Il Ministero della Difesa ha pubblicato il documento strategico “Non-paper sul contrasto alla guerra ibrida”, una proposta operativa che delinea una visione politico-strategica per affrontare quella che viene definita una minaccia sistemica contro le democrazie contemporanee.
La componente cibernetica emerge come asse portante della competizione ostile, integrata nelle operazioni di influenza, sabotaggio, spionaggio e manipolazione cognitiva condotte da attori statuali e non statuali.
Il cyberspazio è presentato come dominio operativo ormai permanente, teatro di uno scontro sottosoglia che mira a erodere progressivamente la resilienza di infrastrutture critiche, processi democratici e coesione sociale.
Indice degli argomenti
Cos’è la guerra ibrida
La guerra ibrida è una forma di conflitto non convenzionale, spesso priva di scontri cinetici, ma caratterizzata da un uso combinato di strumenti diplomatici, economici, cibernetici, informativi e militari.
Gli attori ostili sfruttano la difficoltà di attribuzione delle operazioni nel dominio cyber, rendendo le interferenze meno visibili e più difficili da contrastare.
Nel documento, il dominio cibernetico si definisce come il punto di coesione tra sabotaggio, spionaggio, propaganda e distorsione cognitiva, un livello operativo trasversale che consente di condurre operazioni ostili senza superare formalmente la soglia dell’atto di guerra.
I dati dell’ACN
Il contesto delineato si basa su dati concreti. Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale, nel primo semestre 2025 sono stati gestiti 1.549 eventi cyber, con un aumento del 53% rispetto al primo semestre dell’anno precedente.
Gli incidenti con impatto confermato sono stati 346, quasi raddoppiati. Settori critici come sanità e manifatturiero risultano tra i più bersagliati.
L’uso del ransomware persiste come tecnica prevalente per estorcere risorse,
bloccare servizi essenziali o acquisire informazioni strategiche.
L’intento è duplice: indebolire operativamente la capacità dello Stato e generare incertezza nella popolazione e nelle istituzioni.
L’uso del cyber
Gli episodi più recenti della storia della sicurezza informatica confermano l’uso del cyber come strumento ibrido: l’attacco SolarWinds nel 2020 ha compromesso una catena di fornitura software globale, mentre WannaCry e NotPetya hanno causato danni economici per miliardi di dollari e interruzioni in ospedali, trasporti e servizi pubblici.
La compromissione del Colonial Pipeline nel 2021 ha mostrato come un’azione cibernetica possa avere conseguenze immediate sul funzionamento fisico delle infrastrutture energetiche, generando effetti a cascata anche sulla percezione della sicurezza nazionale.
Operazioni sempre più automatizzate con la GenAI
L’evoluzione del dominio cognitivo integra questo quadro operativo. Le campagne di disinformazione, amplificate dall’uso di botnet, deepfake (video – e non solo – falsi generati dall’intelligenza artificiale) e micro-targeting, mirano a distorcere la percezione della realtà.
L’obiettivo è minare la fiducia nelle istituzioni, amplificare divisioni culturali o politiche e indebolire la coesione interna del Paese bersaglio.
Il documento evidenzia come questa forma di minaccia sia ormai sistemica: ogni crisi viene accompagnata da narrazioni ostili, coordinate attraverso canali online e account apparentemente spontanei, ma riconducibili ad attori aggressivi.
Queste operazioni sono sempre più automatizzate grazie all’intelligenza artificiale generativa, che consente di produrre contenuti ingannevoli su larga
scala e con alta verosimiglianza.
Mitigare i rischi legati a cyberwar e hybrid warfare
Cyberwar e hybrid warfare stanno convergendo sempre più, con operazioni cyber utilizzate in parallelo a pressioni politiche ed economiche per colpire servizi critici.
L’AI sta accelerando questa dinamica, consentendo una reconnaissance più rapida, vulnerability scanning automatizzato e intrusion attempt su scala molto maggiore, abbassando le barriere d’ingresso per state e non-state actors.
Come riportato nel nostro ultimo OT/IoT Security Report, le attività riconducibili a Iranian-linked threat actors sono aumentate del 133% tra maggio e giugno 2025, a dimostrazione di come le tensioni geopolitiche si traducano direttamente in operazioni cyber contro le infrastrutture critiche.
Questa evoluzione sta ridefinendo il panorama della cyber security: i settori transportation, manufacturing ed energy stanno affrontando una pressione crescente da campagne che combinano attacchi distruttivi, credential theft e lateral movement verso gli ambienti operativi.
Per mitigare questi rischi, le organizzazioni dovrebbero rafforzare la IT-OT visibility, adottare un continuous monitoring basato su behavioral analytics, implementare una segmentazione rigorosa e una solida credential hygiene, e assicurarsi che i piani di incident response siano allineati agli scenari di minaccia ibrida”.
Alessandro Di Pinto (Senior Director of Security Research, Nozomi Networks)
Contrasto alla guerra ibrida: le mosse europee
L’Europa sta adottando contromisure su più livelli. La Direttiva NIS2, il Cyber Resilience Act e il Digital Operational Resilience Act hanno introdotto obblighi di sicurezza più stringenti rispettivamente per entità essenziali e importanti, per i fabbricanti di prodotti con elementi digitali e per gli operatori del settore finanziario.
Il nuovo Cyber Solidarity Act introduce forme rafforzate di cooperazione paneuropea, mentre con la Joint Cyber Unit viene formalizzato un coordinamento operativo per risposte congiunte.
Parallelamente, l’Ue ha istituito unità di risposta rapida contro le interferenze straniere (Hybrid Rapid Response Teams) e un insieme di strumenti interistituzionali per l’analisi e il contrasto delle operazioni di manipolazione informativa (FIMI Toolbox).
La risposta della Nato
In ambito Nato, il dominio cyber è stato riconosciuto come quinto dominio operativo, al pari di terra, mare, aria e spazio. Ogni alleato è chiamato a sviluppare capacità militari cibernetiche integrate con la postura di difesa complessiva.
Centri come il Nato Cooperative Cyber Defence Centre of Excellence di Tallinn e l’Hybrid CoE di Helsinki forniscono una base analitica e dottrinale per sviluppare modelli di contrasto armonizzati.
La combinazione di strumenti come il VCISC (Virtual Cyber Incident Support Capability) e la rete SCEPVA (Sovereign Cyber Effects Provided Voluntarily by Allies) consente di affiancare agli aspetti militari veri e propri un supporto tecnico alle infrastrutture civili.
L’AI accelera la dinamica di guerra ibrida
ESET sostiene pienamente le dichiarazioni rilasciate dal Consiglio supremo di difesa nell’incontro che si è tenuto al Quirinale.
L’Italia e il resto dell’Europa restano esposti a numerosi attacchi informatici e a campagne di disinformazione condotte da organizzazioni criminali. Il cyberspazio si conferma uno strumento estremamente versatile per sottrarre informazioni, manipolare dati, influenzare e interrompere attività, e il trend purtroppo non mostra alcun segnale di attenuazione.
L’arrivo di modelli di AI sempre più avanzati offre ai threat actor nuove modalità per identificare gli obiettivi, rendere gli attacchi più sofisticati, automatizzare l’esecuzione delle attività e amplificare la disinformazione tramite contenuti che appaiono autentici.
Anche lo spearphishing sta diventando più credibile, mentre vulnerabilità e strumenti da sfruttare non mancano. Sul fronte positivo, i difensori – ESET inclusa – continuano ad operare, utilizzando anche l’AI per individuare e bloccare malware di nuova generazione.
Russia e Cina, insieme a Corea del Nord e Iran, rimarranno gli attori più aggressivi nel cyberspazio. I dati di ESET mostrano chiaramente che Gamaredon e Turla, entrambi riconducibili all’FSB russo, negli ultimi mesi hanno preso di mira il settore della difesa ucraino, mentre Lazarus, gruppo nordcoreano, ha condotto una campagna di cyber-spionaggio rivolta all’industria dei droni in Ucraina e in Europa. Nel frattempo, attori allineati alla Cina continuano a essere mobilitati per sostenere le priorità geopolitiche di Pechino.
Di conseguenza, enti pubblici, infrastrutture critiche e aziende devono potenziare le proprie difese tecnologiche, migliorare i processi interni, condividere informazioni e reagire rapidamente a minacce sempre più veloci e sofisticate.
È altresì necessario che la società nel suo complesso sviluppi una maggiore consapevolezza di come attacchi informatici e minacce sviluppate anche attraverso l’AI possano influenzare l’opinione pubblica e minare la fiducia collettiva.
Andy Garth (Director of Government Affairs di ESET)
Italia: un’Arma cyber e un Centro per il contrasto alla guerra ibrida
Il documento italiano propone la creazione di un’Arma cyber, strutturata con una forza obiettivo di almeno 5.000 unità operative e la costituzione di un “Centro per il Contrasto alla Guerra Ibrida”, con un ruolo di comando e controllo e di raccordo tra le istituzioni nazionali e il mondo accademico nel contrasto alla guerra ibrida.
Questa visione si fonda sul ruolo sempre più centrale del dominio cyber come strumento di difesa nazionale e deterrenza strategica.
Si riconosce inoltre la necessità di una “riserva cyber”, con personale volontario altamente qualificato, in linea con le esperienze dei riservisti cyber adottate in Paesi alleati come Germania e Francia.
Il documento menziona anche la possibilità di attivare programmi di formazione e partnership con le università per consolidare le competenze necessarie a far fronte alla minaccia in evoluzione.
Il legame fra pressione fisica e digitale
Il nesso tra pressione militare e coercizione geo-economica emerge chiaramente nell’analisi del documento.
Episodi come le interferenze nel Mar Rosso, con attacchi condotti da proxy agli interessi commerciali occidentali, rappresentano manifestazioni della guerra ibrida.
La capacità di colpire infrastrutture logistiche strategiche, come la rotta Suez-Mediterraneo, si integra con misure economiche più sottili, come il controllo delle esportazioni di materie critiche.
Si crea così un continuum tra pressione fisica e pressione digitale.
Siamo in guerra fredda digitale (e ibrida): cresce la vulnerabilità dell’Italia
Il panorama delle minacce informatiche è in costante mutamento, ma negli ultimi anni abbiamo assistito a una trasformazione ancor più profonda nel modo in cui gli Stati impiegano la loro potenza in ambito cyber. Non si tratta più soltanto di attività di spionaggio o di aggressioni mirate.
Stiamo assistendo a un’escalation che alcuni osservatori hanno già etichettato come una vera e propria “guerra fredda digitale” e anche il nostro Paese vi si trova al centro. Dati recenti, forniti da analisti e osservatori del settore, confermano una crescente vulnerabilità dell’Italia agli attacchi orchestrati da stati-nazione e gruppi da essi sponsorizzati.
Le infrastrutture critiche italiane, che spaziano dall’energia alle telecomunicazioni, dai trasporti alla sanità, costituiscono obiettivi privilegiati per queste operazioni. Ma anche il settore pubblico, la difesa, il mondo della ricerca e le aziende che detengono proprietà intellettuale di valore sono costantemente sotto assedio, con l’obiettivo primario di sottrarre dati sensibili e compromettere sistemi strategici.
La posizione dell’Italia all’interno dell’Unione europea e della Nato, unitamente al suo ruolo economico e strategico nel bacino del Mediterraneo, la rende un bersaglio particolarmente appetibile per operazioni di spionaggio e influenza da parte di attori statali.
Per le organizzazioni e i governi, affrontare questa situazione impone un approccio strategico e multidimensionale. È imperativo rafforzare le difese basilari, adottando migliori pratiche di sicurezza come l’autenticazione a più fattori, la segmentazione della rete, la gestione delle patch e una formazione continua sulla consapevolezza della sicurezza.
L’adozione di Zero Trust è ormai irrinunciabile, sulla base del principio di non fidarsi di nessuno per impostazione predefinita e verificando costantemente ogni utente e dispositivo che tenta di accedere alle risorse, a prescindere dalla propria ubicazione
Indipendentemente della definizione di “guerra fredda digitale”, è innegabile che gli stati-nazione stiano ridefinendo il panorama delle minacce cyber.
La posta in gioco è elevata, con ripercussioni significative su sicurezza nazionale, economia e stabilità globale. Per l’Italia, in particolare, la crescente frequenza e sofisticazione degli attacchi impone un impegno costante e una coordinazione a tutti i livelli.
Comprendere la natura di queste minacce e adottare strategie di difesa proattive e collaborative è fondamentale per salvaguardare le nostre infrastrutture digitali e la società nel suo complesso”.
Francesco Seminaroti, Sales Director, Strategic & Major Enterprise Italy di Palo Alto Networks
Sinergia tra attori pubblici e privati: approccio proattivo per il contrasto alla guerra ibrida
La strategia delineata nel documento riconosce un concetto chiave: contenere non basta.
La natura pervasiva e persistente della guerra ibrida richiede un approccio proattivo, con capacità di previsione, rilevazione tempestiva e risposta coordinata.
Questo implica una sinergia tra attori pubblici e privati, con rafforzamento dei processi di intelligence condivisa e della capacità di attribuzione tecnica.
Lo scontro è già in atto e si svolge quotidianamente sotto la soglia della guerra dichiarata.
La sfida consiste nel costruire una postura di deterrenza credibile, che riduca i margini di manovra degli attori ostili e renda troppo rischioso l’uso strumentale della minaccia cyber nei confronti dell’Italia e dell’Europa.
