di Lorenzo Lazzeri
Il panorama della sicurezza informatica italiana sta cambiando pelle in tutta fretta. Il Rapporto Clusit di questo ottobre ci fotografa una realtà inquietante, che non lascia spazio a interpretazioni rassicuranti dato che già nel primo semestre dell’anno gli attacchi gravi e documentati a livello globale sono stati 2.755, con un ulteriore aumento del 36% rispetto allo stesso periodo del 2024. Si tratta di record storici, collezionati uno dopo l’altro, con una media mensile di 459 incidenti, ossia ben tre volte il livello del 2020.
Peggio ancora, la gravità degli episodi è aumentata considerevolmente perché l’82% degli attacchi ha prodotto impatti ad elevata criticità, contro il 77% dell’anno precedente e appena il 50% del 2020; questo in parole più semplici si traduce non più in fastidi temporanei, ma in incidenti che bloccano servizi, interrompono processi operativi, danneggiano infrastrutture, il lavoro e la vita delle persone, lasciando quindi delle cicatrici
La tecnica prediletta è il DDoS (il Distributed Denial of Service, una sorta di intasamento digitale sei servizi n.d.r.), usata nel 54% dei casi italiani contro una media globale del 9%. Gli obiettivi principali? Le Pubbliche Amministrazioni, colpite nel 38% dei casi con un incremento mostruoso del 279% rispetto all’intero 2024. Seguono Trasporti e Logistica, con il 17% degli attacchi e questo è già oltre il totale dello scorso anno, a metà percorso.
Tra i gruppi più attivi in questo scenario emerge NoName057(16), collettivo filorusso noto per la capacità di mobilitare rapidamente migliaia di nodi e colpire sistematicamente bersagli di alto valore simbolico: portali governativi, servizi pubblici locali, piattaforme informative e sistemi logistici legati alla mobilità e alla difesa.
La forza del gruppo non sta nella sofisticazione tecnica delle operazioni, prevale bensì la costanza e la scelta strategica degli obiettivi. NoName057(16) non colpisce a caso, ma seleziona strutture che incarnano la continuità operativa dello Stato, con un tempismo che segue l’agenda geopolitica russa del momento. Proprio per questo l’attività del gruppo, nato in concomitanza della seconda invasione ucraina nel 2022, è stato indagato più volte dall’Europol e l’European Cybercrime Centre.
Il nome stesso del collettivo nasconde una dichiarazione identitaria. Il prefisso “057” corrisponde al codice telefonico di Kharkiv, città ucraina storicamente rivendicata dai nazionalisti russi come “territorio russo”. Il numero “(16)” rimanda al codice automobilistico del Tatarstan, repubblica russa nota per le sue capacità tecniche in ambito cyber e per la presenza di infrastrutture dual-use, civili e militari insieme.
Analisi di rete e tracciamenti OSINT hanno individuato parte dell’infrastruttura tecnica del gruppo in strutture situate nell’area periferica di Mosca, in edifici dove operano anche soggetti istituzionali. Non si tratta di una prova di controllo diretto da parte dell’intelligence russa, ma di una co-localizzazione che segue la logica della plausible deniability, perché lo Stato può beneficiare dell’effetto geopolitico dell’azione, negando però ogni coinvolgimento formale.
La risposta dell’Italia a queste sfide suggeriscono un’evoluzione importante. Smettere di trattare la sicurezza come un tecnicismo ci ha permesso di renderla una priorità ancora più strategica. Oltre la semplice difesa delle mura che spesso sembrano di cartone, ora si punta a qualcosa di ancor più complesso.; si vuole creare un tessuto reattivo capace di rigenerarsi. È forse l’inizio di una resilienza vera?
