Lo scorso 7 luglio 2026 è stato effettuato un importante lancio spaziale. A bordo della missione rideshare Transporter-17, partita con un Falcon 9 dalla base californiana di Vandenberg, c’era CyberCUBE: un CubeSat da tre unità (dieci centimetri per dieci per trentaquattro) che è il primo satellite dell’Agenzia Spaziale Europea concepito con un unico scopo, fare da bersaglio e da laboratorio per esperimenti di cyber security in condizioni operative reali.
Indice degli argomenti
Una domanda scomoda
Il perché dell’attenzione da dare a questo lancio spaziale è presto spiegato.
Chi si occupa di gestione del rischio cyber convive con una domanda che raramente trova posto nei registri dei rischi: le contromisure che dichiariamo, funzionerebbero sotto attacco? Nei sistemi informatici tradizionali una risposta, per quanto parziale, esiste: penetration test, red team, esercitazioni.
Nel settore spaziale la questione è sempre stata più spinosa. Un satellite operativo non si può usare come bersaglio, un satellite di riserva non esiste quasi mai e i banchi di prova a terra (i cosiddetti flatsat) riproducono il veicolo ma non l’ambiente: non la radiofrequenza reale, non le finestre di contatto, non le radiazioni, non la latenza.
Il risultato è che nel dominio spaziale la sicurezza si è storicamente validata sulla carta, per analisi e per analogia. Chi scrive lavora nella governance della sicurezza di questo settore e può testimoniarlo: il divario tra il requisito documentato e la prova sul campo è il punto cieco strutturale di tutto il comparto.
È per questo che il lancio del 7 luglio merita una particolare attenzione.
CyberCUBE: i fatti, in breve
La missione è guidata da GMV Romania come prime contractor con il supporto dei team spagnoli del gruppo e la piattaforma satellitare di Alén Space. Il satellite opererà su un’orbita eliosincrona attorno ai 500 chilometri per almeno un anno, estendibile.
Il payload è la parte interessante: una radio software-defined e un FPGA completamente riprogrammabile, il che significa che gli esperimenti non sono congelati al momento del lancio ma possono essere caricati, modificati e sostituiti in volo.
Un laboratorio riconfigurabile, nel senso letterale del termine.
L’utente primario è il Cyber Security Operations Centre dell’ESA, la struttura di monitoraggio inaugurata nel 2025 su due siti – ESOC a Darmstadt ed ESEC a Redu, in Belgio – e sviluppata da un consorzio di diciannove aziende europee guidato da Leonardo.
Ed è qui che la missione rivela la sua logica: l’obiettivo primario dichiarato non è dimostrare una tecnologia di bordo, ma validare le capacità di monitoraggio e analisi del CSOC su un asset spaziale vero, radiofrequenza compresa.
In altre parole, l’ESA ha messo in orbita un satellite anche per collaudare il proprio SOC. Chiunque abbia mai dovuto rispondere alla domanda “ma il nostro SOC se ne accorgerebbe?”, apprezzerà la radicalità della soluzione.
Il precedente che nessuno ha dimenticato
Se serve un promemoria sul perché tutto questo non sia accademia, basta tornare al febbraio 2022. Poche ore prima dell’invasione dell’Ucraina, un attacco alla rete KA-SAT di Viasat mise fuori uso decine di migliaia di modem satellitari in Europa e, per effetto collaterale, il telecontrollo di migliaia di turbine eoliche in Germania.
Il dettaglio che dovrebbe far riflettere è che il satellite non fu toccato: l’attacco passò dal segmento di terra. Da allora, il jamming e lo spoofing dei segnali di navigazione sono diventati cronaca quotidiana nelle aree di tensione, con effetti documentati anche sull’aviazione civile.
Il quadro tecnico, nel frattempo, evolve nella direzione sbagliata dal punto di vista di chi difende. I sistemi di bordo sono sempre più software-defined, costruiti su componenti commerciali, aggiornabili in volo: caratteristiche eccellenti per costi e flessibilità, che però importano nel satellite le vulnerabilità classiche dell’informatica di terra.
Con una differenza non negoziabile: quando qualcosa va storto a cinquecento chilometri di quota, non esiste l’intervento in loco. La finestra per sbagliare è zero e finora l’unico modo di prepararsi era simulare.
Che cosa si potrà finalmente provare con CyberCUBE
Il programma sperimentale copre esattamente le aree dove la validazione a terra mostra i suoi limiti: rilevazione di accessi non autorizzati ai sistemi di comando e controllo, riconoscimento e mitigazione di jamming e spoofing, monitoraggio di sicurezza della telemetria di bordo e la verifica in condizioni reali di nuovi algoritmi crittografici, inclusa la crittografia post-quantum che per lo spazio è meno futuribile di quanto sembri. Un satellite lanciato oggi, infatti, sarà ancora operativo quando la minaccia quantistica potrebbe non essere più teorica.
C’è poi un elemento che, dal punto di vista di chi forma e gestisce team di sicurezza, vale da solo la missione: la piattaforma supporterà esercitazioni di tipo capture the flag su un bersaglio orbitale reale. Oggi, in Europa, non esiste nulla del genere in forma istituzionale.
Addestrare analisti su un asset vero, con vincoli fisici veri, è un’altra cosa rispetto a qualsiasi cyber range.
L’accesso, peraltro, non è riservato all’Agenzia Spaziale Europea. Con una call for ideas aperta, l’ESA ha invitato ricercatori e aziende a proporre esperimenti da eseguire a bordo; la prima edizione ha selezionato lavori su protocolli sicuri di nuova generazione, infrastrutture PKI federate per lo spazio e meccanismi di aggiornamento software resistenti alla crittoanalisi quantistica.
Il modello è quello della piattaforma condivisa e abbassa drasticamente la soglia d’ingresso: un’università o una PMI possono portare una tecnologia in orbita senza il costo di una missione dedicata.
La lettura normativa: dove la carta incontra l’orbita
Vale la pena leggere questa missione anche con gli occhiali della compliance, perché il tempismo non è casuale.
La direttiva NIS2 include lo spazio tra i settori ad alta criticità: gli operatori di infrastrutture terrestri a supporto dei servizi spaziali sono soggetti obbligati, con tutto ciò che comporta in termini di gestione del rischio, sicurezza della catena di fornitura e notifica degli incidenti.
Attorno, il resto del corpus europeo si muove nella stessa direzione: il Cyber Resilience Act sui prodotti con elementi digitali, la direttiva CER sulle entità critiche e, pur confinato al settore finanziario, il regolamento DORA, che ha consolidato la resilienza operativa come principio di policy.
A livello settoriale, la EU Space Strategy for Security and Defence del 2023 ha qualificato lo spazio come dominio da proteggere, e la proposta di EU Space Act presentata dalla Commissione a giugno 2025 mette la resilienza cyber tra i suoi pilastri.
Sul piano tecnico-ingegneristico il movimento è lo stesso: gli standard ECSS integrano ormai i requisiti di security nei processi di sviluppo delle missioni, e in ambito CCSDS sono maturati i protocolli per la protezione dei link di telecomando e telemetria.
Guardando l’insieme, il segnale è difficile da fraintendere: legislatore europeo, agenzie, enti di standardizzazione e industria stanno dedicando allo stesso problema risorse, programmi e testi normativi. Quando tutti convergono così, di solito, non è una moda.
Ora, chi queste norme le applica ogni giorno sa che condividono un punto debole: chiedono tutte, in forme diverse, di dimostrare che le misure funzionano, ma l’apparato dimostrativo disponibile è quasi interamente documentale.
Politiche, registri, piani di trattamento, audit. Necessari, certo. Sufficienti, no. Tra il requisito scritto e l’efficacia provata c’è un anello mancante e CyberCUBE è il primo tentativo istituzionale europeo di forgiarlo per il dominio spaziale: un ambiente dove la contromisura si qualifica in volo, come si è sempre fatto per un propulsore o un sensore.
Se il modello regge, è ragionevole aspettarsi che la validazione in orbita diventi col tempo un riferimento anche per la qualificazione dei fornitori, tema che la NIS2 ha reso tutt’altro che accademico per chi compila le valutazioni di supply chain.
Un giudizio finale
CyberCUBE non è la missione più costosa né la più complessa dell’anno, e il suo valore non si misurerà in immagini spettacolari. Si misurerà in qualcosa di meno fotogenico: dati su come le difese si comportano quando l’ambiente è quello vero.
Per il settore spaziale europeo è un cambio di postura: la sicurezza trattata come tecnologia di missione da collaudare, non come capitolo documentale da chiudere prima della review.
Per chi fa il mestiere di chi scrive, è anche un precedente da tenere d’occhio: il giorno in cui a un fornitore si potrà chiedere se la sua soluzione è stata validata su una piattaforma orbitale istituzionale, la conversazione sulla supply chain cambierà tono.
C’è infine una considerazione più larga la distanza tra dominio cyber e dominio spaziale si sta chiudendo in fretta, e non per iniziativa dei difensori.
Testare la resilienza in orbita prima che a farlo sia un avversario non è un esercizio di stile: è, molto concretamente, arrivare primi.
Con CyberCUBE l’Europa ha aperto il laboratorio. Adesso conta cosa ci porteremo dentro.
Fonti
- GMV, “CyberCUBE, ESA’s mission to strengthen the cybersecurity of space systems, successfully launched from California”, comunicato stampa, luglio 2026, qui.
- ESA, “CyberCUBE – Cyber CUBesat Experiment”, presentazione tecnica, qui.
- ESA, “ESA inaugurates new Cyber Security Operations Centre”, maggio 2025, qui.
- ESA, “How ESA ensures cybersecurity in space”, qui.
- ESA, Security for Space Systems (3S) Conference, “Call for Ideas: Cybersecurity Experiments in Orbit” (edizione 2025), qui.
- Alén Space, “Alén Space to participate in ESA’s CyberCUBE mission led by GMV”, ottobre 2024, qui.
- Orbital Today, “ESA’s CyberCUBE To Launch On 7th July To Open On-orbit Cybersecurity Testbed”, 5 luglio 2026, qui.
- SatNews, “ESA CyberCUBE In-Orbit Laboratory Deployed via SpaceX Transporter-17 Rideshare”, 7 luglio 2026, qui.
- The Romania Journal, “Romania Leads First Private ESA Mission with CyberCUBE Launch”, luglio 2026, qui.
- Direttiva (UE) 2022/2555 (NIS2) e D.lgs. 4 settembre 2024, n. 138, di recepimento nell’ordinamento italiano – EUR-Lex / Gazzetta Ufficiale.
- Regolamento (UE) 2024/2847 (Cyber Resilience Act); Direttiva (UE) 2022/2557 (CER); Regolamento (UE) 2022/2554 (DORA) — EUR-Lex.
- Commissione europea e Alto Rappresentante, “EU Space Strategy for Security and Defence”, JOIN(2023) 9 final, marzo 2023; Commissione europea, proposta di regolamento “EU Space Act”, giugno 2025.
- CISA, Alert AA22-076A, “Strengthening Cybersecurity of SATCOM Network Providers and Customers” (caso Viasat KA-SAT, 2022).









Partecipa alla community