche iraniane su larga scala direttamente collegate agli attacchi sono limitate, ma questo non significa che il cyberspazio sia tranquillo o che rimarrà tale a lungo. Si osservano operazioni di attivismo digitale informale (hacktivismo), rivendicazioni riciclate, manomissioni di siti web, interruzioni di trasmissioni e tentativi di intrusione opportunistici, insieme a operazioni psicologiche”.
D’altra parte, il cybercrime ha assunto ormai da tempo una dimensione così estesa da richiedere, per il suo contrasto, una solida cooperazione internazionale finalizzata alla condivisione di intelligence, di best practice e di un’azione coordinata tra istituzioni, forze dell’ordine e imprese.
Proprio quello che emerso nella conferenza presso l’Ambasciata USA a Roma organizzata da Dipartimento del Commercio dell’Ambasciata degli Stati Uniti d’America e Fortinet proprio sulla evoluzione dei rischi di cyber security a fronte di scenari progressivamente complessi.
La naturale conseguenza di questi scenari, guerre comprese, incide sul rischio operativo della difesa che aumenta, ancor prima che si concretizzi una ritorsione coordinata e strategica nell’ambito di uno o più conflitti in corso.
In effetti le aziende che dovessero interpretare l’assenza di una ritorsione immediata come una riduzione del rischio generale, potrebbero trovarsi impreparate alle operazioni digitali di seconda ondata.
Ripercussioni di sicurezza informatica per le organizzazioni
Durante condizioni conflittuali come quelle attuali, la prima ondata è spesso rumorosa mentre l’eventuale seconda fase potrebbe essere più silenziosa, più coordinata e più mirata; quindi, è fondamentale essere preparati.
“Le aziende che sfruttano questa fase iniziale per rafforzare la propria igiene informatica, applicare un’autenticazione forte e a più fattori, e ridurre l’esposizione saranno in una posizione di vantaggio indipendentemente da come si evolveranno gli eventi” come sottolinea Aamir Lakhani, Global Director of Threat Intelligence and Adversarial Artificial Intelligence Research di Fortinet, a cui abbiamo domandato se i continui annuncia di minaccia digitale crescente rendano veramente più consapevoli le organizzazioni che spesso appaiono sfinite da allarmi continui: “Rispetto alle nostre analisi degli anni precedenti, l’elemento di reale discontinuità nel 2026 non è tanto l’emergere di nuove categorie di minaccia, quanto il salto di scala e di velocità con cui esse si manifestano. Si evidenzia il passaggio da un paradigma basato sull’innovazione episodica a uno dominato dal throughput: la velocità con cui l’intelligence viene trasformata in azione operativa (fonte Cyberthreat Predictions for 2026)”.
Rischi sul fronte delle AI e azioni di governance
Sono quattro le aree di rischio in cui la minaccia sta accelerando, spiega l’esperto. “Nel caso dell’intelligenza artificiale il problema è legato alle caratteristiche di essere una ‘black box’ (non sono noti i dettagli della sua implementazione e training, n.d.r.).
Questo complica la conformità normativa, l’attribuzione delle responsabilità, l’identificazione di vulnerabilità specifiche, e rende meno consapevoli dei rischi legati al caricamento di dati aziendali sensibili su AI in cloud”.
Anche gli agenti autonomi sono critici. “La compromissione di un agente AI può generare effetti a catena lungo l’intera infrastruttura”. La protezione parte dalla governance. “È necessario considerare l’AI come una capability da governare, proteggendo modelli, dati e accessi con lo stesso livello di rigore riservato ai sistemi critici e autenticando non solo le persone, ma anche agenti automatizzati e interazioni machine-to-machine”.
Industrializzazione del cybercrime e azioni di risposta continue
Sul fronte del cybercrime, la novità risiede “nella evoluzione a livello di industrializzazione che risulta dal mix di automazione, Intelligenza Artificiale e una supply chain così matura da ridurre nel 2026 drasticamente il tempo tra intrusione e impatto, da giorni a minuti”.
Alcune capacità dell’attacco sono state automatizzate a mezzo AI e parallelizzate su più campagne. “I sistemi basati sull’AI sono già in grado di gestire la ricognizione, accelerare l’intrusione, analizzare i dati sottratti e generare negoziazioni di riscatto, mentre i black market adottano modelli strutturati di customer service, reputazione ed escrow automatizzati”.
Anche la difesa deve quindi passare di livello ed “automatizzare validazione e contenimento come un processo continuo. Framework come il Continuous Threat Exposure Management – CTEM (di Gartner, n.d.r.) e il MITRE ATT&CK (del Mitre.org, n.d.r.) assumono un ruolo centrale per mappare rapidamente le minacce attive, identificare le esposizioni reali e prioritizzare la remediation sulla base di dati in tempo reale.”
Rischi di compliance e integrazione nativa
Il rispetto dei requisiti normativi si complica a causa di modelli di AI ‘ black box’, difficili da spiegare e di catene decisionali automatizzate.
L’esperto in questo caso suggerisce di “integrare la compliance nei processi di sicurezza e nella governance dell’AI stessa, con particolare attenzione alla protezione dei dati e alla gestione delle identità degli agenti AI”
Rischio geopolitico e continuità della resilienza operativa
Le tensioni geopolitiche rappresentano un fattore di rischio sempre più tangibile. “Attacchi contro piattaforme finanziarie, scambio (exchange) di criptovalute, istituti bancari e infrastrutture globali come i cavi sottomarini in fibra ottica sono spesso azioni mirate e possono essere riconducibili ad attori sponsorizzati da Stati, spesso coinvolti anche in infiltrazioni silenti di reti aziendali”.
Le organizzazioni devono vigilare. “Chi ha legami commerciali in aree geopoliticamente sensibili diventa facilmente un obiettivo. In questo contesto, l’azione difensiva prioritaria consiste nel rafforzare la resilienza complessiva, preparando i CISO a gestire scenari di emergenza e a garantire la continuità operativa attraverso la definizione del Minimum Viable Business e l’esecuzione di esercitazioni ricorrenti”.
Azioni di rafforzamento della formazione in cyber security
Di fronte alle minacce informatiche conoscenza e consapevolezza sono passi iniziali, tuttavia, non sempre l’efficacia del generico utente è garantita tanto da evidenziare una certa ‘distrazione se non disinteresse’.
Abbiamo chiesto a Massimo Palermo, VP & Country Manager Italy & Malta di Fortinet, se questo atteggiamento è visibile anche nelle aziende o nelle PA per capire quali tipi di correttivi si possono adottare. “La distanza tra conoscenza teorica e comportamento quotidiano è un problema che emerge chiaramente nelle aziende e nelle organizzazioni pubbliche. Nonostante il 72% delle imprese a livello globale abbia aumentato i budget destinati alla sicurezza dei dati, il 41% ha comunque subito perdite milionarie legate a incidenti cyber interni (Data Security Report 2025). In questo scenario, è evidente la stretta relazione tra i data breach e la carenza di conoscenze di sicurezza informatica nelle aziende (Cybersecurity Skills Gap Report)”.
I dati riguardano anche la consapevolezza specifica di cyber security. “Il 56% dei dirigenti intervistati indica la mancanza di awareness interna tra i dipendenti non tecnici la maggiore ragione degli incidenti, a conferma di come la distrazione o il disinteresse individuale rappresentino una vulnerabilità strutturale”. Per intervenire concretamente e continuativamente la formazione va ripensata.
“La formazione non può essere considerata un’attività occasionale, ma deve essere posta al centro dell’agenda dei dirigenti e della strategia di cyber security, coinvolgendo l’intera organizzazione”.
Sono necessari approcci omnicomprensivi. “Il nostro approccio è basato su tecnologia, persone e processi affinché evolvano insieme. Senza una cultura della sicurezza solida e processi ben definiti, anche le soluzioni più avanzate rischiano di non esprimere il loro potenziale”.
“Anche per questo”, spiega il manager, “ci siamo impegnati in progetti di formazione con percorsi gratuiti e collaborazioni con università, ITS e centri di formazione, oltre che con le scuole per aiutare insegnanti, personale scolastico e studenti a riconoscere i rischi del digitale: dalle truffe online alla tutela della privacy, fino all’uso consapevole dei social network, con percorsi formativi semplici e personalizzabili, adatti anche ai più piccoli”.
Con le scuole, nei progetti pilota, sono coinvolte anche l’Agenzia per la Cybersicurezza Nazionale e della Polizia Postale. “L’iniziativa, rientra nell’impegno globale aziendale volto a formare un milione di persone in materia di cyber security entro la fine del 2026, partendo proprio dalle nuove generazioni”.
