Secondo l’Aivd, servizio generale di intelligence e sicurezza dei Paesi Bassi, l’Olanda sta affrontando la più grave minaccia alla sicurezza nazionale dalla fine della Seconda guerra mondiale.
Il quadro fattuale, per come viene riportato, è netto: pressione prolungata su più fronti, ordine internazionale instabile, Russia più aggressiva verso l’Occidente anche attraverso attacchi cyber, Cina impegnata nell’acquisizione illecita di competenze tecnologiche avanzate, minacce interne jihadiste e di estrema destra in crescita presso alcune fasce giovanili.
Scontato, ma non superfluo, sottolineare che Mosca e Pechino respingono le accuse.
Questo è il quadro dei fatti.
Indice degli argomenti
Cyber attacchi in Olanda: la dimensione cyber del problema
L’analisi comincia dove finisce la cronaca e il punto non è stabilire se l’Olanda sia improvvisamente diventata più fragile, ma piuttosto come una società altamente interconnessa, ricca, aperta e tecnologicamente avanzata diventa per definizione un bersaglio interessante.
Energia, porti, semiconduttori, università, pubblica amministrazione, logistica, finanza: in ciascun settore la sicurezza nazionale non abita più soltanto nei ministeri competenti, ma anche nei fornitori, nei laboratori, nei data center, nelle catene di approvvigionamento e, talvolta, nel portatile dimenticato in una sala riunioni.
Dimensione cyber: non un capitolo tecnico del problema, ma il suo
La dimensione cyber non si legge come un capitolo tecnico del problema, ma come il suo sistema nervoso.
Un attacco informatico contro un ospedale, infatti, non è una questione “informatica”, ma la capacità di cura degradata.
Una compromissione della logistica portuale non è “un problema di server”: è commercio rallentato, contratti sospesi, assicurazioni in allarme, merci ferme, fiducia che inizia a perdere pressione come uno pneumatico bucato.
In un’economia digitale, l’indisponibilità di un sistema non resta mai confinata nel sistema. Si trasferisce alle persone, alle imprese, alle istituzioni. Il software, quando cade, spesso si porta dietro molto altro.
Non sono incidenti isolati
La parte più importante del messaggio olandese riguarda però la durata. Non siamo davanti all’incidente isolato, al temporale estivo dopo il quale si riaprono le finestre.
La formula “confronto lungo” indica un’altra stagione: quella in cui intelligence, cyber operations, pressione economica, acquisizione tecnologica, influenza informativa e radicalizzazione interna smettono di essere fenomeni separati e diventano fili della stessa trama.
Chi continua a trattarli per compartimenti stagni somiglia a qualcuno che prova a spegnere un incendio aprendo le finestre per fare uscire il fumo.
Le conseguenze per l’Europa dei cyber attacchi in Olanda: siamo nodi di una rete
Se un Paese fondatore della Nato e dell’Unione Europea descrive la propria sicurezza nazionale in questi termini, il tema non può essere archiviato come allarme locale.
I Paesi Bassi sono una piattaforma strategica: commercio, infrastrutture, ricerca, tecnologie sensibili, interdipendenze industriali.
In Europa quasi nessuno è davvero periferico, perché le dipendenze hanno abolito molte periferie. Un guasto deliberato in un punto può dunque diventare attrito sistemico altrove.
È questa la geografia reale della sicurezza contemporanea: meno confini tracciati sulla carta, più connessioni invisibili da proteggere.
Per professionisti e accademici la lezione è meno spettacolare, ma più utile. Non basta invocare resilienza, parola ormai lucidissima per eccesso di uso. Occorre misurarla in condizioni degradate: quanto tempo resta operativa una funzione critica? Chi decide quando le informazioni sono incomplete? Quali fornitori sono davvero sostituibili? Quali dati devono rimanere disponibili anche quando tutto il resto tace? Quali conoscenze non devono uscire dall’ecosistema industriale e scientifico europeo?
La sicurezza non è più una fortezza; è invece una disciplina quotidiana di manutenzione della fiducia che nell’Europa di domani, non sarà ciò che dichiariamo nei documenti, ma quello che continua a funzionare quando qualcuno spegne la luce.
Enisa: la misura del fenomeno
Se il caso olandese è “di scuola”, il panorama europeo frequenta lo stesso istituto.
Sempre in metafora il Vecchio Continente è un condominio intero, in cui qualcuno ha copiato le chiavi, altri hanno manomesso l’ascensore e qualcun altro sta spiegando agli inquilini che, in fondo, è sempre stato così.
La differenza rispetto al passato non sta soltanto nel numero degli attacchi, ma nella loro natura. Il contesto cyber europeo non assomiglia più a una sequenza di incidenti informatici, ma una nebbia operativa: estorsione, spionaggio, sabotaggio potenziale, furto di dati, propaganda e pressione psicologica si muovono insieme, spesso senza indossare la stessa uniforme.
Un dato Enisa offre una prima misura del fenomeno: il Threat Landscape 2025 analizza 4.875 incidenti nel periodo compreso tra il primo luglio 2024 e il 30 giugno 2025.
Non è un dettaglio statistico, ma un’indicazione di temperatura. L’Europa vive dentro una pressione strutturale anche nel 2024 le principali minacce individuate erano attacchi alla disponibilità, ransomware, minacce ai dati, malware, social engineering, manipolazione informativa e supply chain.
Tradotto fuori dal lessico specialistico: si colpisce ciò che deve funzionare, si ricatta chi possiede dati, si ingannano le persone, si sfruttano i fornitori, si intossica il contesto informativo e tutto questo indica un metodo.
I numeri nazionali confermano il mosaico, pur con una cautela necessaria: ogni Paese misura cose diverse. Alcuni contano segnalazioni, altri incidenti confermati, altri eventi gestiti dai CERT o casi di rilevanza nazionale.
Quindi non siamo davanti a una classifica olimpica, con medaglie e podio, ma a una mappa di pressione.
Il quadro europeo
La Spagna, per esempio, offre un dato molto operativo: 122.223 incidenti gestiti nel 2025, con un aumento del 26% sul 2024.
Nel 2024 erano già 97.348, con malware, frodi online, phishing, intrusioni e
ransomware a comporre il normale paesaggio del rischio quotidiano. Qui l’immagine è quella del cybercrime di massa: colpisce cittadini, imprese, amministrazioni, spesso senza clamore, ma con continuità industriale.
La Francia racconta invece un’altra parte della storia. Nel 2025 ANSSI ha trattato 3.586 eventi di sicurezza e confermato 1.366 incidenti, un dato sostanzialmente stabile rispetto all’anno precedente, se si considera che il 2024 era stato alterato dal picco legato ai Giochi Olimpici e Paralimpici.
I settori più colpiti concentrano il 76% degli incidenti: educazione e ricerca, ministeri e collettività territoriali, sanità, telecomunicazioni. Non è casuale.
Si colpiscono luoghi in cui si produce conoscenza, si erogano servizi pubblici, si curano persone, si trasmettono comunicazioni. In altri termini: si prende di mira il tessuto connettivo di una società avanzata.
Il Regno Unito aggiunge un segnale ancora più netto sul piano della gravità. Nel 2025 il NCSC ha ricevuto 1.727 segnalazioni, gestendo direttamente 429 incidenti.
La parte interessante è che 204 sono stati classificati come di rilevanza nazionale, contro gli 89 dell’anno precedente. Gli incidenti altamente significativi sono arrivati a 18, con un aumento del 50%. Sono cifre che dovrebbero farci abbandonare la comoda distinzione tra “problemi tecnici” e “problemi strategici”.
Quando un incidente diventa nazionale, significa che il server ha smesso di essere un server ed è diventato un pezzo di Paese.
La Polonia, infine, mostra il punto in cui la nebbia diventa della terra di nessuno davanti a una trincea.
Nel 2025 sono stati rilevati 270.000 cyberattacchi, circa due volte e mezzo il dato dell’anno precedente. La sua posizione geografica e politica, al confine della crisi ucraina e nel cuore della postura orientale della NATO, rende il dato particolarmente sensibile.
Il caso dell’attacco coordinato del 29 dicembre 2025 contro un impianto di
cogenerazione e impianti rinnovabili porta il discorso fuori dal territorio della frode e dentro quello del sabotaggio.
Qui il cyber non cerca soltanto denaro, ma prelude al conflitto se già
non lo si voglia considerare tale.
Cyber attacchi contro le istituzioni europee
Sul versante europeo, CERT-EU ha identificato nel 2025 almeno 174 threat actor distinti attivi contro entità dell’Unione o il loro ecosistema, in crescita rispetto ai 110 del 2024.
Spionaggio e pre-positioning rappresentano il 38% dell’attività osservata, mentre il cybercrime sale al 30%. Il pre-positioning è forse il termine più importante e meno rassicurante: significa entrare oggi per poter agire domani. Accamparsi nella rete altrui trasformando il tempo in un’arma.
Russia e Cina: posizioni diverse ma complementari
Dentro questo quadro, Russia e Cina occupano posizioni diverse ma complementari.
Mosca appare più orientata alla destabilizzazione, alla pressione ibrida, al sabotaggio potenziale, all’uso di hacktivismo proxy e operazioni psicologiche.
Pechino invece privilegia lo spionaggio economico, tecnologico e strategico, con interesse verso intelligenza artificiale, robotica, quantum, tecnologie agricole, farmaceutica e modernizzazione militare.
Il ruolo della criminalità organizzata
La criminalità organizzata, intanto, continua a seguire il denaro, ma beneficia dell’instabilità generale. Come spesso accade, quando i grandi spostano i confini, i piccoli trovano scorciatoie.
La struttura criminale non è più quella della banda chiusa in una stanza buia, immagine comoda e cinematografica, quindi quasi sempre sbagliata. È un ecosistema modulare.
Ci sono broker che vendono accessi alle reti aziendali, operatori ransomware che gestiscono infrastrutture e negoziazioni, affiliati che entrano nei sistemi, rivenditori di dati e credenziali, riciclatori di criptovalute, forum, canali privati, gruppi che cambiano nome dopo ogni operazione di contrasto.
Meno imperi stabili, più sciami e meno gerarchie riconoscibili, ma più subappalti. Il cybercrime ha imparato la lezione dell’economia digitale: se tutto può diventare servizio, anche il crimine può essere offerto a pacchetto.
La risposta europea
La risposta europea non può limitarsi all’acquisto di tecnologie difensive, per
quanto necessarie.
Servono governance, intelligence condivisa, gestione della supply chain, esercitazioni in modalità degradata, protezione della ricerca, capacità di attribuzione politica e tecnica, formazione seria delle persone che tengono in mano processi critici.
Sarebbe straordinario se un intero continente si nascondesse dietro la frase che per decenni è stesso il motto di migliaia di organizzazioni: “Tanto ho il firewall e l’antivirus”.
In ultima analisi l’Europa non è soltanto più attaccata, ma è diventata un teatro operativo privilegiato. Un contesto in cui quello che conta è la capacità di continuare a decidere anche se qualcuno ti spegne la luce.
