Diciamolo forte e chiaro: i canali pro‑russi che ruotano intorno a NoName057(16) e al progetto DDoSia continuano a reclutare volontari online per attacchi DDoS. Ma non finisce qui.
Infatti, in parallelo, e su binari spesso separati ma complementari, reti legate ai servizi russi stanno arruolando “agenti usa‑e‑getta” in tutta Europa per compiti reali sul territorio: incendi, pacchi esplosivi, ricognizione, provocazioni.
Il pattern è ormai documentato in più Paesi (Regno Unito, Germania, Svizzera, Polonia, Francia, stati baltici eccetera).
L’Italia finora è stata soprattutto bersaglio di attacchi denial of service (DDoS) e di propaganda, ma la convergenza tra militanza cyber e sabotaggi fisici è il rischio da prendere sul serio adesso.
Indice degli argomenti
Le minacce dei cyber miliziani e le ingerenze di stato
NoName057(16) (la rete cyber criminale pro-russa, già nota per aver orchestrato ondate di attacchi DDoS contro istituzioni e aziende europee vicine all’Ucraina) opera con un modello di “crowd‑DDoS”, basato su liste di target e tool diffusi su Telegram e con ricompense in crypto per chi partecipa.
A luglio 2025, l’operazione Eastwood, operazione congiunta di Europol e Eurojust nella quale l’Italia ha avuto un ruolo centrale, ha colpito l’infrastruttura del gruppo: oltre cento server fuori gioco, perquisizioni in vari Paesi, mandati d’arresto per membri chiave in Russia.
È stato un colpo importante, ma non la fine del fenomeno: gruppi di contorno e canali mirror si sono strutturati e ad oggi si rigenerano con estrema rapidità.
Sul piano operativo, questi collettivi agiscono in sinergia con interessi statali: la strategia è disperdere migliaia di micro‑attacchi che erodono servizi e attenzione difensiva, mentre altri circuiti, più direttamente connessi a GRU (il servizio informazioni militari dell’esercito russo) e reti proxy, spostano la pressione sul terreno con azioni a basso costo e alta resa psicologica.
Da cyber a fisico, gli attacchi
Qui non si parla affatto di teoria. Negli ultimi mesi l’Europa ha messo in fila procedimenti e sentenze che dimostrano il reclutamento locale per atti di sabotaggio operati da organizzazioni di intelligence e statuarie russe o dei suoi proxy.
Ecco cosa è successo nel Regno Unito, fra Germania e Svizzera, in Estonia, Francia, Polonia e Romania.
Regno Unito
Per esempio, nel Regno Unito, tra il 24–25 ottobre 2025, sono state emesse
sentenze di condanna per cinque britannici per l’incendio doloso a un magazzino di
Londra che stoccava equipaggiamenti, tra cui anche terminali Starlink, destinati
all’Ucraina, causando danni per circa un milione di sterline (link).
Le indagini del caso hanno ricostruito collegamenti tra i sei e cellule del Gruppo Wagner e del GRU (Glavnoe Razvedyvatel’noe Upravlenie). I pagamenti erano modesti e i contatti avvenivano tramite Telegram.
Fra Germania e Svizzera
Tra Germania e Svizzera, nel maggio 2025, sono stati arrestati tre cittadini ucraini, che, secondo i procuratori federali, stavano preparavano pacchi esplosivi da spedire dall’Ue verso l’Ucraina.
I soggetti in questione avevano effettuato “test” di invio tracciati via GPS per individuare i mezzi di trasporto utilizzati nel tragitto (link).
Per esempio di tentativi di invio di pacchi incendiari con termite attraverso aeroplani cargo diretti in Nord America, in casi simili precedenti, le autorità avevano espresso sospetti molto più che velati nei confronti degli organi di intelligence russi.
In Estonia
In Estonia, a luglio 2025, il tribunale di Harju ha riconosciuto che l’incendio del ristorante “Slava Ukraina” a Tallinn, avvenuto qualche mese prima, nel gennaio
2025, è stato ordinato dall’intelligence militare russa (GRU) e realizzato da due
cittadini moldavi.
Dopo essere stato inchiodato dalle registrazioni di sorveglianza, in questo caso, uno degli arrestati dichiarò, in sede di patteggiamento, che l’attività era stata “commissionata” dai servizi segreti russi, e confermò di avere legami con individui collegati al GRU russo sin dall’estate del 2024 dove, tra le altre cose, gli era stato attribuito il compito di dare fuoco anche a un supermercato nella
contea di Võru, nel sud-est dell’Estonia.
Attacchi russi in Francia
In Francia, nel settembre 2025, alcuni attivisti hanno depositato teste di maiale
davanti a nove moschee nell’area parigina.
L’inchiesta che le autorità hanno svolto dopo questo atto di vandalismo ha puntato verso la presenza di un coordinamento estero con base nei Balcani, che hanno portato ad arresti in Serbia, ed una sospetta regia di enti statutari russi per provocare e fomentare le tensioni intracomunitarie.
In Polonia e Romania
Il 21 ottobre 2025, in Polonia e Romania, sono stati fermati e perquisiti in otto a
seguito di indagini su di un piano di sabotaggio che includeva un nuovo schema di pacchi esplosivi diretti all’Ucraina.
Le autorità polacche hanno parlato apertamente di guerra ibrida ed identificato organi di intelligence russa come mandanti.
Il filo conduttore degli attacchi russi
Questi sono solo alcuni dei casi che si inseriscono in un quadro sistematico in tutta Europa.
Il filo conduttore: reclutamento online su community radicalizzate, pagamento in denaro (solitamente spiccioli), “task” semplici ed ad impatto mediatico.
Reclutamenti: cosa significa
Sul fronte cyber, i canali di NoName057(16) reclutano apertamente volontari con basse competenze: chiunque può scaricare il client e può partecipare agli attacchi coordinati dal gruppo.
La recente operazione di polizia Eastwood ha dimostrato che, oltre l’”hacktivismo”, la rete filo russa ha accesso a logistica ed è organizzata su più livelli.
Sul fronte fisico, i reclutamenti sono estremamente concreti, tanto che nella vicinissima Germania, le autorità nazionali hanno lanciato una campagna pubblica intimando di “Non diventare un agente usa‑e‑getta”, avvertendo la cittadinanza di tentativi via social e Telegram di arruolare soggetti locali per spionaggio e sabotaggio, in cambio di piccoli compensi e con, al contempo, rischi penali estremamente elevati.
Nel gergo dell’intelligence, questo fenomeno ha una definizione precisa: “disposable agents” o “agenti usa e getta”. Ovvero, il reclutamento di risorse poco sofisticate, facilmente manipolabili e, soprattutto, sacrificabili.
Il caso Italia
Fino a pochi giorni fa non esistevano atti pubblici che dimostrino un reclutamento strutturato per sabotaggi fisici.
Tuttavia, recentemente, nei canali filo russi riconducibili a NoName057(16) e DDoSia sono apparsi annunci di reclutamento particolarmente in linea con quanto sta accadendo in altre nazioni europee: annunci dove si offre “lavoro pagato” per “volontari” – leggasi anche “disposable agents” – che vivono nelle nazioni nella lista di interesse per il gruppo: Germania, Francia, ed ora anche Italia.
L’Italia è da tempo tra i bersagli principali dei DDoS pro‑russi, ed il contesto europeo dimostra che il salto di dominio dagli schermi al territorio può avvenire molto rapidamente.
Considerando la visibilità che ha avuto Eastwood in Italia, è più che prudente aspettarsi ulteriori ritorsioni narrative, che già hanno seguito i primi arresti in tutta Europa, ed anche possibili tentativi di attivare simpatizzanti offline con propaganda “di strada”, ricognizioni e micro‑sabotaggi. Trend del tutto già visto poco oltre i nostri confini nazionali.
Le strategie di guerra ibrida
In sintesi, la linea di confine tra guerra informatica e sabotaggio territoriale è ormai sempre più sottile e rientra pienamente nelle strategie di guerra ibrida del Cremlino.
L’Italia, crocevia energetico e informativo, non può più considerarsi solo bersaglio digitale.
