La guerra prima della guerra: cosa insegnano i ransomware sui conflitti moderni
La logica che guida molti attacchi informatici alle imprese è la stessa che oggi caratterizza la guerra ibrida tra Stati: entrare nei sistemi, restare invisibili e colpire al momento giusto per massimizzare il danno
Uno scenario al quale ci stiamo tragicamente abituando. Una colonna di fumo si alza dal centro di una città. Sottotitoli e commenti parlano di “attacco mirato” e dell’inizio di un nuovo conflitto. Eppure, le guerre contemporanee raramente iniziano in questo modo. Sempre più spesso il primo terreno di confronto è invisibile e silenzioso: il cyberspazio. Per capire questa trasformazione può essere utile osservare qualcosa di molto più vicino al mondo delle imprese: gli attacchi ransomware. Chi gestisce la sicurezza informatica aziendale sa bene che il momento in cui compare il messaggio di riscatto sullo schermo non coincide quasi mai con l’inizio dell’attacco. Al contrario, rappresenta spesso la fase finale di un’operazione iniziata settimane o mesi prima. Ed è proprio questa dinamica che aiuta a comprendere la logica della guerra ibrida nel dominio cyber. Negli attacchi ransomware più sofisticati, i cybercriminali non entrano in una rete per cifrare immediatamente i dati. Una volta ottenuto l’accesso iniziale, la priorità è un’altra: rimanere invisibili il più a lungo possibile.
Durante questa fase si muovono all’interno della rete aziendale, analizzano l’infrastruttura IT, identificano i sistemi più critici, comprendono i flussi di dati e i meccanismi di backup. In molti casi riescono anche a sottrarre informazioni sensibili. Solo quando hanno una mappa completa dell’ambiente e delle opportunità che offre decidono di colpire. Il ransomware, quindi, non è l’attacco. È l’atto finale di un processo di osservazione, preparazione, esfiltrazione e posizionamento. Nel contesto geopolitico accade qualcosa di molto simile. Molte operazioni cyber attribuite a gruppi collegati a Stati seguono una strategia comparabile a quella dei ransomware più avanzati, ma con obiettivi diversi. Invece di cifrare dati per ottenere un pagamento, gli attori statali puntano spesso a mantenere accessi prolungati all’interno di reti governative, infrastrutture critiche o grandi organizzazioni. La presenza silenziosa permette di raccogliere informazioni strategiche: come funzionano determinati sistemi, quali sono le dipendenze tecnologiche, quali servizi sono più vulnerabili o più difficili da ripristinare. Più semplicemente, spesso, si può spiare il nemico attraverso vulnerabilità di sistemi di telecomunicazione, telecamere compromesse, sistemi di tracciamento di veicoli o impianti domotici.
Questa conoscenza e la cosiddetta persistenza, diventano una risorsa preziosa in caso di crisi internazionale; così come un gruppo di cybercriminali studia un’azienda prima di bloccarne i sistemi, uno Stato ostile può utilizzare l’accesso cyber per preparare opzioni operative da attivare nel momento più opportuno. C’è poi un altro elemento che accomuna gli attacchi ransomware e le operazioni cyber nel contesto della guerra ibrida: l’obiettivo non è soltanto provocare un danno tecnico, ma mettere in difficoltà la capacità di risposta della vittima. Quando un’azienda scopre di essere stata compromessa da settimane, spesso si trova a gestire contemporaneamente più problemi: sistemi bloccati, dati sottratti, comunicazioni interne difficili, adempimenti normativi, gestione mediatica dell’incidente e tutte le relative decisioni urgenti da prendere. L’organizzazione entra in una condizione di stress operativo. Su scala geopolitica, dinamiche simili possono essere utilizzate per creare disorientamento e perdita di fiducia nei sistemi informativi. Interferenze nelle comunicazioni, manipolazione dei dati o compromissione di infrastrutture digitali possono rendere più difficile comprendere cosa stia realmente accadendo.
In uno scenario di crisi tutto ciò può rallentare o complicare le decisioni. Per questo motivo il cyberspazio non può più essere considerato solo un dominio tecnico o accessorio. È diventato uno strumento capace di amplificare pressioni politiche, economiche e operative. Un accesso persistente a sistemi digitali può trasformarsi in molte cose: una fonte continua di intelligence, una leva di pressione oppure un’opzione da attivare nel momento in cui la tensione tra Stati aumenta. In altre parole, la dimostrazione di forza non si manifesta solo nell’attacco, ma nella possibilità di scegliere quando e come scatenarlo. Questo cambiamento di scenario spiega anche perché negli ultimi anni molti governi, e in particolare l’Unione Europea, stanno introducendo normative sempre più stringenti sulla sicurezza informatica. Direttive come NIS2 e regolamenti come DORA nascono proprio dalla consapevolezza che le infrastrutture digitali sono ormai parte integrante della sicurezza nazionale, non solo in termini economici. L’obiettivo di queste norme è quindi quello di rafforzare la resilienza complessiva dell’ecosistema digitale europeo. Occorre infatti garantire che banche, assicurazioni, imprese e gestori di infrastrutture critiche siano in grado di resistere e reagire a incidenti informatici gravi, evitando che una crisi cyber possa trasformarsi in un rischio sistemico. In altre parole, gli Stati stanno intervenendo perché la sicurezza informatica non riguarda più solo le singole organizzazioni, ma la stabilità dell’intero sistema economico e la sicurezza nazionale.
