Il rifugio silenzioso: pre-posizionamento, infrastrutture critiche e la nuova geometria del conflitto cyber

I. Dallo spionaggio al pre-posizionamento

Il 7 febbraio 2024, l'agenzia americana di cybersicurezza CISA, congiuntamente con la NSA, l'FBI e una coalizione di agenzie alleate, ha pubblicato l'avviso AA24-038A.^[1] La sua valutazione era di una chiarezza insolita. L'attore statale cinese monitorato con il nome di Volt Typhoon aveva compromesso gli ambienti informatici di molteplici organizzazioni di infrastrutture critiche, «principalmente nei settori delle comunicazioni, dell'energia, dei trasporti, dell'acqua e del trattamento delle acque reflue», e le agenzie firmatarie ritenevano «con un alto grado di fiducia» che tali intrusioni mirassero a consentire un movimento laterale verso i sistemi industriali al fine di perturbarne il funzionamento.^[1]

L'avviso poneva una distinzione che merita di essere citata: la scelta degli obiettivi e il modus operandi di Volt Typhoon «non sono coerenti con operazioni tradizionali di spionaggio o di intelligence».^[1] L'attore non leggeva la rete; stava imparando a distruggerla. La CISA riportava inoltre indizi di un accesso mantenuto in alcuni ambienti «da almeno cinque anni».^[1]

Due caratteristiche fanno di questa campagna un cambiamento di natura, e non un semplice grado aggiuntivo. Il primo è la pazienza. Cinque anni di presenza all'interno di un operatore elettrico o idrico non rientrano in alcuna ricognizione ordinaria; è la costruzione di un'opzione, una capacità deliberatamente forgiata e conservata per una contingenza futura. Il secondo è il metodo. La firma di Volt Typhoon è il ricorso alle tecniche cosiddette «living off the land»: piuttosto che distribuire un malware su misura che un difensore potrebbe intercettare, l'attore opera attraverso gli strumenti di amministrazione legittimi già presenti sulla rete, mimetizzandosi nell'attività di routine.^[1]

L'unità di misura è cambiata. Non è più il documento sottratto, ma la capacità pre-posizionata, un rifugio silenzioso che non produce alcun valore fino al giorno in cui qualcuno decide di utilizzarlo.

II. La dorsale delle telecomunicazioni come obiettivo in sé

Se Volt Typhoon ha rivelato l'ambizione nei confronti dell'energia e dell'acqua, la campagna seguita con il nome di Salt Typhoon ne ha rivelato la portata contro lo strato delle comunicazioni. A partire da segnalazioni emerse nel 2024, le autorità americane hanno reso noto che un attore affiliato a Pechino aveva penetrato le reti dei principali operatori di telecomunicazioni americani.^[2]^[3] Alla fine del 2024, la Casa Bianca confermava che almeno otto aziende di telecomunicazioni americane erano state colpite e che l'operazione aveva raggiunto «diverse decine» di paesi.^[3]

Il dettaglio che conferisce a questa campagna il suo peso strategico riguarda ciò che gli intrusi hanno raggiunto. Secondo le autorità americane, Salt Typhoon ha avuto accesso ai sistemi attraverso i quali gli operatori rispondono alle richieste di intercettazione legale ai sensi della legge CALEA, vale a dire l'apparato stesso delle intercettazioni giudiziarie.^[2]^[4] La consigliera aggiunta per la sicurezza nazionale Anne Neuberger ha indicato che un «gran numero» di persone aveva visto consultati i propri metadati di geolocalizzazione e di chiamata, e che le comunicazioni di un insieme più ristretto, tra cui figure legate alle presidenziali americane del 2024, erano state direttamente raccolte.^[3]^[4] In risposta, la CISA e i suoi partner americani, australiani, canadesi e neozelandesi hanno pubblicato nel dicembre 2024 raccomandazioni per il rafforzamento delle infrastrutture di comunicazione.^[2]

I dati relativi alla portata totale della campagna hanno continuato a crescere e devono essere trattati con la prudenza imposta da un bilancio di incidente ancora in evoluzione: nell'agosto 2025, l'FBI e i suoi partner descrivevano Salt Typhoon come avente compromesso entità in circa 80 paesi.^[4] Qualunque sia il conteggio finale, la lezione è strutturale. La dorsale delle telecomunicazioni non è più soltanto il canale attraverso cui altri obiettivi vengono raggiunti. È l'obiettivo stesso, perché chi la controlla controlla i sistemi di intercettazione legale, i metadati di una società, e un interruttore che può essere azionato in tempo di crisi.

RIQUADRO METODO: Leggere le attribuzioni.

Questa Nota privilegia gli avvisi governativi primari (CISA, NSA, FBI, ANSSI) e le dichiarazioni di funzionari nominati piuttosto che le sintesi di stampa secondarie. L'attribuzione cyber è un giudizio probabilistico, non una certezza forense; quando le agenzie enunciano un livello di fiducia, lo riproduciamo, e quando le cifre sono ancora in corso di revisione nel corso delle successive divulgazioni, come il numero di paesi colpiti da Salt Typhoon, segnaliamo l'affermazione come provvisoria. Il lettore considererà «compromesso» e «pre-posizionato» come valutazioni delle agenzie firmatarie, fondate su elementi classificati che non è possibile verificare.

III. I fondali marini e lo strato fisico

Il conflitto cyber non si ferma allo strato logico. Il Mar Baltico è diventato il teatro in cui la dipendenza digitale incontra il sabotaggio fisico. Il 25 dicembre 2024, il cavo elettrico Estlink 2 che collega la Finlandia all'Estonia, insieme a diversi cavi di telecomunicazione, è stato reciso; gli investigatori finlandesi hanno concluso che la petroliera Eagle S aveva trascinato la propria ancora per decine di chilometri sul fondale marino, e un team armato finlandese ha abbordato il natante.^[5]^[6] Il bastimento era associato alla «flotta fantasma» utilizzata per smaltire il petrolio russo aggirando le sanzioni occidentali.^[5]

L'incidente si inserisce in uno schema più ampio di danni ai cavi che ha spinto i governi europei a trattare le infrastrutture sottomarine come un dominio conteso. Il 14 gennaio 2025, la NATO ha lanciato l'attività «Baltic Sentry», dispiegando fregate, aerei da pattugliamento marittimo e droni navali per rafforzare la protezione delle infrastrutture sottomarine critiche.^[7] Stabilire se ciascuna rottura di cavo sia riconducibile a un sabotaggio deliberato o alla negligenza marittima resta, in diversi casi, autenticamente controverso — un tribunale finlandese ha successivamente stabilito che non poteva perseguire gli ufficiali dell'Eagle S per fatti commessi al di fuori delle acque territoriali.^[6] Ma l'effetto strategico non dipende dalla risoluzione di ciascun caso. L'ambiguità è essa stessa l'arma: una campagna che non si riesce mai ad attribuire con precisione impone un costo, un'inquietudine e l'onere di un pattugliamento permanente, preservando al contempo la negabilità.

Il genio delle operazioni in zona grigia è che non devono essere provate per riuscire. Il dubbio, distribuito su tutta un'alleanza, è il prodotto consegnato.

IV. Capacità criminale, effetto statale

Il confine netto tra pre-posizionamento statale ed estorsione criminale non regge più. Il caso Colonial Pipeline del maggio 2021, un attacco ransomware attribuito dall'FBI al gruppo criminale DarkSide, che ha indotto l'operatore a sospendere la distribuzione di carburante per sei giorni lungo una larga parte della costa orientale americana, ha dimostrato che un'intrusione a motivazione finanziaria può produrre un effetto di sicurezza nazionale indistinguibile da un sabotaggio.^[8] Nel novembre 2023, il gruppo legato all'Iran CyberAv3ngers ha compromesso un controllore logico programmabile Unitronics esposto su Internet presso la Municipal Water Authority di Aliquippa (Pennsylvania); la CISA ha successivamente documentato lo sfruttamento dello stesso equipaggiamento in diversi stati.^[9] L'approvvigionamento idrico non è mai stato minacciato, ma era il valore dimostrativo a contare.

L'agenzia francese ha nominato questa convergenza senza giri di parole. Nel suo Panorama della minaccia cyber 2025, l'ANSSI osserva che tecniche un tempo riservate ai gruppi statali — sfruttamento di vulnerabilità «zero-day», dirottamento di servizi legittimi, pre-posizionamento duraturo — compaiono ormai nell'ecosistema criminale, e che attori tradizionalmente associati allo spionaggio, tra cui la Cina e la Corea del Nord, sono stati osservati nel 2025 mentre distribuivano ransomware a fini lucrativi.^[10] L'ANSSI rileva inoltre che il targeting delle infrastrutture critiche dei settori delle telecomunicazioni e dell'energia, inclusi i tentativi di sabotaggio, rimane molto apprezzato da questi attori, e descrive una fine del 2025 allarmante, segnata da attacchi coordinati e a vocazione distruttiva contro le infrastrutture elettriche polacche.^[10] L'Istituto legge questa convergenza come la tendenza più pericolosa del periodo: essa fa crollare le categorie analitiche da cui dipende la deterrenza. Se uno Stato può assumere un proxy criminale, e un criminale può maneggiare una capacità di livello statale, la domanda «chi ha fatto questo, ed era un atto di guerra?» diventa strutturalmente senza risposta nelle ore che contano.

V. Il fronte cognitivo

Il secondo fronte è informazionale. Il Servizio europeo per l'azione esterna (SEAE), nei suoi rapporti successivi sulla manipolazione dell'informazione e l'ingerenza straniera (FIMI), ha documentato un'infrastruttura industrializzata di manipolazione. I suoi lavori hanno analizzato centinaia di incidenti FIMI e decine di migliaia di canali, attribuendo la maggior parte dell'attività alla Russia e, in misura crescente, alla Cina, e mappando reti clandestine persistenti come Doppelgänger, che riproduce l'aspetto di media europei legittimi per veicolare contenuti ostili.^[11]^[12] Il SEAE rileva che gli incidenti FIMI del 2024 hanno riguardato circa 90 paesi e hanno preso di mira centinaia di organizzazioni.^[11]

Il legame con le infrastrutture non è affatto accessorio. La fiducia di una società nella sicurezza della propria rete elettrica, nella potabilità dell'acqua, nel fatto che un'interruzione sia un incidente e non un attacco, è essa stessa un obiettivo. Il pre-posizionamento nei sistemi fisici e la manipolazione dell'ambiente informazionale sono le due metà di una stessa strategia: la prima crea la capacità di infliggere la perturbazione, la seconda plasma il modo in cui una popolazione la interpreterà quando si verificherà, o come la temerà in anticipo.

VI. I quadri europeo e svizzero

La risposta regolamentare è stata sostanziale ma disomogenea. La direttiva NIS2 dell'Unione europea, in vigore da gennaio 2023, ha esteso obblighi vincolanti di cybersicurezza a diciotto settori critici e ha fissato una scadenza di recepimento al 17 ottobre 2024.^[13] L'attuazione è rimasta al di sotto dell'ambizione: solo una manciata di stati membri ha rispettato la scadenza, e alla fine di novembre 2024 la Commissione europea ha aperto procedure di infrazione contro ventitré di essi.^[13] Una direttiva che esiste sulla carta ma non nel diritto nazionale non protegge nessuno.

Un quadro calibrato per «rilevare e notificare» è mal attrezzato di fronte a un avversario il cui obiettivo è essere presente, paziente e inosservato.

La valutazione dell'Istituto è che l'architettura dominante, costruita attorno alla segnalazione degli incidenti, alla notifica delle violazioni e alla protezione dei dati, rimane organizzata attorno al paradigma del furto. Il pre-posizionamento ne inverte i presupposti: il successo dell'avversario risiede precisamente nell'assenza di un incidente da segnalare. Difendersi da un rifugio silenzioso esige una caccia continua alle minacce all'interno delle reti industriali, la capacità di far funzionare i servizi essenziali durante un attacco cyber piuttosto che soltanto riprendersi in seguito, e l'accettazione di questa scomoda verità: le intrusioni più pericolose non generano alcun allarme. Per la Svizzera, la cui interconnessione con i mercati europei dell'energia e delle telecomunicazioni è profonda e la cui neutralità non offre alcuna esenzione dalla fisica della dipendenza, la conseguenza è diretta: la resilienza non si misura alla velocità di divulgazione di una violazione, ma alla durata durante la quale un servizio essenziale può continuare a funzionare pur essendo compromesso.

VII. Conclusione: Difendersi dalla pazienza

La competizione cyber di questo decennio non è anzitutto una questione di furto, e trattarla come tale è un errore di categoria dalle conseguenze operative. I gesti decisivi sono il rifugio silenzioso mantenuto per anni all'interno di un operatore di servizi, l'accesso alla dorsale che trasforma un operatore di telecomunicazioni in strumento, l'ancora ambigua su un fondale oscuro, e il dubbio fabbricato che erode la capacità di una società di distinguere l'incidente dall'attacco. Ciascuno è concepito per maturare in effetto soltanto all'istante scelto dall'avversario.

Difendersi dalla pazienza esige una pazienza simmetrica, e una franchezza che la maggior parte delle istituzioni ancora evita. La misura onesta della sicurezza non è più la rapidità di rilevamento, ma la robustezza del funzionamento sotto ipotesi di compromissione. È un criterio scomodo, perché concede che il rifugio silenzioso sia forse già in atto. È anche il solo all'altezza della minaccia quale i fatti, oggi, la descrivono.

Riferimenti

[1] "PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure," Advisory AA24-038A, CISA / NSA / FBI, 7 February 2024. https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-038a
[2] "Salt Typhoon Hacks of Telecommunications Companies and Federal Response Implications," Congressional Research Service (In Focus IF12798), 2024–2025. https://www.congress.gov/crs-product/IF12798
[3] "At least 8 US telcos, dozens of countries impacted by Salt Typhoon breaches, White House says," The Record (Recorded Future News), December 2024. https://therecord.media/eight-telcos-breached-salt-typhoon-nsc
[4] "Salt Typhoon," Wikipedia (citing U.S. official statements, FBI/NSA reporting; consulted June 2026). https://en.wikipedia.org/wiki/Salt_Typhoon
[5] "Authorities investigate possible Russian 'hybrid warfare' after oil tanker cuts undersea cables," CBS News, 2025. https://www.cbsnews.com/news/eagle-s-baltic-cut-cable-investigation-russia-ties-60-minutes/
[6] "Miles-long anchor drag mark found on Baltic seabed after suspicious cable damage, Finnish investigators say," CNN, 30 December 2024. https://www.cnn.com/2024/12/30/europe/baltic-sea-cable-anchor-drag-russia-intl-latam
[7] "NATO launches 'Baltic Sentry' to increase critical infrastructure security," NATO, 14 January 2025. https://www.nato.int/en/news-events/articles/news/2025/01/14/nato-launches-baltic-sentry-to-increase-critical-infrastructure-security
[8] "Colonial Pipeline ransomware attack," Wikipedia (citing FBI attribution and DOJ recovery announcement; consulted June 2026). https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack
[9] "Pennsylvania water facility hit by Iran-linked hackers," CyberScoop, November 2023. https://cyberscoop.com/pennsylvania-water-facility-hack-iran/
[10] "Panorama de la cybermenace 2025," ANSSI (CERT-FR), 2026. https://cyber.gouv.fr/actualites/panorama-de-la-cybermenace-2025/
[11] "2024 Report on EEAS Activities to Counter Foreign Information Manipulation and Interference (FIMI)," European External Action Service, 2024. https://www.eeas.europa.eu/eeas/2024-report-eeas-activities-counter-foreign-information-manipulation-and-interference-fimi_en
[12] "3rd EEAS Report on Foreign Information Manipulation and Interference Threats," European External Action Service, March 2025. https://www.eeas.europa.eu/eeas/3rd-eeas-report-foreign-information-manipulation-and-interference-threats-0_en
[13] "NIS2 Directive: securing network and information systems," European Commission, Shaping Europe's digital future, 2024. https://digital-strategy.ec.europa.eu/en/policies/nis2-directive

Citare questa nota

Benalla A. (2026). «Il rifugio silenzioso: pre-posizionamento, infrastrutture critiche e la nuova geometria del conflitto cyber». Nota IV·NOTE·005, Institut Vidocq.